Kāpēc ECB veica kibernoturības stresa testu?
ECB reizi gadā veic uzraudzības stresa testus saskaņā ar Kapitāla prasību direktīvas 100. pantu un reizi divos gados piedalās Eiropas Banku iestādes (EBI) koordinētajā ES mēroga stresa testā. Gadā, kad nenotiek EBI ES mēroga stresa tests, ECB veic mērķorientētu stresa testu, pievēršot uzmanību noteiktam riska veidam. Šie stresa testi tiek veikti sadarbībā ar nacionālajām uzraudzības iestādēm.
Pēdējos gados ievērojami palielinājies kiberuzbrukumu skaits, un bankas ir lielā mērā pakļautas arvien mainīgajiem kiberdraudiem. Atbilstoši uzraudzības prioritātēm 2024.–2026. gadam ECB aicina uzraudzītās bankas panākt turpmāku progresu digitālajā transformācijā un stabilu darbības noturības sistēmu izveidē, lai tās būtu gatavas stāties pretī kiberuzbrukumiem un spētu ātri atgūties būtiska kiberincidenta gadījumā.
Kāds scenārijs tika izmantots stresa testā?
Scenārijā tika pieņemts, ka preventīvās darbības un aizsardzības pasākumi tikuši apieti vai bijuši neveiksmīgi un kiberuzbrukums sekmīgi radījis traucējumus bankas ikdienas darbībā. Bankām attiecīgi bija jāpārbauda savi reaģēšanas un atgūšanās pasākumi, t. sk. aktivizējot ārkārtas procedūras un rīcības plānus ārkārtas situācijām un atjaunojot normālu darbību. Pēc tam uzraugi izvērtēja, kā bankas spēja tikt galā ar šādu scenāriju. Tāpēc šajā stresa testā tika vērtēts, kā bankas reaģē uz kiberuzbrukumu un atgūstas no tā, nevis to spēja novērst šādu uzbrukumu.
Kāda veida informāciju bankas sniedza ECB?
Vērtējums tika veikts divos līmeņos – standarta līmenī un padziļinātā līmenī, piemērojot papildu prasības. 81 standarta novērtējumā iesaistītajai bankai tika lūgts atbildēt uz anketas jautājumiem un sniegt attiecīgus pierādījumus, piemēram, VUM kiberincidentu ziņošanas procesa paziņojumus, iepriekš noteiktus dokumentus, piemēram, iekšējo politiku un procedūras saistībā ar IKT risku, kā arī rezultātus, kas gūti iepriekš veiktajos IT atveseļošanas testos, izmantojot 2024. gada VUM kibernoturības stresa testa scenārijam līdzīgus scenārijus. 28 bankām, kas bija iesaistītas padziļinātā līmeņa novērtējumā, papildus šiem iesniegtajiem datiem bija jāveic arī faktiski IT atveseļošanas testi atbilstoši 2024. gada VUM kibernoturības stresa testa scenārijam un jāsniedz attiecīgi pierādījumi, ka atveseļošana bijusi sekmīga. Šīs bankas papildu kvalitātes kontroles nolūkos tika apmeklētas arī klātienē.
Kā jūs izvēlējāties bankas padziļinātā līmeņa novērtējumam?
Padziļinātā līmeņa novērtējuma izlase aptvēra dažādus uzņēmējdarbības modeļus un valstis, lai panāktu jēgpilnu eurozonas banku sistēmas atspoguļojumu. Izlase netika veidota, pamatojoties uz iesaistīto banku kiberdrošības riska profila apsvērumiem.
Kā ECB izmantos šajā novērtējumā gūtās atziņas?
Stresa tests galvenokārt bija kvalitatīvs. Tā laikā gūtais ieskats tiks izmantots plašākā 2024. gada uzraudzības pārbaudes un novērtēšanas procesa laikā. Testa noslēgumā bankas saņēma konkrēti katrai bankai sagatavotu ziņojumu, kas ietvēra ieteikumus par uzlabojumiem. Kopējās uzraudzības komandas veiks turpmākas pārbaudes par to izpildi regulārā uzraudzības darba ietvaros. Tā kā šis stresa tests nebija vērsts uz banku kapitālu, tā rezultāti neietekmēs banku 2. pīlāra norādes.