Ο κυβερνοκίνδυνος είναι ένας από τους βασικούς κινδύνους που αντιμετωπίζει ο χρηματοοικονομικός τομέας, διαπιστώνει ο οίκος αξιολόγησης DBRS, θεωρώντας ότι αποτελεί δυνητική απειλή για τη χρηματοοικονομική σταθερότητα, για τις εποπτικές αρχές και τις κεντρικές τράπεζες.
Όπως εξηγεί ο οίκος, η ταχεία ψηφιοποίηση, καθώς και η μεγάλη εξάρτηση από προμηθευτές υπηρεσιών τρίτων, σε ένα πιο σύνθετο και ασταθές γεωπολιτικό περιβάλλον, καθιστούν τις τράπεζες ευάλωτες στους κυβερνοκινδύνους και τα λειτουργικά περιστατικά. Και αυτό διότι οι κυβερνοεπιθέσεις συνήθως στοχεύουν στην καταστροφή, κλοπή ή αλλοίωση εμπιστευτικών πληροφοριών, συμπεριλαμβανομένων των δεδομένων των πελατών, ή στην πρόκληση διαταραχών λειτουργίας, όπως διακοπές υπηρεσιών ή καθυστερήσεις. Αυτές οι επιθέσεις μπορεί να οδηγήσουν σε οικονομικές απώλειες και παραβιάσεις δεδομένων και ιδιωτικότητας.
Ένας από τους μεγαλύτερους αναδυόμενους κινδύνους
Η ψηφιοποίηση των τραπεζών επιταχύνεται λόγω της ευρείας υιοθέτησης της ηλεκτρονικής τραπεζικής και των ψηφιακών εφαρμογών, καθώς και της αυξανόμενης ταχύτητας στις κλείσιμο καταστημάτων. Ωστόσο, αυτές οι εξελίξεις, όπως επισημαίνει και η DBRS, έχει οδηγήσει σε αύξηση των κυβερνοεπιθέσεων και των λειτουργικών περιστατικών.
Οι επενδύσεις που σχετίζονται με την πληροφορική αυξάνονται και αποτελούν σημαντικό μέρος των προϋπολογισμών και του χρηματοοικονομικού σχεδιασμού των τραπεζών. Σε ένα περιβάλλον όπου τα συστήματα λειτουργούν αδιάκοπα 24/7, οι τράπεζες εκτίθενται σε κυβερνοεπιθέσεις ανά πάσα στιγμή.
Στις περισσότερες περιπτώσεις, ωστόσο, οι επιθέσεις δεν είναι επιτυχείς. Οι κυβερνοεπιθέσεις περιλαμβάνουν διάφορες κακόβουλες ή μη κακόβουλες δραστηριότητες, όπως ransomware (επιθέσεις κατάληψης που κρυπτογραφούν κρίσιμα δεδομένα και απαιτούν λύτρα για την απελευθέρωσή τους) και malware (λογισμικό ή υλικολογισμικό που μπορεί να διεισδύσει σε συστήματα για να κλέψει ή να αλλοιώσει δεδομένα). Άλλες κυβερνοαπειλές περιλαμβάνουν κοινωνική μηχανική, όπως phishing (επιθέσεις κατά τις οποίες οι δράστες εξαπατούν υπαλλήλους και εκμεταλλεύονται ανθρώπινα λάθη για να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες), και DDoS (Distributed Denial-of-Service), οι οποίες είναι προσπάθειες να κατακλυστεί ένα σύστημα (εφαρμογές ή ιστοσελίδα) ώστε να εμποδιστεί η πρόσβαση χρηστών και πελατών στις διαδικτυακές υπηρεσίες ή να προκαλέσουν καθυστερήσεις.
Σύμφωνα με τα δεδομένα της αγοράς, οι πιο συχνές κυβερνοεπιθέσεις που δέχονται οι ευρωπαϊκές τράπεζες είναι το ransomware, το DDoS, το phishing, το vishing και το spoofing. Υπάρχει επίσης αυξανόμενη τάση επιθέσεων που περιλαμβάνουν ψεύτικους λογαριασμούς δημιουργημένους με εργαλεία τεχνητής νοημοσύνης.
Λόγω της κλιμάκωσης των γεωπολιτικών εντάσεων, οι τράπεζες έχουν επίσης βιώσει αύξηση των πολιτικά υποκινούμενων επιθέσεων. Ιδιαίτερα, παρατηρήθηκε αύξηση των κυβερνοεπιθέσεων μετά την εισβολή της Ρωσίας στην Ουκρανία το 2022. Στο πλαίσιο αυτό, οι τράπεζες αύξησαν τις επενδύσεις τους σε τεχνικές λύσεις για την πρόληψη και τη διαχείριση των κυβερνοκινδύνων, όπως πλατφόρμες πληροφοριών, συστήματα SIEM (Διαχείριση Πληροφοριών Ασφαλείας και Εκδηλώσεων), SOAR (Οργάνωση Ασφάλειας, Αυτοματοποίηση και Απόκριση), τείχη προστασίας, καθώς και προσομοιώσεις και σχέδια ανάκαμψης από καταστροφές.
