ECB Vykdomosios valdybos nario Piero Cipollone įžanginės pastabos devintajame Europos kibernetinio atsparumo valdybos, skirtos visos Europos finansinėms infrastruktūroms, posėdyje
Frankfurtas prie Maino, 2024 m. sausio 17 d
Kibernetinės rizikos tapo viena iš pagrindinių pasaulinio saugumo problemų. Apskaičiuota, kad susijusios metinės išlaidos visame pasaulyje viršys 200 mlrd.[[1] O kibernetinės grėsmės buvo įvardytos kaip sisteminė rizika Europos finansų sistemos stabilumui.[[2] Tačiau apie kibernetines atakas pranešama nepakankamai.[[3]
Atsižvelgiant į besivystančią kibernetinių grėsmių aplinką, kurioje rizika ir toliau auga, Euro Cyber Resilience Board (ECRB) siūlo unikalų forumą, kuris vienija visos Europos finansų infrastruktūrą, jų svarbiausių paslaugų teikėjus, centrinių bankų prižiūrėtojus ir kitas pagrindines Europos institucijas. strateginėms diskusijoms apie kibernetinę riziką. Tai leidžia dalytis neskelbtina informacija patikimoje aplinkoje, prisidedant prie Europos finansų sistemos atsparumo.
Dar praėjusią savaitę buvo pažeista JAV vertybinių popierių ir biržų komisijos socialinių tinklų paskyra ir paskelbtas neteisėtas įrašas.[[4] Kaip jūs, be jokios abejonės, žinote, tai lėmė laikiną kriptovaliutų, ypač bitkoino, kainos padidėjimą. Nors tai nebuvo itin didelio masto ar sudėtinga kibernetinė ataka, šis pavyzdys rodo, kad kibernetinės atakos gali būti naudojamos manipuliuoti rinkos naratyvais ir kainomis siekiant finansinės naudos. Pasaulyje, kuriame naujienos ir socialinė žiniasklaida gali turėti didelį poveikį finansų rinkoms realiuoju laiku, žala gali būti didelė.
Šiame kontekste labai naudinga turėti tokį forumą kaip ECRB. Tai leidžia jos nariams derinti savo kibernetinio saugumo pastangas savo ir platesnės finansinės ekosistemos labui.
Stebėdami naujausias kibernetinių grėsmių tendencijas ir tai, kas jas skatina, galime geriau numatyti būsimas grėsmes. Štai kodėl turime ECRB kibernetinės informacijos ir žvalgybos dalijimosi iniciatyvą (CIISI-EU).
O dalindamiesi geriausia praktika ir vertindami save pagal bendrus standartus galime geriau apsaugoti finansų sistemos saugumą ir vientisumą. Kartu esame geriau pasirengę gilinti savo supratimą apie kibernetines grėsmes, apsiginti nuo jų ir sumažinti galimą jų poveikį.
Šiandien savo pastabose trumpai aptarsiu dabartinę kibernetinių grėsmių aplinką, galimą naujų technologijų poveikį ir mūsų požiūrį į kibernetinio atsparumo spragų įvertinimą ir pašalinimą.
Dabartinis kibernetinės grėsmės kraštovaizdis
ECRB jau seniai perspėjo, kad kibernetinės rizikos vis labiau artėja prie finansų sistemos branduolio. Matėme pavienius didelius kibernetinius išpuolius prieš finansų įstaigas ar jų paslaugų teikėjus, dėl kurių sutriko tiek finansų sistema, tiek reali ekonomika. Ir apskritai kibernetinės grėsmės tapo agresyvesnės. Pavyzdžiui, matome vis daugiau kibernetinių atakų, kuriomis bandoma sutrikdyti paslaugas arba gauti neteisėtą prieigą prie duomenų ir paslaugų, įskaitant išpirkos reikalaujančių programų atakas. Geopolitiniai konfliktai taip pat lemia dar didesnį kibernetinių atakų skaičių. Šie pokyčiai pabrėžia būtinybę nuolat investuoti į kibernetinį atsparumą.
Leiskite pabrėžti dvi pagrindines grėsmės sritis.
Pirma, išpirkos reikalaujančios programinės įrangos atakos, pavyzdžiui, neseniai įvykdyta Kinijos pramonės ir komercijos banko ataka, kuri sutrikdė prekybą JAV iždo rinkoje.[[5] Tai parodė, kad reikia tarptautinio bendradarbiavimo kovojant su išpirkos programinės įrangos atakomis, kurios kelia pasaulinę grėsmę. Toks bendradarbiavimas yra būtinas, kad nusikaltėlių verslo modelis taptų nepatrauklus, atakas paverčiant rizikingesnėmis ir mažiau pelningomis. Tai yra Tarptautinės kovos su išpirkos programomis iniciatyvos tikslas[[6], kuri suburia šalis kovoti su išpirkos mokėjimais. Atsižvelgiant į kriptovaliutų turto, kaip mokėjimo būdo, kurio reikalauja išpirkos reikalaujančių programų užpuolikai, vaidmenį, kovojant su išpirkos reikalaujančiomis programomis taip pat reikės sukurti veiksmingus kriptovaliutų turto arešto režimus. Empiriniai įrodymai iš tiesų rodo tvirtą koreliaciją tarp kibernetinės rizikos, investuotojų dėmesio kriptovaliutų ir bitkoino kainos.[[7] Tai sukuria pasmerkimo kilpą tarp kibernetinės rizikos ir kriptovaliutų vertinimų. Didesnė kibernetinė rizika padidina kriptovaliutų paklausos lūkesčius, todėl kriptovaliutų kainos kyla. Savo ruožtu, didesnės kriptovaliutų kainos padidina paskatas ir išteklius išpirkos reikalaujančių programų atakoms.
