ECB Vykdomosios valdybos nario Fabio Panettos įžanginės pastabos Europos kibernetinio atsparumo valdybos, skirtos visos Europos finansinėms infrastruktūroms, posėdyje
Frankfurtas prie Maino, 2023 m. kovo 8 d
Daugėjant kibernetinių grėsmių dalyvių, didėjant nuotoliniam darbui ir didesniam skaitmeniniam tarpusavio ryšiui, didėja kibernetinių atakų rizika, dažnumas ir sunkumas.[[1] Vis dažniau kibernetiniai nusikaltėliai pradeda išpirkos reikalaujančių programų atakas ir reikalauja mokėti kriptovaliuta. Kibernetinės atakos, susijusios su geopolitiniais pokyčiais – ypač Rusijos agresija prieš Ukrainą – taip pat tapo vis dažnesniu kibernetinės grėsmės kraštovaizdžio bruožu.
The Euro Cyber Resilience Board, skirta visos Europos finansinėms infrastruktūroms (ECRB) atliko pagrindinį vaidmenį saugant finansų sistemos saugumą ir vientisumą nuo šių grėsmių. Pastarieji treji metai parodė, kad nepalankiomis sąlygomis galime dirbti siekdami bendro tikslo. Mūsų finansinės infrastruktūros įrodė savo atsparumą kibernetinėms grėsmėms. Tačiau tai nereiškia, kad kibernetinių grėsmių akivaizdoje galime tapti patenkinti ar būti mažiau budrūs. Mes tiesiog negalime sau leisti atsilikti nuo kreivės: kibernetinis saugumas turi būti skaitmeninių finansų pagrindas.
Šiandien apžvelgsiu ECRB darbą. Tada aptarsiu dabartines kibernetines grėsmes ir kylančias rizikas, prieš apžvelgdamas pasekmes mūsų darbui ateityje.
Euro Cyber Resilience Board indėlis
ECRB vienija privačias ir viešąsias suinteresuotąsias šalis iš visos Europos finansų infrastruktūros, svarbiausių paslaugų teikėjų, centrinių bankų ir kitų institucijų. Tai suteikia unikalią prizmę, per kurią ECRB gali nustatyti ir ištaisyti bet kokius trūkumus, kuriuos kibernetinės atakos galėtų išnaudoti siekdamos plisti, o tai savo ruožtu sukeltų sisteminius bangavimus visoje Europos finansų ekosistemoje.
Leiskite pateikti tris pavyzdžius, kodėl ECRB yra toks naudingas bendradarbiavimo forumas.
Pirma, keitimosi informacija srityje ECRB kibernetinės informacijos ir žvalgybos dalijimosi iniciatyva (CIISI-EU)[[2] leidžia nariams keistis informacija apie kibernetines grėsmes ir mažinimą saugioje ir patikimoje grupės aplinkoje.
Antra, ECRB sukūrė krizių koordinavimo protokolą, kuris palengvina bendradarbiavimą ir koordinavimą, leidžia nariams keistis ir reaguoti į dideles kibernetines grėsmes ir incidentus.
Trečia, mokymo ir informuotumo srityje ECRB atlieka bendrus vertinimus ir mokymo sesijas, kad padidintų bendras žinias ir supratimą. Pagrindinis ECB finansinių infrastruktūrų kibernetinės strategijos ramstis yra TIBER-EU sistema, skirta grėsmės vadovaujamam skverbties testavimui, taip pat žinomai kaip raudonoji komanda. 2022 m. birželio mėn. ECRB surengė specialų apskritojo stalo diskusiją apie TIBER-EU, kurios nariai pasidalino savo patirtimi, susijusia su tokio pobūdžio pratybomis.[[3]
Atsižvelgdami į jų sisteminį vaidmenį finansų sistemoje, mes ir toliau daugiausia dėmesio skirsime visos Europos finansinėms infrastruktūroms. Nepaisant to, finansinės infrastruktūros yra vis labiau priklausomos viena nuo kitos dėl horizontalių ir vertikalių ryšių bei bendrų dalyvių. Jie taip pat priklauso nuo informacinių ir ryšių technologijų bei trečiųjų šalių paslaugų teikėjų. Dėl to šios infrastruktūros susiduria su bendra rizika ir pažeidžiamumu, per kuriuos kibernetinės atakos gali greitai plisti, jei jos nebus griežtai valdomos. ECRB leidžia mums suvienyti jėgas, kad šios rizikos būtų pašalintos viso sektoriaus lygmeniu.
