Možnosti vyhľadávania
Home Médiá ECB vysvetľuje Výskum a publikácie Štatistika Menová politika €uro Platobný styk a trhy Kariéra
Návrhy
Zoradiť podľa
  • TLAČOVÁ SPRÁVA

ECB uskutočnila záťažový test kybernetickej odolnosti

26. júla 2024

  • Účelom záťažového testu bolo posúdiť reakciu bánk na závažný, ale realistický incident v oblasti kybernetickej bezpečnosti a ich schopnosť prekonať ho.
  • Testovaných bolo 109 bánk, z toho 28 rozsiahlejšie.
  • Výsledky hodnotenia budú podkladom postupu preskúmania a hodnotenia orgánmi dohľadu v roku 2024.

Európska centrálna banka (ECB) dnes ukončila záťažový test kybernetickej odolnosti, v rámci ktorého posudzovala reakciu bánk na závažný, ale realistický incident v oblasti kybernetickej bezpečnosti a ich schopnosť prekonať ho. Záťažový test celkovo ukázal, že hoci banky majú zavedené rámce reakcie a obnovy, zostáva priestor na zlepšenie. Výsledky budú podkladom postupu preskúmania a hodnotenia orgánmi dohľadu (Supervisory Review and Evaluation Process – SREP) v roku 2024 a bankám pomôžu získať lepší prehľad o silných a slabých stránkach ich rámcov kybernetickej odolnosti.

Test sa začal v januári 2024 a zahŕňal fiktívny scenár záťažového testu, pri ktorom zlyhali všetky preventívne opatrenia a kybernetický útok vážne narušil databázy základných systémov bánk. Záťažový test bol preto zameraný skôr na to, ako by banky na kybernetický útok zareagovali a prekonali ho, a nie na ich schopnosť mu zabrániť.

Odhaľovanie a riešenie nedostatkov v rámcoch prevádzkovej odolnosti dohliadaných bánk vrátane nedostatkov, ktoré vyplývajú z kybernetických rizík, je jednou z priorít ECB v rámci jednotného mechanizmu dohľadu na roky 2024 – 2026. Príčinou je nedávny prudký nárast počtu kybernetických incidentov v dohliadaných bankách nahlásených ECB, čiastočne v dôsledku rastúceho geopolitického napätia a ťažkostí spojených s digitalizáciou bankového sektora.

Do záťažového testu bolo zapojených 109 bánk pod priamym dohľadom ECB. Všetky banky museli vyplniť dotazník a predložiť orgánom dohľadu dokumentáciu na analýzu, pričom vzorka 28 bánk bola vybraná na rozsiahlejšie testovanie. Vybraných 28 bánk bolo požiadaných o vykonanie skutočného testu obnovy prevádzky IT a zdokladovanie jeho úspešnosti. Okrem toho ich na mieste navštívili pracovníci dohľadu. Vzorka zahŕňala rôzne obchodné modely a geografické oblasti s cieľom zohľadniť širší bankový systém eurozóny a zabezpečiť dostatočnú koordináciu s ostatnými činnosťami dohľadu.

Pri testovaní svojej reakcie na záťažový scenár museli banky preukázať schopnosť:

  • aktivovať svoje plány reakcie na krízu vrátane interných postupov krízového riadenia a plánov na zabezpečenie nepretržitej prevádzky,
  • komunikovať so všetkými externými zainteresovanými stranami, ako sú klienti, poskytovatelia služieb a zástupcovia policajných orgánov,
  • vykonať analýzu postihnutých služieb a rozsahu postihnutia,
  • zaviesť protiopatrenia vrátane opatrení, ktoré by banke pomohli pokračovať v činnosti v čase potrebnom na úplnú obnovu IT systémov.

Pri testovaní schopnosti prekonať simulovaný scenár banky museli preukázať, že dokážu:

  • aktivovať svoje plány obnovy vrátane obnovenia zálohovaných údajov a zosúladenia reakcie na incident s externými poskytovateľmi kritických služieb,
  • zabezpečiť obnovu a fungovanie postihnutých oblastí,
  • prijať opatrenia na základe získaných skúseností, napríklad prehodnotiť svoje plány reakcie a obnovy.

ECB je odhodlaná pokračovať v spolupráci s bankami, nad ktorými vykonáva dohľad, s cieľom posilniť ich rámec kybernetickej odolnosti. V tomto smere bude banky ďalej nabádať, aby naďalej pracovali na plnení očakávaní dohľadu, okrem iného tým, že zavedú adekvátne plány na zabezpečenie nepretržitej prevádzky, komunikácie a obnovy, v ktorých by mali zvážiť dostatočne široké spektrum scenárov kybernetického rizika. Banky by takisto mali byť schopné plniť svoje vlastné ciele obnovy, náležite posúdiť svoju závislosť od externých poskytovateľov kritických IKT služieb a primerane odhadnúť priame a nepriame straty vyplývajúce z kybernetického útoku.

Výsledky testu budú zohľadnené v rámci postupu SREP v roku 2024 pri hodnotení rizikových profilov jednotlivých bánk. Záťažový test kybernetickej odolnosti nie je zameraný na kapitál bánk, takže jeho výsledky neovplyvnia odporúčania druhého piliera. Pracovníci dohľadu jednotlivé banky o výsledkoch testu informovali a budú s nimi ďalej komunikovať v súvislosti s následnými opatreniami. V niektorých prípadoch už banky zaviedli vylepšenia alebo plánujú odstrániť nedostatky zistené počas hodnotenia.

Kontaktná osoba pre médiá: Clara Martín Marqués, tel.: +49 171 769 17919.

Poznámky

KONTAKT

Európska centrálna banka

Generálne riaditeľstvo pre komunikáciu

Šírenie je dovolené len s uvedením zdroja.

Kontakty pre médiá
Oznamovanie porušení predpisov (whistleblowing)