Antra, finansų subjektai turi įdiegti patikimą rizikos valdymo praktiką, kad atsižvelgtų į vis didesnį užsakomųjų paslaugų naudojimą ir didelę priklausomybę nuo trečiųjų šalių paslaugų teikėjų. Tokia praktika yra išdėstyta, pavyzdžiui, Finansinio stabilumo valdybos neseniai pateiktose tiekimo grandinės rizikos valdymo gairėse.[[8]
Praėjusiais metais EKRB šiai temai skyrė ypatingą dėmesį, ragindama finansų subjektus atlikti išsamų patikrinimą prieš sudarant sutartį su paslaugų teikėju, nustatyti ir valdyti visus savo svarbiausius paslaugų teikėjus ir stebėti tarpusavio ryšius tiekimo grandinėje. Kreipdamiesi į valdžios institucijas, centrinio banko prižiūrėtojai reikalauja, kad finansų rinkos infrastruktūros nustatytų, įvertintų ir valdytų tarpusavio priklausomybes, kylančias iš trečiųjų šalių paslaugų teikėjų, ir prižiūrėtų svarbiausių paslaugų teikėjus. Naujajame ES reglamente dėl skaitmeninio veikimo atsparumo – DORA – nustatyti reikalavimai svarbiems IRT trečiųjų šalių paslaugų teikėjams ir sukurti visos Europos forumą, skirtą šiems teikėjams prižiūrėti.[[9]
Taip pat esame priklausomi nuo komunalinių paslaugų tiekėjų, pavyzdžiui, energetikos įmonių, telekomunikacijų įmonių ar vandens tiekėjų. Nors jie nėra laikomi trečiųjų šalių teikėjais, mes visi esame aiškiai suinteresuoti sklandžiu ypatingos svarbos infrastruktūros objektų veikimu. Galime palaikyti jų kibernetinį atsparumą dalindamiesi įrankiais, kurie jiems gali būti naudingi. Pavyzdžiui, TIBER-EU sistema imituoja kibernetines atakas realiomis sąlygomis ir kontroliuojamu būdu. Kai kurie paslaugų teikėjai jau pasinaudojo sistema.
Naujų technologijų įtaka kibernetinių grėsmių kraštovaizdžiui
Naujosios technologijos suteikia galimybių palaikyti ir pagerinti mūsų kibernetinį atsparumą, tačiau jos taip pat gali kelti iššūkių kibernetiniam saugumui.
Pavyzdžiui, dirbtinis intelektas (AI) gali būti naudojamas sudėtingoms kibernetinėms atakoms, kai piktybiniai veikėjai išnaudoja jo potencialą socialinei inžinerijai, žvalgybai ir išnaudojimui. Užpuolikai netgi gali pakeisti dirbtinio intelekto modelius, apeidami jų apsauginius turėklus ir panaudodami juos piktavališkai, kad galėtų sėkmingai vykdyti operacijas. Kenkėjiški AI įrankiai jau buvo sukurti, kad padėtų vartotojams vykdyti nusikalstamą kibernetinę veiklą. Galime tikėtis, kad tokio tipo kenkėjiškos priemonės taps tobulesnės, nes užpuolikai vis sudėtingiau naudos dirbtinį intelektą, o technologija toliau tobulės. Tuo pačiu metu AI gali padėti padidinti kibernetinį atsparumą ir atremti kibernetines atakas, įskaitant dirbtinio intelekto sukeltas atakas. Pavyzdžiui, AI gali palaikyti grėsmės žvalgybą renkant ir analizuojant duomenis. AI taip pat gali padėti užkirsti kelią kibernetinėms atakoms ir juos aptikti, realiuoju laiku nustatydamas vartotojo, sistemos ir tinklo elgesio anomalijas.
Kitas pavyzdys yra kvantinio skaičiavimo plėtra. Kvantinė technologija žada labai išplėsti skaičiavimo galią ir atverti naujus bendravimo būdus. Nors prognozės apie kvantinės technologijos prieinamumą ir poveikį skiriasi, jos galimą poveikį kibernetiniam saugumui nusipelno ypatingo dėmesio ir supratimo. Pavyzdžiui, jis gali sulaužyti kriptografijos algoritmus, šiuo metu naudojamus ryšiui ir duomenų apsaugai. Pokvantinės kriptografijos aplinkos aptarimas ECRB padės mums suprasti galimybes ir riziką.