Η ασφάλιση κυβερνοκινδύνου είναι επίσης μέρος της στρατηγικής για τη διαχείριση του κινδύνου. Εκτός από τις κυβερνοεπιθέσεις, οι τράπεζες έχουν αναφέρει αύξηση των λειτουργικών περιστατικών που σχετίζονται με προμηθευτές τρίτων, αντανακλώντας την αυξημένη εξάρτηση από συμβάσεις εξωτερικής ανάθεσης.
Η «κυβερνοανθεκτικότητα»
Η ικανότητα αντίδρασης και «ανάρρωσης» από κυβερνοεπιθέσεις και αποτυχίες πληροφορικής αποτελεί έναν από τους βασικούς τομείς των επιχειρησιακών πλαισίων των ευρωπαϊκών τραπεζών. Η πρόκληση είναι το πόσο γρήγορα η τράπεζα μπορεί να ανακάμψει από το περιστατικό, να αποκαταστήσει τα συστήματά της και να επαναλάβει τις υπηρεσίες της, επισημαίνει η DBRS.
Αυτό το ζήτημα έχει κεντρική θέση στην ατζέντα των ρυθμιστικών αρχών και των εποπτών. Το 2024, η ΕΚΤ πραγματοποίησε το πρώτο της τεστ ανθεκτικότητας στον κυβερνοχώρο σε 109 ευρωπαϊκές τράπεζες για να αξιολογήσει την αντίδρασή τους σε, και την ανάρρωσή τους από, ένα σοβαρό και πιθανό περιστατικό κυβερνοασφάλειας. Αυτό ήταν ένα ποσοτικό τεστ, και όχι μια επίσημη εκτίμηση περάτωσης-αποτυχίας, και πραγματοποιήθηκε ως άσκηση γραφείου. Παρόμοια άσκηση πραγματοποιήθηκε από την Τράπεζα της Αγγλίας το 2022.
Στο τέλος της άσκησης, η ΕΚΤ κατέληξε στο συμπέρασμα ότι υπάρχει περιθώριο για βελτίωση στα επιχειρησιακά πλαίσια των ευρωπαϊκών τραπεζών. Η αντιμετώπιση των ελλείψεων στα επιχειρησιακά πλαίσια ανθεκτικότητας των τραπεζών και των ελλείψεων στη ψηφιακή τους μεταμόρφωση είναι μερικές από τις βασικές προτεραιότητες εποπτείας της ΕΚΤ για τα έτη 2025–28.
Επιπλέον, από τον Ιανουάριο του 2025, οι τράπεζες θα πρέπει να συμμορφώνονται με το DORA (Ψηφιακός Κανονισμός Επιχειρησιακής Ανθεκτικότητας). Ο νέος κανονισμός της ΕΕ στοχεύει στην ενίσχυση της ψηφιακής ανθεκτικότητας για να διασφαλιστεί ότι οι τράπεζες μπορούν να αντέξουν, να αντιδράσουν και να ανακάμψουν από αποτυχίες πληροφορικής.
Το DORA εισάγει αυστηρότερους κανόνες για τη διαχείριση του κινδύνου ICT, την αναφορά περιστατικών, τα τεστ ανθεκτικότητας και την εποπτεία των κινδύνων τρίτων. Κατά την άποψή μας, το DORA πιθανότατα θα ωθήσει τις ευρωπαϊκές τράπεζες να πραγματοποιήσουν περαιτέρω επενδύσεις στις υποδομές πληροφορικής και λειτουργίας τους, καθώς και να γίνουν πιο διαφανείς.
Τι εκτιμά η DBRS
Μέχρι στιγμής, οι επιθέσεις έχουν προκαλέσει περιορισμένες οικονομικές απώλειες και διαχειρίσιμες φθορές στη φήμη των τραπεζών. Ωστόσο, με την πρόοδο της τεχνολογίας, οι επιθέσεις γίνονται ολοένα και πιο εξελιγμένες και ο αντίκτυπός τους μπορεί να αποδειχθεί πολύ πιο σημαντικός.
Οι μεγάλες διασυνδέσεις στα χρηματοπιστωτικά συστήματα μπορεί επίσης να δημιουργήσουν κινδύνους μετάδοσης, αναφέρει ο DBRS. Οι επιθέσεις μπορεί να οδηγήσουν τελικά σε μια χρηματοπιστωτική κρίση σταθερότητας σε περίπτωση σοβαρών, παρατεταμένων και εκτεταμένων επιπτώσεων.
Στο πλαίσιο αυτό, η κυβερνοασφάλεια και η επιχειρησιακή ανθεκτικότητα είναι απολύτως κρίσιμες. Οι τράπεζες πρέπει να είναι προετοιμασμένες για πιθανές επιθέσεις με ισχυρά σχέδια συνέχειας της επιχειρησιακής τους δραστηριότητας και αποκατάστασης, επαρκή σχέδια εφεδρείας και αποτελεσματική επικοινωνία.
