Κενά στη θωράκιση των τραπεζών απέναντι στους επίδοξους χάκερ διαπιστώνει η ΕΚΤ από το πρώτο τεστ ευπάθειας που πραγματοποίησε με φόντο τη διογκούμενη απειλή για κυβερνοεπιθέσεις. Η άσκηση προσομοίωσης ακραίων καταστάσεων αξιολόγησε τον τρόπο με τον οποίο οι τράπεζες θα αντιμετώπιζαν ένα σοβαρό αλλά αληθοφανές περιστατικό κυβερνοασφάλειας και θα αποκαθιστούσαν τη λειτουργία τους. Στην άσκηση συμμετείχαν 109 τράπεζες ενώ σε 28 από αυτές διενεργήθηκαν πιο εκτεταμένοι έλεγχοι. Συνολικά, η άσκηση προσομοίωσης ακραίων καταστάσεων έδειξε ότι οι τράπεζες διαθέτουν πλαίσια για την αντιμετώπιση κυβερνοαπειλής και την αποκατάσταση της λειτουργίας τους, αλλά εξακολουθούν να υπάρχουν περιθώρια βελτίωσης.
Τα αποτελέσματα, τα οποία θα ενσωματωθούν στη Διαδικασία Εποπτικού Ελέγχου και Αξιολόγησης (Supervisory Review and Evaluation Process – SREP) για το 2024, βοήθησαν τις τράπεζες να συνειδητοποιήσουν καλύτερα τα πλεονεκτήματα και τις αδυναμίες των οικείων πλαισίων ανθεκτικότητας έναντι κυβερνοαπειλών.
Το υποθετικό σενάριο της άσκησης
Η άσκηση, η οποία ξεκίνησε τον Ιανουάριο του 2024, περιλάμβανε ένα υποθετικό σενάριο προσομοίωσης ακραίων καταστάσεων σύμφωνα με το οποίο όλα τα προληπτικά μέτρα των τραπεζών απέτυχαν και η κυβερνοεπίθεση έπληξε σοβαρά τις βάσεις δεδομένων των βασικών συστημάτων τους. Ως εκ τούτου, η άσκηση επικεντρώθηκε στον τρόπο με τον οποίο οι τράπεζες θα αντιμετώπιζαν την κυβερνοεπίθεση και θα αποκαθιστούσαν τη λειτουργία τους και όχι στην ικανότητά τους να την αποτρέψουν.
Ο εντοπισμός και η αντιμετώπιση ανεπαρκειών στα πλαίσια επιχειρησιακής ανθεκτικότητας των εποπτευόμενων τραπεζών, συμπεριλαμβανομένων αυτών που απορρέουν από κυβερνοαπειλές, αποτελεί μία από τις εποπτικές προτεραιότητες της ΕΚΤ εντός του ΕΕΜ για την περίοδο 2024-2026. Αυτό αντανακλά την πρόσφατη έξαρση περιστατικών κυβερνοασφάλειας που οι εποπτευόμενες τράπεζες ανέφεραν στην ΕΚΤ – αύξηση που εν μέρει οφείλεται στις αυξανόμενες γεωπολιτικές εντάσεις και τις προκλήσεις που θέτει ο ψηφιακός μετασχηματισμός του τραπεζικού τομέα.
Όλες οι τράπεζες έπρεπε να απαντήσουν σε ερωτηματολόγιο και να υποβάλουν έγγραφα τεκμηρίωσης τα οποία ανέλυσαν οι εποπτικές αρχές, ενώ επιλέχθηκε ένα δείγμα 28 τραπεζών οι οποίες υποβλήθηκαν σε πιο εκτεταμένους ελέγχους. Από αυτές τις 28 τράπεζες ζητήθηκε να διενεργήσουν πραγματικό έλεγχο αποκατάστασης της λειτουργίας των πληροφοριακών συστημάτων τους και να παράσχουν αποδεικτικά στοιχεία για την επιτυχία αυτού του ελέγχου. Σε αυτές τις τράπεζες πραγματοποιήθηκαν επίσης επιτόπιες επισκέψεις από επόπτες. Το δείγμα κάλυψε διαφορετικά επιχειρηματικά μοντέλα και διαφορετικές γεωγραφικές τοποθεσίες ώστε να αντανακλάται το ευρύτερο τραπεζικό σύστημα της ζώνης του ευρώ και να διασφαλίζεται επαρκής συντονισμός με άλλες εποπτικές δραστηριότητες.
