2024 m. liepos 26 d.
- Atlikus testavimą nepalankiausiomis sąlygomis nustatyta, kaip bankai reaguotų į rimtą, bet tikėtiną kibernetinio saugumo incidentą ir kaip po jo atsigautų.
- Testuoti 109 bankai, iš jų 28 – nuodugniau.
- Į rezultatus bus atsižvelgta per 2024 m. ECB priežiūrinio tikrinimo ir vertinimo procesą.
Šiandien Europos Centrinis Bankas (ECB) užbaigė kibernetinio atsparumo testavimą nepalankiausiomis sąlygomis, kurio metu įvertinta, kaip bankai reaguotų į rimtą, bet tikėtiną kibernetinio saugumo incidentą ir kaip po jo atsigautų. Apskritai testavimas nepalankiausiomis sąlygomis parodė, kad bankai yra parengę ir reagavimo, ir gaivinimo sistemas, tačiau kai kurios sritys dar tobulintinos. Į testavimo rezultatus bus atsižvelgta vykdant 2024 m. priežiūrinio tikrinimo ir vertinimo procesą (angl. SREP). Testavimas taip pat padėjo bankams geriau suprasti savo kibernetinio atsparumo sistemų stipriąsias ir silpnąsias sritis.
Testavimas buvo pradėtas 2024 m. sausio mėn. ir buvo vykdomas pagal fiktyvų testavimo nepalankiausiomis sąlygomis scenarijų, pagal kurį visos prevencinės priemonės buvo nesėkmingos, o kibernetinis išpuolis labai paveikė bankų pagrindinių sistemų duomenų bazes. Taigi testuojant daugiausia dėmesio buvo skirta tam, kaip bankai reaguotų į kibernetinį išpuolį ir po jo atsigautų, o ne tam, kaip jie užkirstų kelią tokiam išpuoliui.
Vienas iš ECB 2024–2026 m. BPM priežiūros prioritetų – nustatyti ir šalinti prižiūrimų bankų operacinio atsparumo sistemų trūkumus, įskaitant ir tuos, kurie kyla dėl kibernetinės rizikos. Tai susiję su tuo, kad pastaruoju metu labai padaugėjo kibernetinių incidentų, apie kuriuos prižiūrimi bankai yra pranešę ECB. Incidentų padaugėjo iš dalies dėl stiprėjančios geopolitinės įtampos ir bankų sektoriaus skaitmeninimo keliamų iššūkių.
Nepalankiausiomis sąlygomis buvo testuojami 109 ECB tiesiogiai prižiūrimi bankai. Kiekvienas bankas turėjo užpildyti klausimyną ir priežiūros institucijai pateikti analizei reikalingus dokumentus, o 28 bankų imtis buvo pasirinkta išsamesniam testavimui. Pastarųjų bankų buvo paprašyta atlikti faktinį IT atkūrimo testą ir pateikti įrodymų, kad jis buvo sėkmingas. Be to, juose lankėsi priežiūros institucijų specialistai. Kad euro zonos bankų sistema būtų išanalizuota plačiau ir kad būtų užtikrintas pakankamas suderinimas su kita priežiūros veikla, į imtį pateko bankai su įvairiais verslo modeliais ir iš įvairių geografinių vietovių.
Kad patikrintų savo atsaką į testavimo scenarijų, bankai turėjo įrodyti, kad geba:
- praktiškai įgyvendinti savo reagavimo į krizes planus, įskaitant vidaus krizių valdymo procedūras ir veiklos tęstinumo planus;
- palaikyti ryšius su visomis išorės suinteresuotosiomis šalimis, pavyzdžiui, klientais, paslaugų teikėjais ir teisėsaugos pareigūnais;
- atliekant analizę nustatyti, kurios paslaugos ir kaip būtų paveiktos;
- pritaikyti rizikos mažinimo priemones, įskaitant alternatyvius sprendimus, kaip bankai vykdytų veiklą, kol būtų visiškai atkurta IT sistema.
