EKP testasi pankkien kyberhäiriöiden sietokyvyn
Euroopan keskuspankin lehdistötiedote 26.7.2024:
- Stressitestissä arvoitiin pankkien kykyä toimia vakavassa mutta uskottavassa kyberhäiriötilanteessa ja palautua siitä.
- Stressitestiin osallistui 109 pankkia, joista 28 testattiin laajemmin.
- Tulokset otetaan huomioon vakavaraisuuden kokonaisarvioinnissa vuonna 2024.
Euroopan keskuspankki (EKP) sai tänään tulokset kyberhäiriöiden sietokykyä koskevasta stressitestistä. Siinä arvioitiin, miten pankit toimisivat vakavassa mutta uskottavassa kyberhäiriötilanteessa ja palautuisivat siitä. Stressitestin yleisenä huomiona on, että pankeilla on käytäntöjä, joiden mukaisesti kyberhyökkäyksissä toimitaan ja niistä palaudutaan, mutta niitä on varaa vielä parantaa. Stressitestin tulokset otetaan huomioon pankkien vakavaraisuuden kokonaisarvioinnissa (SREP) vuonna 2024. Ne ovat lisänneet pankkien tietoa kyberhäiriöiden sietokykynsä vahvuuksista ja heikkouksista.
Tammikuussa 2024 käynnistettyyn stressitestiin sisältyi kuvitteellinen skenaario, jossa pankin kaikki varotoimet epäonnistuivat ja kyberhyökkäys aiheutti vakavia häiriöitä sen tärkeimpien järjestelmien tietokantoihin. Stressitestissä ei siis arvioitu pankkien kykyä estää kyberhyökkäyksiä ennalta vaan niiden kykyä reagoida kyberhyökkäykseen ja palautua siitä.
Kyberhäiriöiden ja muiden operatiivisten häiriöiden kestokykyä koskevien puutteiden havaitseminen ja korjaaminen on myös yksi EKP:n valvontaprioriteeteista vuosina 2024–2026. Syynä on valvottavien pankkien EKP:lle ilmoittamien kyberhäiriötilanteiden viimeaikainen kasvu, joka johtuu osittain geopoliittisista jännitteistä ja pankkisektorin digitalisaation asettamista haasteista.
Stressitestiin osallistui 109 EKP:n suoraan valvomaa pankkia, joiden piti täyttää kyselylomake ja toimittaa pankkivalvojien tutkittavaksi asiakirjoja. Lisäksi 28 pankin otos testattiin laajemmin. Tähän otokseen kuuluneita pankkeja pyydettiin suorittamaan konkreettinen tietotekniikan palautumistesti ja toimittamaan näyttöä sen onnistumisesta. Pankkivalvojat myös kävivät pankeissa paikan päällä. Stressitestin otokseen oli valittu eri maissa ja eri liiketoimintamalleilla toimivia pankkeja. Näin saatiin laajempi käsitys euroalueen pankkijärjestelmästä ja varmistettiin, että toimet nivoutuvat saumattomasti muihin valvontatoimiin.
Jotta pankki pystyi testaamaan toimensa skenaarion mukaisessa tilanteessa, sen piti osoittaa kykenevänsä
- ottamaan käyttöön kriisitoimintasuunnitelman sekä sisäiset kriisinhallintamenettelyt ja toiminnan jatkuvuussuunnitelman
- kommunikoimaan kaikkien ulkopuolisten sidosryhmiensä, kuten asiakkaidensa, palvelutoimittajiensa ja lainvalvontaviranomaisten kanssa
- suorittamaan analyysin siitä, mitä palveluita häiriö koskee ja miten
- toteuttamaan häiriöiden lievennystoimenpiteitä turvautumalla esimerkiksi hätäratkaisuihin, joiden avulla pankki pystyy jatkamaan toimintaansa tietojärjestelmien täyden toimintakapasiteetin palautumisen vaatiman ajan.
Jotta pankki pystyi testaamaan valmiutensa palautua skenaarion mukaisesta tilanteesta, sen piti osoittaa kykenevänsä
- ottamaan käyttöön palautumissuunnitelmansa sekä varmuuskopioidut tietonsa ja koordinoimaan toimensa kriittisten palvelujen toimittajien kanssa häiriötilanteen poistamiseksi
- varmistamaan, että häiriöstä kärsineet kohteet saatiin palautettua toimintakuntoon
- tekemään kokemustensa pohjalta muutoksia esimerkiksi kriisi- ja palautumissuunnitelmiinsa.
EKP sitoutuu jatkamaan yhteistyötä valvomiensa pankkien kanssa niiden kyberhäiriöiden sietokyvyn vahvistamiseksi. Se kannustaakin pankkeja jatkamaan toimia valvontaodotusten täyttämiseksi. Pankkien pitäisi esimerkiksi varmistaa, että niillä on asianmukaiset jatkuvuus-, viestintä- ja palautumissuunnitelmat, joissa otetaan huomioon riittävän laaja valikoima kyberriskiskenaarioita. Pankkien tulisi myös pystyä saavuttamaan omat palautumistavoitteensa ja arvioimaan riippuvuutensa kriittisten tieto- ja viestintäteknisten palvelujen ulkoisista toimittajista. Lisäksi niiden tulisi pystyä laatimaan arviot kyberhyökkäyksen aiheuttamista suorista ja välillisistä tappioista.
Stressitestin tulokset otetaan huomioon vuonna 2024 tehtävässä vakavaraisuuden kokonaisarvioinnissa (SREP), jossa arvioidaan yksittäisten pankkien riskiprofiileja. Kyberhäiriöiden sietokykyä koskeva stressitesti ei koskenut pankkien pääomaa, joten sen tulokset eivät vaikuta pilarin 2 pääomaohjeistukseen. Pankkivalvojat ovat jo antaneet tulosten pohjalta pankkikohtaista palautetta ja ryhtyvät tarvittaviin jatkotoimiin. Jotkin pankit ovat jo korjanneet testissä paljastuneita puutteita tai laativat suunnitelmia niiden poistamiseksi.
Tiedotusvälineiden kysymyksiin vastaa Clara Martín Marqués puhelinnumerossa +49 69 1344 17919 tai clara.martin_marques(at)ecb.europa.eu.
Katso myös
- Vastauksia kysymyksiin: kyberhäiriöiden sietokyvyn stressitesti 2024
- Blogi: Enhancing banks’ resilience against cyber threats – a key priority for the ECB by Anneli Tuominen, Member of the Supervisory Board of the ECB
Taustatietoa
- EKP:n pankkivalvonta tekee vuosittain stressitestejä vakavaraisuusdirektiivin artiklan 100 mukaisesti ja osallistuu joka toinen vuosi Euroopan pankkiviranomaisen (EPV) koordinoimaan EU:n laajuiseen stressitestiin. Niinä vuosina, joina pankkiviranomainen ei tee EU:n laajuista stressitestiä, EKP toteuttaa jotakin tiettyä riskiä koskevan stressitestin. Vuonna 2017 tehtiin rahoitustaseen korkoriskiä koskeva herkkyysanalyysi, vuonna 2019 likviditeettiriskiä koskeva herkkyysanalyysi ja vuonna 2022 ilmastoriskistressitesti.
- EKP:n suorassa valvonnassa on tällä hetkellä 113 pankkia. Stressitestiin osallistui 109 pankkia, joita EKP valvoi suoraan testin aloituspäivänä. Joitakin pankkeja jäi testin ulkopuolelle muun muassa uudelleenjärjestelyn tai merkittävyysluokituksen muutoksen vuoksi.