Τι ελέγχθηκε
Για να ελέγξουν τον τρόπο αντίδρασής τους σύμφωνα με το σενάριο, οι τράπεζες έπρεπε να δείξουν την ικανότητά τους:
· να ενεργοποιούν τα σχέδια που διαθέτουν για την αντιμετώπιση κρίσεων, συμπεριλαμβανομένων των εσωτερικών διαδικασιών διαχείρισης κρίσεων και των σχεδίων επιχειρησιακής συνέχειας·
· να επικοινωνούν με όλους τους εξωτερικούς ενδιαφερόμενους φορείς, όπως πελάτες, παρόχους υπηρεσιών και φορείς επιβολής του νόμου·
· να διενεργούν ανάλυση για τον προσδιορισμό των υπηρεσιών που θα επηρεάζονταν και τον τρόπο με τον οποίο αυτές θα επηρεάζονταν·
· να εφαρμόζουν μέτρα μετριασμού, συμπεριλαμβανομένων λύσεων που θα βοηθούσαν την τράπεζα να λειτουργήσει κατά το χρονικό διάστημα που θα απαιτούνταν για την πλήρη αποκατάσταση των πληροφοριακών συστημάτων.
Για να ελέγξουν την ικανότητά τους να αποκαταστήσουν τη λειτουργία τους σύμφωνα με το σενάριο, οι τράπεζες έπρεπε να δείξουν ότι θα μπορούσαν:
· να ενεργοποιήσουν τα σχέδια που διαθέτουν για την αποκατάσταση της λειτουργίας τους, συμπεριλαμβανομένης της αποκατάστασης εφεδρικών αντιγράφων και της ευθυγράμμισης με τρίτους παρόχους υπηρεσιών κρίσιμης σημασίας σχετικά με τον τρόπο αντιμετώπισης του περιστατικού·
· να διασφαλίσουν ότι αποκαταστάθηκε η λειτουργία των τομέων που επλήγησαν και ότι αυτοί λειτουργούν κανονικά·
· να εφαρμόσουν τα διδάγματα που αντλήθηκαν, για παράδειγμα επανεξετάζοντας τα σχέδια που διαθέτουν για την αντιμετώπιση κυβερνοαπειλής και την αποκατάσταση της λειτουργίας τους.
Η ΕΚΤ έχει δεσμευθεί να συνεχίσει να συνεργάζεται με τις τράπεζες τις οποίες εποπτεύει ούτως ώστε να ενισχύσει το πλαίσιο ανθεκτικότητας τους έναντι κυβερνοαπειλών. Για τον σκοπό αυτό, θα ενθαρρύνει περαιτέρω τις τράπεζες να συνεχίσουν να εργάζονται για την εκπλήρωση των εποπτικών προσδοκιών, μεταξύ άλλων, διασφαλίζοντας ότι διαθέτουν επαρκή σχέδια επιχειρησιακής συνέχειας, επικοινωνίας και αποκατάστασης της λειτουργίας, τα οποία θα πρέπει να λαμβάνουν υπόψη ένα ευρύ φάσμα σεναρίων κυβερνοαπειλών.
Οι τράπεζες θα πρέπει επίσης να είναι σε θέση να εκπληρώνουν τους δικούς τους στόχους αποκατάστασης της λειτουργίας, να αξιολογούν δεόντως τις εξαρτήσεις από τρίτους παρόχους υπηρεσιών τεχνολογίας πληροφορικής και επικοινωνιών (ΤΠΕ) κρίσιμης σημασίας και να εκτιμούν επαρκώς τις άμεσες και έμμεσες ζημίες από κυβερνοεπίθεση.
Τα αποτελέσματα της άσκησης θα ενσωματωθούν στη SREP του 2024, η οποία αξιολογεί το προφίλ κινδύνου κάθε τράπεζας. Η άσκηση προσομοίωσης ακραίων καταστάσεων έναντι κυβερνοαπειλών δεν επικεντρώνεται στο κεφάλαιο των τραπεζών. Αυτό σημαίνει ότι τα αποτελέσματά της δεν θα επηρεάσουν το κεφάλαιο των τραπεζών μέσω των κατευθύνσεων του Πυλώνα 2. Οι εποπτικές αρχές υπέβαλαν επιμέρους παρατηρήσεις σε κάθε τράπεζα και θα προβούν αντιστοίχως σε περαιτέρω ενέργειες σε συνεργασία με αυτές. Σε ορισμένες περιπτώσεις, οι τράπεζες έχουν ήδη βελτιώσει ή σχεδιάζουν να διορθώσουν τις ελλείψεις που εντοπίστηκαν κατά τη διάρκεια της άσκησης.