26/07/2024 | Press release | Distributed by Public on 26/07/2024 10:47
Euroopan keskuspankki (EKP) sai tänään tulokset kyberhäiriöiden sietokykyä koskevasta stressitestistä. Siinä arvioitiin, miten pankit toimisivat vakavassa mutta uskottavassa kyberhäiriötilanteessa ja palautuisivat siitä. Stressitestin yleisenä huomiona on, että pankeilla on käytäntöjä, joiden mukaisesti kyberhyökkäyksissä toimitaan ja niistä palaudutaan, mutta niitä on varaa vielä parantaa. Stressitestin tulokset otetaan huomioon pankkien vakavaraisuuden kokonaisarvioinnissa (SREP) vuonna 2024. Ne ovat lisänneet pankkien tietoa kyberhäiriöiden sietokykynsä vahvuuksista ja heikkouksista.
Tammikuussa 2024 käynnistettyyn stressitestiin sisältyi kuvitteellinen skenaario, jossa pankin kaikki varotoimet epäonnistuivat ja kyberhyökkäys aiheutti vakavia häiriöitä sen tärkeimpien järjestelmien tietokantoihin. Stressitestissä ei siis arvioitu pankkien kykyä estää kyberhyökkäyksiä ennalta vaan niiden kykyä reagoida kyberhyökkäykseen ja palautua siitä.
Kyberhäiriöiden ja muiden operatiivisten häiriöiden kestokykyä koskevien puutteiden havaitseminen ja korjaaminen on myös yksi EKP:n valvontaprioriteeteista vuosina 2024-2026. Syynä on valvottavien pankkien EKP:lle ilmoittamien kyberhäiriötilanteiden viimeaikainen kasvu, joka johtuu osittain geopoliittisista jännitteistä ja pankkisektorin digitalisaation asettamista haasteista.
Stressitestiin osallistui 109 EKP:n suoraan valvomaa pankkia, joiden piti täyttää kyselylomake ja toimittaa pankkivalvojien tutkittavaksi asiakirjoja. Lisäksi 28 pankin otos testattiin laajemmin. Tähän otokseen kuuluneita pankkeja pyydettiin suorittamaan konkreettinen tietotekniikan palautumistesti ja toimittamaan näyttöä sen onnistumisesta. Pankkivalvojat myös kävivät pankeissa paikan päällä. Stressitestin otokseen oli valittu eri maissa ja eri liiketoimintamalleilla toimivia pankkeja. Näin saatiin laajempi käsitys euroalueen pankkijärjestelmästä ja varmistettiin, että toimet nivoutuvat saumattomasti muihin valvontatoimiin.
Jotta pankki pystyi testaamaan toimensa skenaarion mukaisessa tilanteessa, sen piti osoittaa kykenevänsä
Jotta pankki pystyi testaamaan valmiutensa palautua skenaarion mukaisesta tilanteesta, sen piti osoittaa kykenevänsä
EKP sitoutuu jatkamaan yhteistyötä valvomiensa pankkien kanssa niiden kyberhäiriöiden sietokyvyn vahvistamiseksi. Se kannustaakin pankkeja jatkamaan toimia valvontaodotusten täyttämiseksi. Pankkien pitäisi esimerkiksi varmistaa, että niillä on asianmukaiset jatkuvuus-, viestintä- ja palautumissuunnitelmat, joissa otetaan huomioon riittävän laaja valikoima kyberriskiskenaarioita. Pankkien tulisi myös pystyä saavuttamaan omat palautumistavoitteensa ja arvioimaan riippuvuutensa kriittisten tieto- ja viestintäteknisten palvelujen ulkoisista toimittajista. Lisäksi niiden tulisi pystyä laatimaan arviot kyberhyökkäyksen aiheuttamista suorista ja välillisistä tappioista.
Stressitestin tulokset otetaan huomioon vuonna 2024 tehtävässä vakavaraisuuden kokonaisarvioinnissa (SREP), jossa arvioidaan yksittäisten pankkien riskiprofiileja. Kyberhäiriöiden sietokykyä koskeva stressitesti ei koskenut pankkien pääomaa, joten sen tulokset eivät vaikuta pilarin 2 pääomaohjeistukseen. Pankkivalvojat ovat jo antaneet tulosten pohjalta pankkikohtaista palautetta ja ryhtyvät tarvittaviin jatkotoimiin. Jotkin pankit ovat jo korjanneet testissä paljastuneita puutteita tai laativat suunnitelmia niiden poistamiseksi.
Tiedotusvälineiden kysymyksiin vastaa Clara Martín Marqués puhelinnumerossa +49 69 1344 17919 tai clara.martin_marques(at)ecb.europa.eu.