Επιλογές αναζήτησης
Η ΕΚΤ Ενημέρωση Επεξηγήσεις Έρευνα & Εκδόσεις Στατιστικές Νομισματική πολιτική Το ευρώ Πληρωμές & Αγορές Θέσεις εργασίας
Προτάσεις
Εμφάνιση κατά

Απαντήσεις σε συνήθεις ερωτήσεις σχετικά με την άσκηση προσομοίωσης ακραίων καταστάσεων σχετικά με την ανθεκτικότητα έναντι κυβερνοαπειλών για το 2024

Γιατί η ΕΚΤ διενήργησε άσκηση προσομοίωσης ακραίων καταστάσεων για την ανθεκτικότητα έναντι κυβερνοαπειλών;

Η ΕΚΤ διενεργεί εποπτικές ασκήσεις προσομοίωσης ακραίων καταστάσεων σε ετήσια βάση σύμφωνα με το άρθρο 100 της οδηγίας για τις κεφαλαιακές απαιτήσεις και κάθε δύο χρόνια συμμετέχει σε άσκηση προσομοίωσης ακραίων καταστάσεων σε επίπεδο ΕΕ υπό τον συντονισμό της Ευρωπαϊκής Αρχής Τραπεζών (ΕΑΤ). Τα έτη κατά τα οποία δεν διεξάγεται άσκηση προσομοίωσης ακραίων καταστάσεων της ΕΑΤ σε επίπεδο ΕΕ, η ΕΚΤ διενεργεί στοχευμένη άσκηση η οποία επικεντρώνεται σε συγκεκριμένο είδος κινδύνου. Αυτές οι ασκήσεις διενεργούνται σε συνεργασία με τις εθνικές εποπτικές αρχές.

Τα τελευταία χρόνια, οι κυβερνοεπιθέσεις έχουν αυξηθεί σημαντικά και οι τράπεζες είναι ιδιαίτερα εκτεθειμένες σε αυτές τις συνεχώς εξελισσόμενες κυβερνοαπειλές. Στο πλαίσιο των εποπτικών προτεραιοτήτων για την περίοδο 2024-2026, η ΕΚΤ καλεί τις εποπτευόμενες τράπεζες να σημειώσουν περαιτέρω πρόοδο όσον αφορά τον ψηφιακό μετασχηματισμό τους και τη δημιουργία στιβαρών πλαισίων επιχειρησιακής ανθεκτικότητας, ούτως ώστε να είναι έτοιμες να αντεπεξέλθουν σε κυβερνοεπιθέσεις και να μπορούν να αποκαταστήσουν γρήγορα τη λειτουργία τους σε περίπτωση σοβαρών συμβάντων κυβερνοασφαλείας.

Ποιο σενάριο χρησιμοποιήθηκε στο πλαίσιο της άσκησης;

Σύμφωνα με το σενάριο της άσκησης, οι προληπτικές ενέργειες και τα μέτρα προστασίας παρακάμφθηκαν ή απέτυχαν και μια κυβερνοεπίθεση κατάφερε να διαταράξει τις καθημερινές εργασίες των τραπεζών. Οι τράπεζες υπέβαλαν σε δοκιμή τα μέτρα που εφαρμόζουν για την αντιμετώπιση κυβερνοεπιθέσεων και την αποκατάσταση της λειτουργίας τους, μεταξύ άλλων ενεργοποιώντας διαδικασίες κατεπείγοντος και σχέδια έκτακτης ανάγκης και αποκαθιστώντας τις κανονικές συνθήκες εργασίας τους. Οι εποπτικές αρχές αξιολόγησαν στη συνέχεια τον τρόπο με τον οποίο οι τράπεζες μπόρεσαν να αντεπεξέλθουν σε ένα τέτοιο σενάριο. Η άσκηση αυτή αξιολόγησε επομένως τον τρόπο με τον οποίο οι τράπεζες αντιμετωπίζουν τις κυβερνοεπιθέσεις και αποκαθιστούν τη λειτουργία τους αντί να εξετάσει την ικανότητά τους να τις αποτρέπουν.