Galimų trūkumų nustatymas, siekiant veiksmingiau sumažinti kibernetinę riziką
Eurosistema reguliariai atlieka finansų rinkų infrastruktūrų kibernetinio atsparumo tyrimus, kuriuose dalyvauja daugelis ECBS institucijų. Tai leidžia įvertinti kiekvieno subjekto kibernetinį atsparumą ir padeda susidaryti pažangos bei likusių pažeidžiamumų visame sektoriuje apžvalgą. Subjektas ir jo atitinkamas centrinio banko prižiūrėtojas aptaria individualiu lygmeniu gautas išvadas ir imasi tolesnių veiksmų. Vienas iš bendro tyrimo rezultatų yra gero valdymo ir stipraus kibernetinio subjekto atsparumo koreliacija. Geras kibernetinės rizikos supratimas valdybos lygmeniu reiškia, kad priimami geriau informuoti sprendimai ir paskirstomi reikalingi ištekliai.
Apklausa taip pat atskleidė ryšį tarp didelio kibernetinio atsparumo ir „raudonųjų komandų“ pratybų, tokių kaip TIBER-EU. Tokios pratybos atskleidžia subjekto kibernetinį atsparumą ir leidžia labai pritaikytu būdu sumažinti visas nustatytas gynybos spragas. ECB kartu su TIBER institucijų bendruomene atlieka daugybę bandymų ir palengvina aktyvius mainus, kad toliau plėtotų testavimo priemones ir skatintų jas naudoti visas suinteresuotąsias šalis.
Be kibernetinio atsparumo tyrimų ir „raudonųjų komandų“ pratybų, testavimas nepalankiausiomis sąlygomis ir kibernetinio atsparumo pratybos atlieka svarbų vaidmenį nustatant ir pašalinant galimas spragas ir trūkumus. 2024 m. ECB atliks 109 tiesiogiai prižiūrimų bankų reagavimo į kibernetines atakas ir atkūrimo pajėgumų testą nepalankiausiomis sąlygomis, remdamasis sėkmingos kibernetinės atakos, kuri sutrikdo jų kasdienę veiklą, scenarijumi.[[10] Panašias finansų rinkų infrastruktūrų kibernetinio atsparumo pratybas anksčiau vykdė Eurosistema ir ruošiamos tolesnės pratybos. Šios pastangos sustiprina viena kitą.
Pagrindinis kibernetinio atsparumo elementas yra finansų sektoriaus infrastruktūros ir subjektų, taip pat kitų svarbių sektorių, pranešimų apie kibernetinius incidentus teikimas ir atskleidimas. Apsvarstymai apie poveikį reputacijai ir klientų ar investuotojų pasitikėjimui gali būti svarbūs, tačiau neturėtų turėti įtakos pranešimo apie incidentus reikalavimams pagal atitinkamas priežiūros ir reguliavimo sistemas.[[11] Iš tiesų, bet koks nepakankamas pranešimų apie incidentus poveikis gali pabloginti kibernetinės atakos poveikį ir sutrukdyti. Šiame kontekste taip pat svarbu turėti tikslius planus, kaip pranešti apie incidentus atitinkamoms ekosistemos suinteresuotosioms šalims ir informuoti visuomenę. Be to, patikimos grupės, pvz., CIISI-EU ECRB nariams, padeda subjektams analizuoti kibernetines grėsmes ir incidentus ir iš jų mokytis bei parengti geresnius planus, kaip išvengti užkrėtimo. Tai formulė, kuri taip pat gali būti naudojama kituose svarbiuose sektoriuose.
Išvada
Leiskite daryti išvadą.
Finansų rinkų infrastruktūros yra tinklai, kurie sumažina riziką, bet taip pat gali tapti sisteminės rizikos šaltiniu, jei jos veikia netinkamai. Tai aiškiai pabrėžia didėjanti kibernetinių atakų grėsmė ir žala bei sutrikimai, kuriuos jos gali sukelti.
Mūsų finansų sistema yra tiek stipri, kiek stipri jos silpniausia grandis. Kitaip tariant, kibernetinis saugumas yra mūsų bendras gėris ir nepalieka vietos kompromisams: turime būti vienu žingsniu priekyje užpuolikų. Norėdami tai pasiekti, turime laikytis visos sistemos požiūrio ir nuolat dirbti kartu.
ECRB yra pagrindinė šių pastangų dalis, siūlanti erdvę patikimam dalijimuisi informacija, praktika ir metodais, kurie padidina mūsų bendrą ir individualų kibernetinį atsparumą. Tuo pačiu metu centriniai bankai ir valdžios institucijos dirba kartu tarptautiniu lygiu, glaudžiai bendradarbiaudami su pramonės atstovais, nes kibernetinė rizika yra ne vietinis ar regioninis reiškinys, o pasaulinė grėsmė.[[12]
Būdamas naujasis ECRB pirmininkas, tikiuosi, kad galėsiu dirbti su šiais iššūkiais ir pagerinti mūsų bendrą kibernetinį atsparumą. Informacija, kuria šiandien dalinsimės vieni su kitais, ir tolesnė pažanga, kurią darysime, padės sustiprinti Europos finansų sektoriaus kibernetinį atsparumą.
