Η Επιτροπή της Βασιλείας για την εποπτεία των τραπεζών συνέστησε μια ομάδα εργασίας που ανέλαβε να μελετήσει ένα σύστημα για την προστασία των πιστωτικών ιδρυμάτων και πώς αυτά θα συνεχίζουν να δουλεύουν όταν βάλλονται από κυβερνοεπιθέσεις ή από άλλα μεγάλα τεχνικά προβλήματα. Οι εργασίες αυτές θα καταλήξουν σε τεστ προσομοίωσης για την αντοχή των ευαίσθητων κυβερνοχώρων όπως τα πιστωτικά ιδρύματα.
Το κόστος των επιθέσεων αυτών για τις τράπεζες είναι εξαιρετικά μεγάλο και συχνά δημιουργεί προβλήματα, που μπορεί να οδηγήσουν σε πραγματικές καταστροφές.
Ας σημειωθεί για παράδειγμα πως στη χώρα μας το σημαντικότερο τμήμα των φορολογικών και άλλων εποπτικών ελέγχων που διασφαλίζουν σημαντικά έσοδα για τον προϋπολογισμό, αμιγώς ακουμπούν στα στοιχεία των πιστωτικών ιδρυμάτων.
Με βάση στοιχεία του περασμένου έτους, τα 448 δισ. δολάρια έφθασαν οι απώλειες εξαιτίας του ηλεκτρονικού εγκλήματος διεθνώς. Οι τράπεζες αποτελούν έναν από τους μεγαλύτερους στόχους των χάκερ.
Το αμερικανικό υπουργείο Οικονομικών θεωρεί τις κυβερνοεπιθέσεις έναν από τους μεγαλύτερους κινδύνους που απειλούν τον χρηματοπιστωτικό κλάδο. Οι απώλειες εξαιτίας του ηλεκτρονικού εγκλήματος ήταν το 2017 υψηλότερες κατά 30% σε σύγκριση με το 2014.
Στην Ευρώπη ήδη η Επιτροπή της Βασιλείας έφτιαξε και αυτή μια ομάδα εργασίας που μελετά τα θέματα που σχετίζονται με το κυβερνορίσκο και την ευρύτερη λειτουργική ανθεκτικότητα των πιστωτικών ιδρυμάτων.
Η έκθεση
Η Επιτροπή της Βασιλείας για την τραπεζική εποπτεία δημοσίευσε μια έκθεση που προσδιορίζει, περιγράφει και συγκρίνει την κλίμακα των πρακτικών ενίσχυσης της κυβερνοασφάλειας που χρησιμοποιούν οι ευρωπαϊκές τράπεζες.
Η έκθεση αναλύει 10 βασικά ευρήματα:
1. Γενικό πλαίσιο. Οι τεχνικές προδιαγραφές και οι πρακτικές εποπτείας διαφοροποιούνται με βάση τις δικαιοδοσίες λειτουργίας και επιθεώρησης των τραπεζικών συστημάτων.
2. Στρατηγική. Οι ρυθμιστές δεν απαιτούν εξειδικευμένη στρατηγική για την κυβερνοπροστασία. Ωστόσο, οι θεσμοί αναμένεται να διασφαλίζουν ότι τα συστήματα είναι ασφαλή από τον σχεδιασμό τους.
3. Διαχείριση του κυβερνορίσκου. Στις περισσότερες περιπτώσεις οι πρακτικές της διαχείρισης του λειτουργικού κινδύνου σε συνδυασμό με την τεχνολογία στην πληροφορική είναι ωριμότερες και χρησιμοποιούνται για να αντιμετωπίσουν τον κίνδυνο του κυβερνοχώρου.
4. Διακυβέρνηση και Οργάνωση. Μοντέλα όπως «οι τρεις γραμμές άμυνας» είναι ευρέως υιοθετημένα, αλλά οι αντοχές στις κυβερνοεπιθέσεις δεν εξαρτούνται πάντα από αυτές τις γραμμές άμυνας που είναι τεχνικές, επιχειρησιακές και στρατηγικής πολιτικής.
