Европейский центральный банк (ЕЦБ) завершил масштабное стресс-тестирование кибербезопасности европейских банков, начатое в январе 2024 года. Регулятор проверил готовность финансовых учреждений противостоять серьезным кибератакам и восстанавливаться после них.
В тестировании участвовали 109 банков под прямым надзором ЕЦБ. Все учреждения ответили на специальный опросник и предоставили документацию для анализа. Дополнительно 28 банков прошли более глубокую проверку, включая практическое тестирование восстановления ИТ-систем с предоставлением доказательств успешного выполнения, а также визиты надзорных органов.
Сценарий стресс-теста предполагал серьезный, но правдоподобный инцидент кибербезопасности: все превентивные меры защиты оказались неэффективными, а кибератака серьезно повредила базы данных ключевых систем банков. Главной целью было оценить умение реагировать на атаку и восстанавливаться после инцидента.
Результаты показали, что банки в целом имеют необходимые механизмы реагирования, но есть области для улучшения. ЕЦБ призвал банки улучшить планы по обеспечению бесперебойной работы в кризисных ситуациях, усовершенствовать методы коммуникации со всеми заинтересованными сторонами и разработать более эффективные стратегии восстановления ИТ-систем после кибератак. Банкам рекомендовано учитывать более широкий спектр сценариев кибер-рисков и лучше оценивать зависимость от критически важных сторонних поставщиков ИТ-услуг.
Регулятор отмечает увеличение числа кибер-инцидентов в банковском секторе. Эта тенденция связана с растущей геополитической напряженностью и вызовами цифровизации.
Стоит отметить, что проведение подобных стресс-тестов является регулярной практикой ЕЦБ. Согласно статье 100 Директивы о требованиях к капиталу, надзорные стресс-тесты проводятся ежегодно. Каждые два года ЕЦБ участвует в общеевропейском стресс-тесте, координируемом Европейским банковским управлением. В остальные годы ЕЦБ организует целевые стресс-тесты по конкретным темам.
ЕЦБ подчеркивает, что выявление и устранение недостатков в системах операционной устойчивости банков, включая защиту от киберрисков, является одним из приоритетов надзорной деятельности на 2024-2026 годы. Результаты стресс-теста будут использованы в процессе надзорной проверки и оценки (SREP) 2024 года. При этом итоги тестирования не повлияют на требования к капиталу банков (Pillar 2 Guidance), поскольку основной фокус был сделан на операционных аспектах.
Надзорные органы предоставили индивидуальные отзывы каждому банку и будут работать с ними над устранением выявленных недостатков. Некоторые финансовые учреждения уже начали улучшать свои системы кибербезопасности или планируют это сделать в ближайшее время.
ЕЦБ намерен продолжить работу с подконтрольными банками для укрепления их киберустойчивости. Регулятор будет поощрять финансовые учреждения к соблюдению надзорных требований, в том числе к наличию адекватных планов обеспечения непрерывности бизнеса, коммуникации и восстановления.