Tag: ECB priežiūra

  • ECB ultimatyvumas: didžiausi euro zonos bankai iki spalio turi planą prieš DI kibernetines atakas

    ECB ultimatyvumas: didžiausi euro zonos bankai iki spalio turi planą prieš DI kibernetines atakas

    Europos Centrinis Bankas, prižiūrintis didžiausius euro zonos kredito davėjus, pareikalavo, kad bankai parengtų konkrečius veiksmų planus, kaip stiprins kibernetinę gynybą prieš vis galingesnes dirbtinio intelekto sistemas. ECB pabrėžia, kad tai nėra trumpalaikė mada, o ilgalaikis grėsmių aplinkos pokytis.

    ECB Priežiūros valdyba laišku informavo 110 tiesiogiai prižiūrimų bankų, kad iki spalio 31 dienos turi būti pateikti planai, apimantys tiek skubias, tiek ilgesnio laikotarpio priemones. Tarp minimų bankų yra „Deutsche Bank“, „BNP Paribas“ ir „Santander“.

    „Naujausi modeliai nekeičia rizikų pobūdžio iš esmės, bet smarkiai padidina greitį ir mastą, kuriuo jos materializuojasi“, – sakė ECB Priežiūros valdybos pirmininkė Claudia Buch.

    Reguliuotojas akcentuoja kelias sritis: spartesnį pažeidžiamumų nustatymą ir programinės įrangos pataisų diegimą, DI paremto stebėjimo bei incidentų aptikimo stiprinimą ir griežtesnę trečiųjų šalių technologijų tiekėjų kontrolę. Tai reiškia, kad bankams teks įrodyti, jog tiek jų vidinė IT tvarka, tiek tiekimo grandinė yra pasirengusi atremti greitesnes ir taiklesnes atakas.

    ECB taip pat nurodo, kad atsakomybė turi būti prisiimta aukščiausiu lygiu, o ne palikta vien IT padaliniams. Praktikoje tai paprastai apima valdybų įsitraukimą, aiškius rodiklius, investicijų planavimą ir patikras, ar kibernetinė rizika valdoma taip pat griežtai kaip kredito ar likvidumo rizika.

    Kad bankai galėtų sutelkti resursus į šią užduotį, ECB pranešė atidedantis kasmetinį IT rizikų klausimyną: jis iš rugsėjo 2026 metais perkeliamas į 2027 metų vasarį. Po spalio pabaigos ECB žada įvertinti kiekvieno banko planą, aptarti jį dvišaliuose susitikimuose ir atlikti viso sektoriaus analizę, ieškant bendrų spragų bei gerosios praktikos.

    ESRB: sisteminė rizika auga

    ECB žingsnis sutapo su Europos sisteminės rizikos valdybos perspėjimu, kad pažangiausi DI modeliai tampa sisteminės kibernetinės rizikos šaltiniu visai Europos Sąjungos finansų sistemai. ESRB nurodė, jog piktavaliams DI jau padeda automatizuoti atakų planavimą ir vykdymą, o tai mažina laiką, per kurį organizacijos spėja rasti ir užlopyti spragas.

    Tokio tipo dinamika ypač pavojinga finansų sektoriui, nes vienu metu gali būti paveiktos kelios institucijos, naudojančios panašias technologijas ar tuos pačius paslaugų teikėjus. Jei kritinė spraga išnaudojama plačiai, tai gali sutrikdyti atsiskaitymus, klientų aptarnavimą ar prieigą prie duomenų, o pasekmės greitai persimeta į ekonomiką.

    Kuo skiriasi naujo tipo grėsmės

    Reguliuotojai pabrėžia, kad naujos kartos DI modeliai vis geriau identifikuoja sistemų silpnąsias vietas ir gali pagreitinti pažeidžiamumų paiešką. Straipsnyje minimas „Anthropic“ modelis „Mythos“, kurio gebėjimai išryškino diskusiją, kaip suderinti inovacijas ir saugumą, kad galingi įrankiai nebūtų paversti pagalbininkais įsilaužėliams.

    Dar viena tema, kurią ECB išskiria atskirai, yra kvantinė kompiuterija. Centrinis bankas pranešė, kad šiai rizikai vėliau skirs atskirą komunikaciją, nes kvantiniai pajėgumai ilgainiui gali pakeisti šifravimo ir duomenų apsaugos prielaidas.