Kad patikrintų savo gebėjimą atsigauti po scenarijuje numatytų įvykių, bankai turėjo įrodyti, kad geba:
- praktiškai įgyvendinti savo gaivinimo planus, t. y., be kita ko, atkurti duomenis ir suderinti su ypatingos svarbos paslaugas teikiančiomis trečiosiomis šalimis, kaip reaguoti į incidentą;
- užtikrinti, kad paveiktos sritys būtų atkurtos ir vėl veiktų;
- pasinaudoti įgyta patirtimi, pavyzdžiui, peržiūrint reagavimo ir gaivinimo planus.
ECB yra įsipareigojęs toliau dirbti su prižiūrimais bankais, kad jie stiprintų savo kibernetinio atsparumo sistemą. Tuo tikslu bankai bus skatinami ir toliau siekti įgyvendinti priežiūrinius lūkesčius ir, be kita ko, užtikrinti, kad būtų parengti tinkami veiklos tęstinumo, komunikacijos ir gaivinimo planai, kuriuose turėtų būti apsvarstyta pakankamai įvairių kibernetinės rizikos scenarijų. Bankai taip pat turėtų gebėti įgyvendinti savo gaivinimo tikslus, tinkamai įvertinti savo priklausomybę nuo ypatingos svarbos IRT paslaugas teikiančių trečiųjų šalių ir pagrįstai įvertinti tiesioginius ir netiesioginius nuostolius dėl kibernetinio išpuolio.
Testavimo rezultatai bus įtraukti į 2024 m. SREP, per kurį vertinamas kiekvieno banko individualus rizikos profilis. Kibernetinio atsparumo testavimas nepalankiausiomis sąlygomis nėra orientuotas į bankų kapitalą, todėl jis neturės poveikio jų kapitalui pagal 2 ramsčio rekomendacijas. Priežiūros institucijos kiekvienam bankui atskirai pateikė savo pastabas ir kartu su jais imsis atitinkamų tolesnių veiksmų. Kai kurie bankai jau sumažino arba planuoja visai pašalinti per testavimą nustatytus trūkumus.
Žiniasklaidos atstovai užklausas gali teikti Clarai Martín Marqués , tel. +49 69 1344 17919.
Pastabos
- Vadovaudamasis Kapitalo reikalavimų direktyvos 100 straipsniu, ECB kasmet atlieka priežiūrinį testavimą nepalankiausiomis sąlygomis, o kas dvejus metus dalyvauja ES mastu vykdomame testavime nepalankiausiomis sąlygomis, kurį koordinuoja Europos bankininkystės institucijai. Tais metais, kai nevykdomas testavimas nepalankiausiomis sąlygomis ES mastu, ECB vykdo tikslinį testavimą nepalankiausiomis sąlygomis, skirtą kokiam nors aktualiam klausimui, kaip antai 2017 m. vykdyta jautrumo bankinės knygos palūkanų normos rizikai analizė, 2019 m. vykdyta jautrumo likvidumo rizikai analizė ir 2022 m. vykdytas su klimato rizika susijęs testavimas nepalankiausiomis sąlygomis.
- Šiuo metu ECB tiesiogiai prižiūri 113 bankų. Kibernetinio atsparumo testavime dalyvavo 109 bankai, kurių tiesioginę priežiūrą tuo metu, kai buvo pradėtas testavimas nepalankiausiomis sąlygomis, vykdė ECB. Keli bankai buvo neįtraukti dėl tokių priežasčių kaip restruktūrizavimas ar svarbos statuso pakeitimas.
Europos Centrinis Bankas
Komunikacijos generalinis direktoratas
- Sonnemannstrasse 20
- 60314 Frankfurtas prie Maino, Vokietija
- +49 69 1344 7455
- media@ecb.europa.eu
Leidžiama perspausdinti, jei nurodomas šaltinis.
Kontaktai žiniasklaidai