Kodėl ECB atliko kibernetinio atsparumo testavimą nepalankiausiomis sąlygomis?
Vadovaudamasis Kapitalo reikalavimų direktyvos 100 straipsniu, ECB kasmet atlieka priežiūrinį testavimą nepalankiausiomis sąlygomis, o kas dvejus metus dalyvauja ES mastu vykdomame testavime nepalankiausiomis sąlygomis, kurį koordinuoja Europos bankininkystės institucijai (EBI). Tais metais, kai EBI nevykdo testavimo nepalankiausiomis sąlygomis, ECB vykdo tikslinį testavimą nepalankiausiomis sąlygomis, skirtą kokiai nors konkrečiai rizikai tirti. Šie testavimai vykdomi bendradarbiaujant su nacionalinėmis priežiūros institucijomis.
Pastaraisiais metais labai padaugėjo kibernetinių išpuolių ir bankams šios nuolat kintančios kibernetinės grėsmės yra labai realios. Kaip minima 2024–2026 m. priežiūros prioritetuose, ECB prašo prižiūrimų bankų toliau daryti pažangą vykdant skaitmeninę transformaciją ir kuriant patikimas operacinio atsparumo sistemas, kad jie būtų pasirengę atlaikyti kibernetinius išpuolius ir galėtų greitai atsigauti įvykus rimtam kibernetiniams incidentui.
Koks scenarijus naudotas testavimui nepalankiausiomis sąlygomis?
Pagal scenarijų buvo daroma prielaida, kad prevenciniai veiksmai ir apsaugos priemonės buvo apeiti arba nesuveikė, o kibernetinis išpuolis sėkmingai sutrikdė banko kasdienę veiklą. Tada bankai testavo savo reagavimo ir atsigavimo priemones, įskaitant kritinių situacijų procedūrų ir veiklos tęstinumo planų aktyvavimą bei įprastos veiklos atkūrimą. Po to priežiūros institucijos įvertino, kaip bankai sugebėjo susitvarkyti su padėtimi. Taigi buvo vertinamas ne bankų gebėjimas užkirsti kelią kibernetiniam išpuoliui, o tai, kaip bankai į tokį išpuolį reaguoja ir po jo atsigauna.
Kokio pobūdžio informaciją bankai teikė ECB?
Atliktas dviejų lygių vertinimas: standartinis ir išsamesnis su papildomais reikalavimais. Į standartinį vertinimą įtrauktas 81 bankas turėjo užpildyti klausimyną ir pateikti susijusių įrodymų, pavyzdžiui, BPM pranešimus apie kibernetinius incidentus, iš anksto parengtus dokumentus, pavyzdžiui, apie vidaus politiką ir procedūras, susijusias su IRT rizika, taip pat ankstesnių IT gaivinimo testų rezultatus taikant į 2024 m. BPM kibernetinio atsparumo testavimą nepalankiausiomis sąlygomis panašų scenarijų. Į išsamesnį vertinimą įtrauktų 28 bankų buvo paprašyta ne tik pateikti minėtus dalykus, bet ir atlikti faktinį IT atkūrimo testą pagal 2024 m. BPM kibernetinio atsparumo testavimo nepalankiausiomis sąlygomis scenarijų ir pateikti įrodymų, kad atkūrimas buvo sėkmingas. Be to, toliau vykdant kokybės užtikrinimą buvo atliktas šių bankų patikrinimas vietoje.
Kaip atrinkome bankus išsamesniam vertinimui?
Į išsamesnio vertinimo imtį pateko bankai su įvairiais verslo modeliais ir iš įvairių šalių – tai padėjo geriau atspindėti euro zonos bankų sistemą. Imties atrankai įtakos neturėjo atitinkamų bankų kibernetinės rizikos profilis.
Kaip ECB naudosis per testavimą gautomis įžvalgomis?
Testavimas daugiausia buvo kokybinis. Į gautas įžvalgas bus atsižvelgta vykdant 2024 m. platesnio masto priežiūrinio tikrinimo ir vertinimo procesą. Užbaigus testavimą, kiekvienas bankas gavo ataskaitą apie savo padėtį su rekomendacijomis dėl jos tobulinimo. Pažangą stebės jungtinės priežiūros grupės vykdydamos įprastą bankų priežiūrą. Šis testavimas nepalankiausiomis sąlygomis nebuvo sutelktas į bankų kapitalą, todėl jo rezultatai neturės įtakos bankų rekomenduojamam 2 ramsčio kapitalui.