Cyber test στις τράπεζες: Πόσο έτοιμες είναι στις κυβερνοεπιθέσεις

Σε τρία επίπεδα η άσκηση- Τι θα εξετάζει

Την αυξημένη ετοιμότητα των τραπεζών επιθυμούν οι ευρωπαϊκές αρχές που προγραμματίζουν το 2024 stress test το οποίο θα αφορά την κυβερνοασφάλεια Cyber Security Test.

Με δεδομένο πως το κόστος των κυβερνοεπιθέσεων μόνον στην Ευρώπη έχει παρουσιάσει μια αύξηση της τάξης του 50% το 2022. Δυστυχώς στοιχεία κόστους έχουν υπολογιστεί σε διεθνές επίπεδο μόνον για το 2021 χρονιά κατά την οποία το κόστος αυτό είχε εκτιμηθεί σε 6 δισ. ευρώ περίπου. Σήμερα το κόστος αυτό θεωρείται πως μπορεί και να πλησιάζει τα 9 δισ. ευρώ χωρίς όμως να υπάρχουν επίσημα στοιχεία.

Οι  ευρωπαϊκές αρχές θεωρούν εξαιρετικά σημαντική την εν λόγω μέριμνα μιας και μεγάλο τμήμα αυτού του κόστους περνά μέσα από τα πιστωτικά ιδρύματα.

Και όταν ακόμη δεν περνά οι τράπεζες ενδέχεται να επωμιστούν ζημίες προερχόμενες από την αδυναμία επιχειρήσεων και οργανισμών που έχουν υποστεί κυβερνοεπίθεση να καταφέρουν να ανταποκριθούν στις υποχρεώσεις τους.

Συγχρόνως η άσκηση με κάποιο τρόπο θα περιλαμβάνει και τον τρόπο αντιμετώπισης από την πλευρά των τραπεζών και του fishing μολονότι δεν αποτελεί αμιγώς δική τους ευθύνη όμως πλέον εγείρονται κίνδυνοι σημαντικών αποζημιώσεων στις περιπτώσεις που οι επιθέσεις είναι συχνές και δεν αντιμετωπίζονται αποτελεσματικά.

Τι θα εξετάζει το stress test
H άσκηση θα δομηθεί σε τρία επίπεδα:

•    Το επίπεδο ασφάλειας των δεδομένων των τραπεζών, τη δυνατότητα παραβίασης κωδίκων κ.λπ. Η πιστοποίηση των συστημάτων των τραπεζών θα γίνουν με βάση ειδικά πρότυπα και δείκτες  τα οποία θεσπίζουν οι αρχές και τα οποία θα διαμορφώνουν ένα ακριβές περιβάλλον ενιαίων μετρήσεων.

•    Tην ικανότητα των τραπεζών  να αντιδράσουν σε περίπτωση κυβερνοεπίθεσης ώστε να ανακτήσουν δεδομένα και να συνεχίσουν τη λειτουργία τους.

•    Προβλέψεις οι οποίες έχουν ληφθεί για την κοστολόγηση των συγκεκριμένων κινδύνων.

Συγχρόνως οι τυχόν αδυναμίες που θα αναδειχθούν από την άσκηση θα οδηγήσουν τις τράπεζες να λάβουν ειδικές μέριμνες αναβάθμισης των συστημάτων τους ώστε να είναι δυνατή η απρόσκοπτη λειτουργία τους. Θα θεσπισθούν ειδικοί δείκτες που θα καταμετρήσουν.

Τι αποφάσεις είχε λάβει η Κομισιόν πρόσφατα
Πριν η απόφαση αυτή ληφθεί από την Ευρωπαϊκή Κεντρική Τράπεζα και την EBA, και  μόλις δύο μήνες νωρίτερα  η Ευρωπαϊκή Επιτροπή δημοσίευσε πρόταση Κανονισμού για την αλληλεγγύη στον «κυβερνοχώρο» (‘CSA’). Μέσω της εν λόγω πρότασης Κανονισμού επιδιώκεται η βελτίωση του εντοπισμού, της ετοιμότητας και της αντιμετώπισης σημαντικών ή μεγάλης κλίμακας περιστατικών κυβερνοασφάλειας.

