Testiranje otpornosti na stres započelo je u siječnju 2024., a uključivalo je izmišljen scenarij u kojem su sve preventivne mjere bile neuspješne i kibernetički je napad snažno utjecao na baze podataka temeljnih sustava svih banaka. Dakle, testiranjem se nije ispitivala sposobnost banaka da spriječe kibernetički napad, nego njihova sposobnost da odgovore na kibernetički napad i da se od njega oporave, naglašavaju iz HNB-a.
Utvrđivanje i otklanjanje manjkavosti u okvirima operativne otpornosti nadziranih banaka, uključujući one koje proizlaze iz kibernetičkih rizika, jedan je od nadzornih prioriteta jedinstvenog nadzornog mehanizma ESBa za razdoblje od 2024. do 2026. Razlog je tomu nedavni snažni porast broja kibernetičkih incidenata o kojima su nadzirane banke izvijestile ESB, koji je dijelom posljedica povećanja geopolitičkih napetosti i poteškoća u digitalizaciji bankarskog sektora, navoe iz središnje banke.
Testiranjem otpornosti na stres obuhvaćeno je 109 banaka koje ESB izravno nadzire. Sve su banke morale ispuniti upitnik i nadzornim tijelima dostaviti dokumentaciju na analizu. Opsežnije testiranje provedeno je na uzorku od 28 banaka, koje su morale provesti stvarni test oporavka IT sustava i dokazati njegov uspješan ishod. Njihovo je testiranje uključivalo i provjeru nadzornih tijela u prostorijama banaka. U uzorak su uključeni različiti poslovni modeli i različita zemljopisna područja kako bi se obuhvatio širi bankovni sustav europodručja i zajamčila dostatna koordinacija s drugim nadzornim aktivnostima.
Konkretno, u ispitivanju sposobnosti odgovora na scenarij kibernetičkog napada, banke su morale pokazati da su sposobne: aktivirati planove odgovora na krize, uključujući interne postupke za upravljanje krizama i planove kontinuiteta poslovanja; komunicirati sa svim vanjskim dionicima, na primjer klijentima, pružateljima usluga i tijelima za izvršavanje zakonodavstva; provesti analizu kako bi utvrdile koje bi usluge bile pogođene i na koji način; provesti mjere za ublažavanje posljedica, uključujući zaobilazna rješenja koja bi im olakšala poslovanje do potpunog oporavka IT sustava.
U ispitivanju sposobnosti oporavka od scenarija banke su morale pokazati da su sposobne: aktivirati planove oporavka, uključujući povrat podataka iz sigurnosnih kopija i usklađivanje načina odgovora na incident s ključnim trećim stranama pružateljima usluga; pobrinuti se za ponovnu uspostavu i funkcioniranje pogođenih područja; primijeniti stečena iskustva, na primjer preispitivanjem planova odgovora i oporavka.
Kako se, između ostalog, navodi u priopćenju, testiranje otpornosti na stres pokazalo je da su banke uspostavile okvire odgovora i oporavka, ali postoje područja na kojima su potrebna poboljšanja. Rezultati testiranja pridonijeli su povećanju svijesti banaka o prednostima i nedostatcima njihovih okvira kibernetičke otpornosti te će se uzeti u obzir u postupku nadzorne provjere i ocjene u 2024.