Τι είδους πληροφορίες ανέφεραν οι τράπεζες στην ΕΚΤ;

Εφαρμόστηκαν δύο επίπεδα αξιολόγησης: ένα τυπικό επίπεδο και ένα ενισχυμένο επίπεδο με πρόσθετες απαιτήσεις. Ζητήθηκε από τις 81 τράπεζες που συμμετείχαν στην τυπική αξιολόγηση να απαντήσουν σε ερωτηματολόγιο και να παράσχουν σχετικά αποδεικτικά στοιχεία, όπως γνωστοποιήσεις συμβάντων κυβερνοασφαλείας του ΕΕΜ, προκαθορισμένα έγγραφα, όπως εσωτερικές πολιτικές και διαδικασίες που σχετίζονται με κινδύνους ΤΠΕ, και τα αποτελέσματα προηγούμενων ελέγχων αποκατάστασης της λειτουργίας των πληροφοριακών συστημάτων που χρησιμοποίησαν σενάριο παρόμοιο με εκείνο της άσκησης προσομοίωσης ακραίων καταστάσεων για την ανθεκτικότητα έναντι κυβερνοαπειλών την οποία διενήργησε ο ΕΕΜ το 2024. Πέραν αυτών των παραδοτέων, ζητήθηκε επίσης από τις 28 τράπεζες που συμμετείχαν στην ενισχυμένη αξιολόγηση να διενεργήσουν πραγματικό έλεγχο αποκατάστασης της λειτουργίας των πληροφοριακών συστημάτων σύμφωνα με το σενάριο της παραπάνω άσκησης που διενήργησε ο ΕΕΜ το 2024 και να παράσχουν σχετικά αποδεικτικά στοιχεία για την επιτυχή αποκατάσταση της λειτουργίας. Στις εν λόγω τράπεζες πραγματοποιήθηκε επίσης επιτόπια επίσκεψη για περαιτέρω διασφάλιση ποιότητας.

Σε ποια βάση επιλέξατε τις τράπεζες για την ενισχυμένη αξιολόγηση;

Το δείγμα της ενισχυμένης αξιολόγησης καλύπτει διαφορετικά επιχειρηματικά μοντέλα και διαφορετικές χώρες ώστε να αποτυπώνει με ουσιαστικό τρόπο το τραπεζικό σύστημα της ζώνης του ευρώ. Η επιλογή του δείγματος δεν καθορίστηκε από παραμέτρους που σχετίζονται με το προφίλ κινδύνου κυβερνοαπειλών των εμπλεκόμενων τραπεζών.

Πώς θα χρησιμοποιήσει η ΕΚΤ τα στοιχεία που προέκυψαν από την άσκηση;

Η άσκηση είχε κατά κύριο λόγο ποιοτικό χαρακτήρα. Τα στοιχεία που αντλήθηκαν κατά την άσκηση θα χρησιμοποιηθούν για τη Διαδικασία Εποπτικού Ελέγχου και Αξιολόγησης (Supervisory Review and Evaluation Process - SREP) ευρείας κλίμακας του 2024. Μετά την ολοκλήρωση της άσκησης, η κάθε τράπεζα έλαβε ξεχωριστή έκθεση με συστάσεις για τη βελτίωσή της, στην οποία θα δοθεί συνέχεια από τις μεικτές εποπτικές ομάδες στο πλαίσιο των τακτικών εποπτικών δραστηριοτήτων τους. Καθώς η άσκηση δεν επικεντρώθηκε στο κεφάλαιο που διαθέτουν οι τράπεζες, τα αποτελέσματά της δεν θα επηρεάσουν το κεφάλαιο των τραπεζών μέσω των κατευθύνσεων του Πυλώνα 2.

Μηχανισμός καταγγελίας παραβάσεων