Meklēšanas opcijas
Sākums Medijiem Noderīga informācija Pētījumi un publikācijas Statistika Monetārā politika Euro Maksājumi un tirgi Karjera
Ierosinājumi
Šķirošanas kritērijs
  • PAZIŅOJUMS PRESEI

ECB pabeidz kibernoturības stresa testu

2024. gada 26. jūlijā

  • Stresa testā tika vērtēta banku reakcija uz smagu, bet ticamu kiberdrošības incidentu un spēja atgūties no tā.
  • Testā piedalījās 109 bankas, no kurām 28 tika pārbaudītas detalizētāk.
  • Rezultāti tiks iekļauti ECB 2024. gada uzraudzības pārbaudes un novērtēšanas procesā.

Eiropas Centrālā banka (ECB) šodien pabeidza kibernoturības stresa testu, kurā tika vērtēta banku reakcija uz smagu, bet ticamu kiberdrošības incidentu un spēja atgūties no tā. Kopumā stresa tests liecināja, ka bankas ir ieviesušas reaģēšanas un atveseļošanas sistēmu, taču vēl nepieciešami uzlabojumi. Rezultāti tiks izmantoti 2024. gada uzraudzības pārbaudes un novērtēšanas procesā (Supervisory Review and Evaluation Process; SREP) un palīdzēs vairot banku izpratni par to kibernoturības sistēmu stiprajām un vājajām pusēm.

Tests tika uzsākts 2024. gada janvārī un ietvēra fiktīvu stresa testa scenāriju, saskaņā ar kuru visi preventīvie pasākumi bija neveiksmīgi un kiberuzbrukums nopietni ietekmēja katras bankas pamatsistēmu datubāzes. Tāpēc stresa testā galvenā uzmanība tika pievērsta tam, kā bankas reaģē uz kiberuzbrukumu un atgūstas no tā, nevis centieniem to novērst.

Uzraudzīto banku darbības noturības sistēmu trūkumu, t. sk. to, kas izriet no kiberdrošības riskiem, atklāšana un novēršana ir viena no ECB VUM uzraudzības prioritātēm 2024.–2026. gadam. Tas atspoguļo neseno straujo kiberincidentu skaita pieaugumu, par ko ECB ziņojušas uzraudzītās bankas. Šis kāpums daļēji skaidrojams ar augošo ģeopolitisko spriedzi un izaicinājumiem, ko rada banku sektora digitalizācija.

Stresa testā piedalījās 109 ECB tieši uzraudzītās bankas. Visām bankām bija jāatbild uz anketas jautājumiem un jāiesniedz dokumentācija, lai uzraugi varētu veikt analīzi, savukārt 28 bankas tika atlasītas detalizētākai pārbaudei. Šīm 28 bankām vajadzēja veikt faktisku IT atveseļošanas testu un sniegt pierādījumus, ka tas bijis sekmīgs. Uzraugi šīs bankas apmeklēja arī klātienē. Izlase aptvēra dažādus uzņēmējdarbības modeļus un ģeogrāfiskās atrašanās vietas, lai atspoguļotu visu eurozonas banku sistēmu un nodrošinātu pietiekamu koordināciju ar citām uzraudzības darbībām.

Lai pārbaudītu, kā bankas reaģē uz šo scenāriju, tām bija jāpierāda spēja:

  • aktivizēt savus reaģēšanas plānus krīzes situācijās, t. sk. iekšējās krīzes vadības procedūras un darbības nepārtrauktības plānus;
  • sazināties ar visām ārējām ieinteresētajām personām, piemēram, klientiem, pakalpojumu sniedzējiem un tiesībaizsardzības iestādēm;
  • veikt analīzi, lai noteiktu, kādi pakalpojumi tiktu ietekmēti, kā arī ietekmes veidu;
  • īstenot riska mazināšanas pasākumus, t. sk. aprisinājumus, kas palīdzētu bankai darboties, kamēr tiek pilnībā atjaunotas IT sistēmas.

Lai pārbaudītu banku spēju atgūties no scenārija ietekmes, tām bija jāpierāda, ka tās spētu:

  • aktivizēt savus atveseļošanas plānus, t. sk. atjaunot dublētos datus un saskaņot reakciju uz incidentu ar kritiski svarīgām trešām personām, kas sniedz pakalpojumus;
  • nodrošināt, ka skartās jomas tiek atveseļotas un turpina darboties;
  • likt lietā gūto pieredzi, piemēram, pārskatot reaģēšanas un atveseļošanas plānus.

ECB ir apņēmusies turpināt sadarbību ar tās uzraudzībā esošajām bankām, lai stiprinātu noturības pret kiberuzbrukumiem sistēmu. Šajā nolūkā tā arī mudinās bankas turpināt darbu pie uzraudzības gaidu izpildes, nodrošinot arī atbilstošu darbības nepārtrauktību, komunikāciju un atveseļošanas plānus, kuros jāņem vērā pietiekami plašs kiberdrošības riska scenāriju klāsts. Bankām arī jāspēj sasniegt pašām savus atveseļošanas mērķus, rūpīgi novērtēt atkarību no kritiski svarīgām trešām pusēm, kas sniedz IKT pakalpojumus, un pienācīgi aplēst kiberuzbrukuma radītos tiešos un netiešos zaudējumus.

Šā stresa testa rezultāti tiks izmantoti 2024. gada SREP, kurā novērtēti banku individuālie riska profili. Kibernoturības stresa tests nav vērsts uz banku kapitālu, tāpēc tā rezultāti neietekmēs banku 2. pīlāra norādes. Uzraugi snieguši individuālas atsauksmes katrai bankai un attiecīgi sekos to īstenošanai. Dažos gadījumos bankas jau novērsušas vai plāno novērst testa laikā konstatētos trūkumus.

Lai saņemtu papildinformāciju, plašsaziņas līdzekļu pārstāvjus lūdzam vērsties pie Klāras Martinas Markesas (Clara Martín Marqués; tālr. +49 69 1344 17919).

Piezīme.

KONTAKTINFORMĀCIJA

Eiropas Centrālā banka

Komunikācijas ģenerāldirektorāts

Pārpublicējot obligāta avota norāde.

Kontaktinformācija plašsaziņas līdzekļu pārstāvjiem
Trauksmes celšana