Europska centralna banka (ECB) u petak je dovršila test na kibernetičku otpornost banaka. Ovim ispitivanjem je testirala sposobnost 109 banaka da odgovore na ozbiljan i moguć incident povezan s kibernetičkom sigurnošću. Također, testirana je mogućnost oporavka od takvog napada, te vraćanje u normalno poslovanje.
Testiranje otpornosti na stres započelo je u siječnju 2024. Isto uključuje izmišljen scenarij u kojem su sve preventivne mjere bile neuspješne. Kibernetički je napad snažno utjecao na baze podataka temeljnih sustava svih banaka. Dakle, testiranjem se nije ispitivala sposobnost banaka da spriječe kibernetički napad, nego njihova sposobnost da odgovore na kibernetički napad i da se od njega oporave.
Utvrđivanje i otklanjanje manjkavosti u okvirima operativne otpornosti nadziranih banaka, uključujući one koje proizlaze iz kibernetičkih rizika. Ovo je jedan od nadzornih prioriteta jedinstvenog nadzornog mehanizma ECB‑a za razdoblje od 2024. do 2026. Razlog je tomu nedavni snažni porast broja kibernetičkih incidenata. O ovome su nadzirane banke izvijestile ECB, koji je dijelom posljedica povećanja geopolitičkih napetosti i poteškoća u digitalizaciji bankarskog sektora, navoe iz centralne banke.
Banke dostavile dokumentaciju za kibernetičku otpornost
Testiranjem otpornosti na stres obuhvaćeno je 109 banaka koje ECB izravno nadzire. Sve su banke morale ispuniti upitnik i nadzornim tijelima dostaviti dokumentaciju na analizu. Opsežnije testiranje provedeno je na uzorku od 28 banaka. Iste su morale provesti stvarni test oporavka IT sustava i dokazati njegov uspješan ishod. Njihovo je testiranje uključivalo i provjeru nadzornih tijela u prostorijama banaka. U uzorak su uključeni različiti poslovni modeli. Različita zemljopisna područja kako bi se obuhvatio širi bankovni sustav europodručja i zajamčila dostatna koordinacija s drugim nadzornim aktivnostima.
Konkretno, u ispitivanju sposobnosti odgovora na scenarij kibernetičkog napada, banke su morale pokazati da su sposobne: aktivirati planove odgovora na krize, uključujući interne postupke za upravljanje krizama i planove kontinuiteta poslovanja.
Komunicirati sa svim vanjskim dionicima, na primjer klijentima, pružateljima usluga i tijelima za izvršavanje zakonodavstva. Provesti analizu kako bi utvrdile koje bi usluge bile pogođene i na koji način. Provesti mjere za ublažavanje posljedica, uključujući zaobilazna rješenja koja bi im olakšala poslovanje do potpunog oporavka IT sustava.
U ispitivanju sposobnosti oporavka od scenarija banke su morale pokazati da su sposobne: aktivirati planove oporavka, uključujući povrat podataka iz sigurnosnih kopija i usklađivanje načina odgovora na incident s ključnim trećim stranama pružateljima usluga. Pobrinuti se za ponovnu uspostavu i funkcioniranje pogođenih područja; primijeniti stečena iskustva, na primjer preispitivanjem planova odgovora i oporavka.
Kako se, između ostalog, navodi u priopćenju, testiranje otpornosti na stres pokazalo je da su banke uspostavile okvire odgovora i oporavka. Svakako, postoje područja na kojima su potrebna poboljšanja, navodi Hrportfolio. Rezultati testiranja pridonijeli su povećanju svijesti banaka o prednostima i nedostatcima njihovih okvira kibernetičke otpornosti. ISti ćese uzeti u obzir u postupku nadzorne provjere i ocjene u 2024.