H Ευρωπαϊκή Επιτροπή προτείνει τη δημιουργία μιας «ευρωπαϊκής κυβερνοασπίδας», ήτοι μια πανευρωπαϊκή υποδομή που θα αποτελείται από εθνικά και διασυνοριακά κέντρα επιχειρήσεων ασφάλειας (“Security Operations Centres”, ‘SOC’) σε ολόκληρη την ΕΕ.

Περαιτέρω, προβλέπεται η δημιουργία ενός μηχανισμού έκτακτης ανάγκης στον «κυβερνοχώρο» για την αύξηση της ετοιμότητας και την ενίσχυση των ικανοτήτων αντιμετώπισης σχετικών περιστατικών εντός της ΕΕ.

Ακολούθως, προβλέπεται η θέσπιση μηχανισμού επανεξέτασης περιστατικών κυβερνοασφάλειας με σκοπό να ενισχυθεί η ανθεκτικότητα της ΕΕ μέσω της επανεξέτασης και της αξιολόγησης σημαντικών ή μεγάλης κλίμακας περιστατικών κυβερνοασφάλειας μετά την εκδήλωσή τους, της άντλησης διδαγμάτων και, κατά περίπτωση, της έκδοσης συστάσεων για τη βελτίωση της κατάστασης στην ΕΕ όσον αφορά την κυβερνοασφάλεια.

Αλυσιδωτές αντιδράσεις – Συνέπειες από τον περιορισμό του δικτύου καταστημάτων
Αλυσιδωτές αντιδράσεις θα επιφέρουν τα stress tests που θα διενεργήσει η Ευρωπαϊκή Αρχή αφού θεωρείται περίπου βέβαιο πως για να δανειοδοτηθούν επιχειρήσεις θα πρέπει να έχουν νωρίτερα πραγματοποιήσει ασφάλεια έναντι του συγκεκριμένου κινδύνου. Εξαιρετικά λίγες είναι τουλάχιστον στη χώρα μας οι εταιρίες οι οποίες έχουν πραγματοποιήσει αντίστοιχες επιθέσεις ενώ καθόλου απίθανο δεν πρέπει να θεωρείται οι τράπεζες να βάζουν επιπλέον δικλίδες ασφαλείας στους πελάτες τους και για το fishing. Αξίζει δε να σημειωθεί πως τόσο οι ιδιώτες- θύματα fishing όσο και οι επιχειρήσεις θύματα κυβερνοεπιθέσεων, αδυνατούν να λειτουργήσουν καθώς τα καταστήματα των τραπεζών έχουν μειωθεί ενώ πραγματοποιούν πολύ μικρό αριθμό συναλλαγών με φυσική παρουσία.

Η Check Point Research  αναφέρει αύξηση 48% το 2022 σε σχέση με το 2021 στις κυβερνοεπιθέσεις που βασίζονται στο cloud  καθώς οι οργανισμοί μεταφέρουν όλο και περισσότερες λειτουργίες σε αυτό το περιβάλλον  λόγω των  κλιμακούμενων ψηφιακών μετασχηματισμών.

Οι μεγαλύτερες αυξήσεις παρατηρήθηκαν στην Ασία (+60%), ακολουθεί η Ευρώπη (+50%) και η Βόρεια Αμερική (+28%).

Κατά τη διάρκεια του πρώτου τριμήνου του 2023, ο παγκόσμιος μέσος όρος εβδομαδιαίων επιθέσεων αυξήθηκε κατά 7% σε σύγκριση με την αντίστοιχη περίοδο του 2022. Περισσότερες επιθέσεις δέχθηκε ο τομέας της Εκπαίδευσης-Έρευνας. Ο κυβερνητικός- στρατιωτικός τομέας ήταν ο δεύτερος πιο στοχευμένος. Ο τομέας της Υγείας παρουσίασε σημαντική αύξηση. Η μεγαλύτερη ωστόσο αλλαγή που σχετίζεται και με τις επιπτώσεις στις τράπεζες ήρθε από τον τομέα Λιανικής-Χονδρικής, ο οποίος σημείωσε την υψηλότερη ετήσια αύξηση 49%.

ΝΑΥΤΕΜΠΟΡΙΚΗ
 

ΔΙΑΒΑΣΤΕ ΕΠΙΣΗΣ: Η Τράπεζα Κύπρου ανοίγει την αγορά των ομολόγων AT1

ΔΙΑΒΑΣΤΕ ΠΕΡΙΣΣΟΤΕΡΑ