Europska središnja banka prvi je put upozorila da umjetna inteligencija više nije samo alat za povećanje produktivnosti banaka. Mogla bi postati i jedan od najvećih izvora sistemskog rizika za europski financijski sustav. Zato je najvećim bankama eurozone dala rok do 31. listopada da pripreme konkretne planove obrane od nove generacije kibernetičkih prijetnji.
Riječ je o važnoj promjeni u razmišljanju regulatora. ECB više ne promatra umjetnu inteligenciju isključivo kao tehnologiju koja može unaprijediti poslovanje banaka. Sada upozorava da ista tehnologija može ugroziti platne sustave, narušiti povjerenje građana i, u najgorem slučaju, izazvati poremećaje koji bi se mogli proširiti cijelim financijskim sustavom.
Nova generacija kibernetičkih prijetnji
Kibernetički napadi nisu novost za bankarski sektor. Ono što se promijenilo jest brzina kojom umjetna inteligencija može otkrivati sigurnosne propuste i pomagati u planiranju sofisticiranih napada.
Napredni AI modeli danas mogu analizirati goleme količine programskog koda, prepoznati ranjivosti i predložiti načine njihova iskorištavanja u vremenu koje je donedavno bilo nezamislivo. Time se značajno skraćuje vrijeme potrebno za pripremu napada, dok se pritisak na obrambene sustave banaka istodobno povećava.
U pismu izvršnim direktorima banaka ECB upozorava da takav razvoj događaja može imati ozbiljne posljedice za povjerljivost podataka, integritet informacijskih sustava i otpornost ključne digitalne infrastrukture.
Model koji je zabrinuo regulatore
Među razlozima za zabrinutost regulatora nalazi se i razvoj naprednih AI modela poput Mythosa, koji je razvila tvrtka Anthropic.
Mythos nije zlonamjerni softver. Riječ je o naprednom AI modelu čije mogućnosti u području kibernetičke sigurnosti mogu pomoći u otkrivanju ranjivosti i razvoju sofisticiranijih metoda napada. Upravo zbog mogućnosti zloupotrebe pristup modelu ograničen je na mali broj organizacija.
Poruka regulatora pritom nije usmjerena na jedan konkretan model. ECB upozorava da će obrambeni sustavi banaka morati napredovati jednako brzo kao i umjetna inteligencija koja potencijalno može biti iskorištena za napade.
Zašto ECB reagira upravo sada?
Povod nije jedan veliki kibernetički incident, nego procjena da se priroda prijetnji mijenja brže nego što se financijski sektor uspijeva prilagoditi.
ECB zato od banaka ne traži samo dodatne sigurnosne provjere. Traži brže otklanjanje ranjivosti, bolju zaštitu sustava dostupnih putem interneta i stroži nadzor nad vanjskim dobavljačima tehnologije.
Poruka je jasna: umjetna inteligencija postala je pitanje upravljanja rizicima na razini uprava banaka, a ne samo odgovornost IT odjela.
Jedan napad može pogoditi cijeli sustav
Najveća zabrinutost ECB-a nije mogućnost da jedna banka postane meta kibernetičkog napada. Problem je što financijski sustav danas dijeli velik dio iste digitalne infrastrukture.
Banke sve češće koriste iste cloud platforme, iste dobavljače softvera i brojne open-source komponente. Ako napad pogodi jednog od tih pružatelja usluga, posljedice se mogu vrlo brzo proširiti na desetke financijskih institucija.
Na isti rizik upozorio je i Europski odbor za sistemske rizike (ESRB). U pratećem izvješću navodi da bi veliki kibernetički incident mogao narušiti povjerenje građana u banke, izazvati prekide platnog prometa, pa čak i potaknuti povlačenje depozita iz institucija koje tržište procijeni manje sigurnima.
Ako bi takav napad privremeno zaustavio platni promet ili internetsko bankarstvo, posljedice ne bi osjetile samo banke. Poremećaji bi vrlo brzo pogodili građane i kompanije koje svakodnevno ovise o digitalnim financijskim uslugama.
Nova pravila upravljanja rizicima
ECB od banaka ne traži samo jače sigurnosne sustave. Očekuje promjenu načina upravljanja digitalnim rizicima.
To uključuje modernizaciju zastarjele IT infrastrukture, brže otklanjanje sigurnosnih propusta, kvalitetnije planove oporavka nakon napada te učinkovitiju razmjenu informacija između banaka i regulatora.
Banke do 31. listopada moraju dostaviti konkretne akcijske planove kako bi se nove mjere mogle uključiti u buduće nadzorne aktivnosti. Koliko ozbiljno ECB pristupa tom pitanju pokazuje i odluka da odgodi dio vlastitih IT nadzornih aktivnosti kako bi banke više vremena i resursa usmjerile na pripremu obrambenih planova.
Cyber sigurnost postaje strateška investicija
Nova očekivanja regulatora gotovo će sigurno povećati ulaganja banaka u digitalnu sigurnost.
To znači veću potražnju za naprednim sustavima za otkrivanje prijetnji, automatiziranim sigurnosnim alatima i AI rješenjima koja mogu prepoznati napade prije nego što izazovu ozbiljnu štetu. Istodobno će rasti ulaganja u modernizaciju infrastrukture i stroži nadzor nad vanjskim dobavljačima tehnologije.
Cyber sigurnost više nije samo trošak usklađivanja s regulatornim pravilima. Postaje strateško područje ulaganja koje može odlučivati o povjerenju klijenata, kontinuitetu poslovanja i otpornosti poslovnog modela.
Za tehnološke kompanije koje razvijaju sigurnosna rješenja to predstavlja novu poslovnu priliku. Za banke je riječ o investiciji koja postaje jednako važna kao kapitalna snaga ili upravljanje likvidnošću.
Nova era financijske stabilnosti
Umjetna inteligencija posljednjih se godina uglavnom povezivala s većom produktivnošću, boljom analizom podataka i učinkovitijim poslovanjem. ECB sada šalje drukčiju poruku.
Što AI postaje moćniji, to raste i njegova sposobnost da ugrozi financijsku stabilnost. Zato će utrku za primjenom umjetne inteligencije od sada pratiti i utrka za njezinim nadzorom i kontrolom.
ECB-ovo upozorenje pokazuje da će se financijska stabilnost ubuduće mjeriti i kvalitetom digitalne obrane. Banke koje budu ulagale samo u razvoj umjetne inteligencije, a zanemare njezine sigurnosne rizike, mogle bi izgubiti ono što je u financijskom sektoru najvrjednije – povjerenje klijenata.