Prisitaikymas prie nuolat kintančios kibernetinės grėsmės kraštovaizdžio
Leiskite dabar pereiti prie kibernetinių grėsmių kraštovaizdžio.
Grėsmės tampa vis sudėtingesnės. Pastarosios atakos reikalauja nuolatinio budrumo veiklos lygmeniu ir nuolatinio reguliavimo ir priežiūros sistemų įvertinimo, siekiant išsiaiškinti, ar jas reikia atnaujinti.[[4] Reikšmingi, bet nenuspėjami poslinkiai gali įvykti bet kuriuo metu. Todėl turime būti pasirengę juos suprasti ir greitai prisitaikyti, kad sumažintume finansų ekosistemos jautrumą kibernetinėms atakoms.
ECRB nustatė, kad tiekimo grandinės atakos ir išpirkos reikalaujančios programos yra pagrindinės grėsmės dabartinėje aplinkoje, o dirbtinis intelektas (AI) – nauja grėsmė. Taip pat matėme, kaip geopolitiniai įvykiai, pastaruoju metu Rusijos agresija prieš Ukrainą, apginklavo kibernetinę erdvę. Ryškiausi pavyzdžiai yra paskirstytos paslaugų atsisakymo (DDoS) atakos prieš vyriausybę ir finansinius subjektus.[[5]
Leiskite man išsamiau aptarti pagrindines esamas ir kylančias grėsmes.
Tiekimo grandinės atakos
Finansų ekosistemos priklausomybė nuo trečiųjų šalių produktų ir paslaugų yra pagrindinė rizika, ypač kai finansų subjektai perduoda jiems svarbias funkcijas. Ataka prieš šias trečiąsias šalis arba jų produktus ir paslaugas gali sutrikdyti ir pakenkti jomis pagrįstoms finansinėms infrastruktūroms, o tai gali išplisti į tarpusavyje susijusius subjektus.
Kai tokie trečiųjų šalių produktai ir paslaugos yra plačiai naudojami finansų ekosistemoje, kibernetinė ataka gali turėti platų, galbūt sisteminį poveikį, vienu metu paveikdama kelis finansinius subjektus. Štai kodėl kibernetinės grėsmės veikėjai taikosi į šias trečiąsias šalis. Taip elgdamiesi jie vienu metu gali pakenkti daugeliui finansinių subjektų.
Neseniai įvykusi kibernetinė ataka prieš trečiosios šalies tiekėją ION Cleared Derivatives rodo, kaip ataka prieš vieną programinės įrangos tiekėją gali persikelti į jų klientus. Šiuo konkrečiu atveju išvestinių finansinių priemonių prekybos ir kliringo sutrikimai išliko riboti, tačiau negalime ignoruoti scenarijų, kai atakos galėjo greitai išplisti ir sutrikdyti finansų sistemą.
Šis atvejis parodė, kad finansų subjektai turi peržiūrėti savo trečiųjų šalių teikėjus, šių trečiųjų šalių teikėjus, jų kibernetinio atsparumo lygius ir sisteminį poveikį, kurį gali turėti kibernetinė ataka prieš bet kurį iš šių paslaugų teikėjų. Visų pirma labai svarbu įvertinti kritinę paslaugų priklausomybę nuo trečiųjų šalių produktų ir paslaugų, kurios gali būti sutrikusios ar net nutrauktos dėl kibernetinės atakos. Reikia imtis švelninančių priemonių.