5. Εργατικό Δυναμικό. Η έλλειψη εξειδικευμένου προσωπικού αποτελεί μια πρόκληση για τις επόμενες προσλήψεις στις τράπεζες.
6. Δοκιμές. Οι δοκιμές για προστασία και ανίχνευση εξελίσσονται.
7. Απόκριση στο γεγονός. Παρά το γεγονός πως δεν απαιτείται να υπάρχει πλαίσιο απόκρισης του management σε επεισόδια κυβερνοεπιθέσεων, ωστόσο είναι απαιτούμενο να υπάρχουν τα αντίστοιχα σχέδια.
8. Δείκτες μέτρησης. Δεν υπάρχουν τυποποιημένα μοντέλα δεικτών μέτρησης, παρά το γεγονός πως υπάρχουν κάποιοι επιμέρους δείκτες.
9. Διανομή πληροφορίας. Το περιεχόμενο και η χρήση των πληροφοριών που συγκεντρώνουν και μοιράζονται μεταξύ τους οι τράπεζες και οι εποπτικές αρχές ποικίλλει. Η ταχύτητα, το μέγεθος και η ασφάλεια των επικοινωνιών που απαιτούνται για να αντιμετωπιστεί ένα διασυνοριακό κυβερνοεπεισόδιο έχουν οδηγήσει ορισμένες τράπεζες και οργανισμούς να λάβουν κάποια εξειδικευμένα επίσημα μέτρα στον τομέα αυτόν.
10. Ο κίνδυνος που διατρέχουν οι τράπεζες από τρίτους. Τα ρυθμιστικά πλαίσια για τις δραστηριότητες που διενεργούνται από τρίτους είναι αρκετά καθιερωμένα και μοιράζονται κοινά χαρακτηριστικά, αλλά δεν υπάρχει κοινή προσέγγιση σε ό,τι αφορά τους τρίτους εκτός από τις υπηρεσίες που δίδονται outsourcing.
Μέσα από αυτό το πλαίσιο των 10 σημείων η επιτροπή θα προσδιορίσει τους κινδύνους εκείνους που είναι σημαντικότεροι προκειμένου να αντιμετωπιστούν.
Ο αμερικανικός χρηματοπιστωτικός κλάδος έχει καθιερώσει ανά διετία ασκήσεις προσομοίωσης για την καταπολέμηση μιας μαζικής κυβερνοεπίθεσης. Η τελευταία άσκηση πραγματοποιήθηκε τον περασμένο Νοέμβριο και σε αυτήν συμμετείχαν 900 υπάλληλοι από 50 τράπεζες, αλλά και εκπρόσωποι των εποπτικών αρχών του κλάδου και των υπηρεσιών δίωξης.
Οι πρακτικές που θα ακολουθηθούν, σημειώνουν Ευρωπαίοι αξιωματούχοι με γνώση του θέματος, θα έχουν ένα σημαντικό κόστος για τις τράπεζες. Το ποιο θα είναι το κόστος αυτό θα εξαρτηθεί από τη στάθμιση των κινδύνων, που με τη σειρά τους μπορούν να ενισχύσουν δραματικά τα κόστη των τραπεζών από δυνητικές καταστροφές.
Σε Ευρώπη και Κεντρική Ασία οι απώλειες από κυβερνοεπιθέσεις υπολογίζονται σε 160-180 δισ. ευρώ.
Τα σχέδια της ΕΚΤ
Η ΕKT έχει σχεδιάσει ένα νέο τεστ προσομοίωσης για κυβερνοεπιθέσεις σε τράπεζες, χρηματιστήρια και άλλες εταιρείες που είναι κρίσιμης σημασίας για τη λειτουργία του χρηματοπιστωτικού συστήματος, όπως ανακοίνωσε σήμερα.
Οι δοκιμές θα είναι εξατομικευμένες και δεν θα καταλήγουν σε μια κατηγοριοποίηση αυτών που πέτυχαν ή απέτυχαν στα τεστ, σύμφωνα με την ΕΚΤ, αλλά θα δίνουν «στις εξεταζόμενες οντότητες μια εικόνα για τα ισχυρά τους σημεία και τις αδυναμίες τους».
