Paieškos galimybės
Apie mus Žiniasklaidai Paaiškinimai Tyrimai ir publikacijos Statistika Pinigų politika Euro Mokėjimai ir rinkos Darbas ECB
Pasiūlymai
Rūšiuoti pagal
  • PRANEŠIMAS SPAUDAI

ECB užbaigė kibernetinio atsparumo testavimą nepalankiausiomis sąlygomis

2024 m. liepos 26 d.

  • Atlikus testavimą nepalankiausiomis sąlygomis nustatyta, kaip bankai reaguotų į rimtą, bet tikėtiną kibernetinio saugumo incidentą ir kaip po jo atsigautų.
  • Testuoti 109 bankai, iš jų 28 – nuodugniau.
  • Į rezultatus bus atsižvelgta per 2024 m. ECB priežiūrinio tikrinimo ir vertinimo procesą.

Šiandien Europos Centrinis Bankas (ECB) užbaigė kibernetinio atsparumo testavimą nepalankiausiomis sąlygomis, kurio metu įvertinta, kaip bankai reaguotų į rimtą, bet tikėtiną kibernetinio saugumo incidentą ir kaip po jo atsigautų. Apskritai testavimas nepalankiausiomis sąlygomis parodė, kad bankai yra parengę ir reagavimo, ir gaivinimo sistemas, tačiau kai kurios sritys dar tobulintinos. Į testavimo rezultatus bus atsižvelgta vykdant 2024 m. priežiūrinio tikrinimo ir vertinimo procesą (angl. SREP). Testavimas taip pat padėjo bankams geriau suprasti savo kibernetinio atsparumo sistemų stipriąsias ir silpnąsias sritis.

Testavimas buvo pradėtas 2024 m. sausio mėn. ir buvo vykdomas pagal fiktyvų testavimo nepalankiausiomis sąlygomis scenarijų, pagal kurį visos prevencinės priemonės buvo nesėkmingos, o kibernetinis išpuolis labai paveikė bankų pagrindinių sistemų duomenų bazes. Taigi testuojant daugiausia dėmesio buvo skirta tam, kaip bankai reaguotų į kibernetinį išpuolį ir po jo atsigautų, o ne tam, kaip jie užkirstų kelią tokiam išpuoliui.

Vienas iš ECB 2024–2026 m. BPM priežiūros prioritetų – nustatyti ir šalinti prižiūrimų bankų operacinio atsparumo sistemų trūkumus, įskaitant ir tuos, kurie kyla dėl kibernetinės rizikos. Tai susiję su tuo, kad pastaruoju metu labai padaugėjo kibernetinių incidentų, apie kuriuos prižiūrimi bankai yra pranešę ECB. Incidentų padaugėjo iš dalies dėl stiprėjančios geopolitinės įtampos ir bankų sektoriaus skaitmeninimo keliamų iššūkių.

Nepalankiausiomis sąlygomis buvo testuojami 109 ECB tiesiogiai prižiūrimi bankai. Kiekvienas bankas turėjo užpildyti klausimyną ir priežiūros institucijai pateikti analizei reikalingus dokumentus, o 28 bankų imtis buvo pasirinkta išsamesniam testavimui. Pastarųjų bankų buvo paprašyta atlikti faktinį IT atkūrimo testą ir pateikti įrodymų, kad jis buvo sėkmingas. Be to, juose lankėsi priežiūros institucijų specialistai. Kad euro zonos bankų sistema būtų išanalizuota plačiau ir kad būtų užtikrintas pakankamas suderinimas su kita priežiūros veikla, į imtį pateko bankai su įvairiais verslo modeliais ir iš įvairių geografinių vietovių.

Kad patikrintų savo atsaką į testavimo scenarijų, bankai turėjo įrodyti, kad geba:

  • praktiškai įgyvendinti savo reagavimo į krizes planus, įskaitant vidaus krizių valdymo procedūras ir veiklos tęstinumo planus;
  • palaikyti ryšius su visomis išorės suinteresuotosiomis šalimis, pavyzdžiui, klientais, paslaugų teikėjais ir teisėsaugos pareigūnais;
  • atliekant analizę nustatyti, kurios paslaugos ir kaip būtų paveiktos;
  • pritaikyti rizikos mažinimo priemones, įskaitant alternatyvius sprendimus, kaip bankai vykdytų veiklą, kol būtų visiškai atkurta IT sistema.

Kad patikrintų savo gebėjimą atsigauti po scenarijuje numatytų įvykių, bankai turėjo įrodyti, kad geba:

  • praktiškai įgyvendinti savo gaivinimo planus, t. y., be kita ko, atkurti duomenis ir suderinti su ypatingos svarbos paslaugas teikiančiomis trečiosiomis šalimis, kaip reaguoti į incidentą;
  • užtikrinti, kad paveiktos sritys būtų atkurtos ir vėl veiktų;
  • pasinaudoti įgyta patirtimi, pavyzdžiui, peržiūrint reagavimo ir gaivinimo planus.

ECB yra įsipareigojęs toliau dirbti su prižiūrimais bankais, kad jie stiprintų savo kibernetinio atsparumo sistemą. Tuo tikslu bankai bus skatinami ir toliau siekti įgyvendinti priežiūrinius lūkesčius ir, be kita ko, užtikrinti, kad būtų parengti tinkami veiklos tęstinumo, komunikacijos ir gaivinimo planai, kuriuose turėtų būti apsvarstyta pakankamai įvairių kibernetinės rizikos scenarijų. Bankai taip pat turėtų gebėti įgyvendinti savo gaivinimo tikslus, tinkamai įvertinti savo priklausomybę nuo ypatingos svarbos IRT paslaugas teikiančių trečiųjų šalių ir pagrįstai įvertinti tiesioginius ir netiesioginius nuostolius dėl kibernetinio išpuolio.

Testavimo rezultatai bus įtraukti į 2024 m. SREP, per kurį vertinamas kiekvieno banko individualus rizikos profilis. Kibernetinio atsparumo testavimas nepalankiausiomis sąlygomis nėra orientuotas į bankų kapitalą, todėl jis neturės poveikio jų kapitalui pagal 2 ramsčio rekomendacijas. Priežiūros institucijos kiekvienam bankui atskirai pateikė savo pastabas ir kartu su jais imsis atitinkamų tolesnių veiksmų. Kai kurie bankai jau sumažino arba planuoja visai pašalinti per testavimą nustatytus trūkumus.

Žiniasklaidos atstovai užklausas gali teikti Clarai Martín Marqués , tel. +49 69 1344 17919.

Pastabos

KUR KREIPTIS

Europos Centrinis Bankas

Komunikacijos generalinis direktoratas

Leidžiama perspausdinti, jei nurodomas šaltinis.

Kontaktai žiniasklaidai
Informavimas apie pažeidimus