Atsižvelgdamas į tai, G7 neseniai atnaujino pagrindinius trečiųjų šalių kibernetinės rizikos valdymo finansų sektoriuje elementus.[[6]. Be to, 2022 m. ECRB sudarė darbo grupę, kuri remtų trečiųjų šalių kibernetinės rizikos valdymą.
Mes visada turime turėti kibernetinį atsparumą mąstyti. Klausimas, kurį turime užduoti, yra ne tai, ar įvyks kibernetinė ataka, o tai, ar esame pasirengę reaguoti, kai ji įvyks. Per pastaruosius metus EKRB parengė konceptualų modelį, kaip finansinės infrastruktūros ekosistema galėtų valdyti tokią krizę, jei ji įvyktų. Ji taip pat sukūrė protokolus ir tinklus, kuriais siekiama paremti kolektyvinį, nuoseklų ir visapusišką suinteresuotųjų šalių atsaką į kibernetinę krizę.
Ransomware
Išpirkos reikalaujančių programų plitimas yra vienas iš svarbiausių iššūkių, su kuriuo šiuo metu susiduria finansų subjektai. Išpirkos reikalaujančios programinės įrangos atakos gali sukelti ne tik finansinių nuostolių, bet ir labai sutrikdyti veiklą. Net ir sumokėjus išpirką, nėra jokios garantijos, kad iššifravimo raktas iš tikrųjų veiks arba kad pavogti duomenys nebus viešai atskleisti ar toliau piktnaudžiaujama siekiant, pavyzdžiui, prievartauti aukų klientus.
Išpirkos reikalaujančios programinės įrangos atakos tampa vis sudėtingesnės ir žalingesnės, o tai savo ruožtu gali padėti išpirkos reikalaujantiems asmenims gauti dar daugiau išteklių. 2022-ieji buvo vieni aktyviausių išpirkos reikalaujančių programų veiklos metų.[[7] Tačiau tai taip pat buvo pirmieji metai, kai dauguma išpirkos programų atakų aukų nusprendė nemokėti[[8]o tai rodo, kad požiūris į išpirkos reikalaujančių programų atakas keičiasi.
Valdžios institucijos visame pasaulyje stiprina savo pastangas kovoti su išpirkos reikalaujančiomis programomis. Pavyzdžiui, 2022 m. spalį G7 paskelbė pagrindinius atsparumo išpirkos programoms principus.[[9].
Turime kovoti su išpirkos reikalaujančiomis programomis iš įvairių pusių.
Pirma, kiekviena įmonė turi būti pasirengusi atremti išpirkos reikalaujančių programų atakas, taikydama tinkamą kibernetinės higienos praktiką arba užtikrindama, kad duomenų atsarginės kopijos būtų reguliariai kuriamos ir atnaujinamos bei apsaugotos nuo klastojimo.
Antra, vykdymo agentūros turi atlikti teismo ekspertizę, surasti užpuolikus ir suvienyti jėgas, kad juos patrauktų baudžiamojon atsakomybėn.
Trečia, kriptovaliutų turtas – ypač neparemtas kriptovaliutų turtas, kuris naudojamas išpirkos reikalaujantiems mokėjimams dėl anonimiškumo ir siūlomų pinigų plovimo galimybių.[[10] – reikia griežtai reglamentuoti.[[11] Panašiai turi būti atsekami ir kriptovaliutų perdavimai.
