26. juuli 2024
- Stressitestiga hinnati, kuidas pangad reageeriksid tõsisele, kuid usutavale küberturvalisuse intsidendile ja suudaksid sellest taastuda.
- Test hõlmas 109 panka, kellest 28 testiti ulatuslikumalt.
- Tulemusi kasutatakse EKP 2024. aasta järelevalvealase läbivaatamise ja hindamise protsessis.
Euroopa Keskpank (EKP) viis täna lõpule küberkerksuse stressitesti, mille käigus hinnati, kuidas pangad reageeriksid tõsisele, kuid usutavale küberturvalisuse intsidendile ja suudaksid sellest taastuda. Kokkuvõttes näitas stressitest, et pankadel on olemas reageerimis- ja taasteraamistikud, kuid endiselt on parandamist vajavaid valdkondi. Tulemusi kasutatakse 2024. aasta järelevalvealase läbivaatamise ja hindamise protsessis (SREP) ning need on aidanud suurendada pankade teadlikkust oma küberkerksuse raamistike tugevustest ja puudujääkidest.
Stressitestiga alustati 2024. aasta jaanuaris ja see sisaldas fiktiivset stressitesti stsenaariumit, mille kohaselt ennetavad meetmed ei ole tulemuslikud ja küberrünne mõjutab tõsiselt kõigi pankade põhisüsteemide andmebaase. Seetõttu keskenduti stressitestis pigem sellele, kuidas pangad küberründele reageeriksid ja sellest taastuksid, mitte sellele, kuidas seda välditaks.
Järelevalve alla kuuluvate pankade tegevuskerksuse raamistikes muu hulgas küberriskidest tulenevate puuduste tuvastamine ja kõrvaldamine on üks EKP ühtse järelevalvemehhanismi järelevalveprioriteete aastatel 2024–2026. Tulemused kajastavad järelevalve alla kuuluvate pankade poolt EKP-le teatatud küberintsidentide arvu hiljutist tõusu, mis on osaliselt tingitud süvenevatest geopoliitilistest pingetest ja pangandussektori digiteerimisega seotud probleemidest.
Stressitest hõlmas 109 EKP otsese järelevalve alla kuuluvat panka. Kõik pangad pidid vastama küsimustikule ja esitama järelevalveasutustele analüüsimiseks dokumendid, samal ajal kui 28 pangast koosnev valim läbis põhjalikumad testid. Viimastel paluti teha tegelik IT-taastetest ja esitada tõendid selle edukuse kohta, ühtlasi külastasid järelevalveeksperdid neid kohapeal. Valim hõlmas erinevaid ärimudeleid ja geograafilisi asukohti, et kajastada euroala pangandussüsteemi laiemalt ja tagada piisav kooskõlastatus muude järelevalvetegevustega.
Et testida oma reaktsiooni testistsenaariumile, pidid pangad tõendama oma suutlikkust:
- aktiveerida oma kriisile reageerimise kavad, sealhulgas sisemised kriisiohjemenetlused ja talitluspidevuse kavad;
- suhelda kõigi väliste sidusrühmadega, näiteks klientide, teenuseosutajate ja õiguskaitseasutustega;
- analüüsida, milliseid teenuseid ja kuidas intsident mõjutaks;
- rakendada leevendusmeetmeid, sealhulgas alternatiivseid lahendusi, mis aitaksid pangal IT-süsteemide täielikuks taastamiseks kuluva aja jooksul tegutseda.
Et testida oma suutlikkust stsenaariumist taastuda, pidid pangad tõendama, et neil on võimekus:
- aktiveerida oma taastekavad, sealhulgas taastada varundatud andmed ja kooskõlastada intsidendile reageerimine kriitilise tähtsusega kolmandast isikust teenuseosutajatega;
- tagada mõjutatud valdkondade taastamine ja käigushoidmine;
- rakendada saadud kogemusi, näiteks vaadata läbi oma reageerimis- ja taastekavad.
EKP jätkab kindlalt koostööd enda järelevalve alla kuuluvate pankadega nende küberkerksuse raamistike tugevdamiseks. Sel eesmärgil innustab ta panku jätkama tööd järelevalveootuste täitmisel, seades muu hulgas sisse asjakohased talitluspidevuse, teabevahetuse ja taastekavad, mis peaksid hõlmama piisavalt erinevaid küberriski stsenaariumeid. Samuti peaksid pangad suutma täita oma taaste-eesmärke, nõuetekohaselt hinnata sõltuvust kriitilise tähtsusega kolmandast isikust IKT-teenuste osutajatest ning asjakohaselt hinnata küberründest tulenevat otsest ja kaudset kahju.
Stressitesti tulemusi kasutatakse 2024. aasta SREPis, millega hinnatakse pankade individuaalseid riskiprofiile. Küberkerksuse stressitest ei keskendu pankade kapitalile, seega ei mõjuta selle tulemused pankade 2. samba soovituslikke nõudeid. Järelevalveasutused on andnud igale pangale individuaalset tagasisidet ja võtavad asjakohaseid järelmeetmeid. Mõnel juhul on pangad stressitesti käigus kindlaks tehtud puudujääkidega juba tegelenud või kavatsevad need edaspidi kõrvaldada.
Meediakanalite küsimustele vastab Clara Martín Marqués (tel: +49 69 1344 17919).
Märkused.
- EKP teeb järelevalvealaseid stressiteste igal aastal kooskõlas kapitalinõuete direktiivi artikliga 100 ning osaleb iga kahe aasta järel Euroopa Pangandusjärelevalve koordineeritavas ELi-üleses stressitestis. Neil aastatel, kui ei tehta ELi-ülest stressitesti, korraldab EKP konkreetsele teemale keskenduva suunatud stressitesti. Näiteks 2017. aastal viidi läbi pangaportfelli intressiriski tundlikkusanalüüs, 2019. aastal likviidsusriski tundlikkusanalüüs ja 2022. aastal kliimariskide stressitest.
- EKP otsese järelevalve alla kuulub praegu 113 panka. Küberkerksuse stressitestis osales 109 panka, mis olid stressitesti alustamise ajal EKP otsese järelevalve all. Mõned erandid tehti pangapõhistel kaalutlustel, näiteks restruktureerimise või panga staatuse muutumise tõttu.
Euroopa Keskpank
Avalike suhete peadirektoraat
- Sonnemannstrasse 20
- 60314 Frankfurt am Main, Saksamaa
- +49 69 1344 7455
- media@ecb.europa.eu
Taasesitus on lubatud, kui viidatakse algallikale.
Meediakontaktid