Siūlomas ES kriptovaliutų rinkų reglamentas (MiCA) ir reglamento dėl informacijos, pateikiamos pervedant lėšas, persvarstymas, kuriuo išplečiama „kelionių taisyklė“[[12] kriptovaliutų turtui, yra svarbūs žingsniai. Tačiau norint, kad reguliavimas būtų veiksmingas ir užkirstų kelią reguliavimo arbitražui, reguliavimas turi būti stiprinamas visame pasaulyje.[[13] Todėl labai svarbu įgyvendinti Finansinių veiksmų darbo grupės (FATF) gaires dėl kriptovaliutų turto ir užtikrinti jų vykdymą tarptautiniu lygiu.[[14]
Be to, visos įmonės turi turėti aukščiausio lygio kibernetinę kontrolę, kad atakos nebūtų sėkmingos ir aptiktų išpirkos reikalaujančių programų atakas bei atsigautų nuo jų. Be to, draudimo įmonės gali teikti paramą gaudamos savo klientų patikinimus, kad jos turi aukšto lygio kibernetinio atsparumo planus, prieš suteikdamos kibernetinės rizikos draudimo polisus, taip užtikrindamos, kad tos pačios politikos nesumažintų įmonių paskatų ruoštis kibernetinėms atakoms.
Dirbtinis intelektas (AI)
Net jei to nesuvokiame, dirbtinio intelekto (DI) naudojimas jau yra plačiai paplitęs. Dirbtinį intelektą naudojame kiekvieną dieną, taip pat ir telefonuose, namuose ir darbo vietoje. Ir įmonės tai naudoja dideliems duomenims panaudoti.
Dirbtinis intelektas gali padėti sustiprinti kibernetinį saugumą, pavyzdžiui, pagerindamas labai sudėtingų kibernetinių atakų aptikimą, nes gali nustatyti neįprastą sistemos elgesį, palyginti su nustatyta bazine situacija. Tai yra potencialas, kurį turime panaudoti.
Tačiau dirbtinis intelektas taip pat gali padauginti kibernetinę riziką, pavyzdžiui, padėdamas piktavaliams asmenims, net tiems, kurie turi ribotus techninius įgūdžius arba jų neturi, rengti labai įtikinamus sukčiavimo el. laiškus arba nustatyti temas, į kurias bus nukreiptas didžiausias dėmesys. Dar blogiau, AI netgi gali sukurti ir pataisyti kodą, kurį galima naudoti norint išnaudoti ir pažeisti galutinį tašką.[[15] Tai atveria naujas galimybes piktavaliams asmenims naudoti AI kibernetinėms atakoms pradėti. Nors dirbtinio intelekto kūrimo įmonės stengiasi įdiegti apsaugos priemones, kad būtų išvengta neetiško jo naudojimo, jų galima apeiti.
DI keliama rizika turi būti aiškiai suprantama ir sprendžiama taikant reguliavimą ir priežiūrą. Keisdamasi informacija tarp savo narių ir organizuodama apskritojo stalo diskusijas bei mokymus, EKRB turi tvirtas galimybes ankstyvame etape didinti informuotumą apie riziką ir kaupti žinias apie tokio pobūdžio grėsmes. Savo ruožtu Europos Komisija pasiūlė reglamentą dėl dirbtinio intelekto, kuriuo siekiama spręsti kai kurias pagrindines su AI susijusias rizikas.[[16]
1 diagrama
Europos finansų rinkų infrastruktūros kibernetinės grėsmės kraštovaizdis
Pastaba: grėsmės išdėstytos mažėjančia tvarka pagal įvertintą sunkumą.
Išvada
Kaip supratome prieš keletą metų, kibernetinės grėsmės yra tam, kad pasiliktų. Yra daug labai prisitaikančių grėsmių subjektų, kurie sistemingai bandys išnaudoti visas silpnybes ar pažeidžiamumą neteisėtais tikslais. Esamos grėsmės tampa vis pavojingesnės, o horizonte atsiranda naujų grėsmių. Todėl turime nuolat pritaikyti savo veiklos ir kibernetinio atsparumo sistemas tiek individualiu, tiek kolektyviniu lygmeniu. taikant griežtą reglamentavimą, vykdymą ir baudžiamąjį persekiojimą. Būsimas viešųjų ir privačių institucijų bendradarbiavimas taip pat bus labai svarbus. ECRB gali labai prisidėti prie šių pastangų, susijusių su finansų sistema.
