Ο οίκος αξιολόγησης Morningstar DBRS αξιολογεί την κίνδυνο στον κυβερνοχώρο ως τον πιο κρίσιμο για τα ευρωπαϊκά χρηματοπιστωτικά ιδρύματα, όπως ανέδειξε και η Τράπεζα της Ελλάδος στην Ετήσια Έκθεσή της Δραστηριοτήτων Προληπτικής Εποπτείας και Εξυγίανσης.
Σύμφωνα με τον καναδικό οίκο αξιολόγησης, ο κίνδυνος στον κυβερνοχώρο είναι ένας από τους «κύριους κινδύνους που αντιμετωπίζει ο χρηματοπιστωτικός τομέας, σύμφωνα με τα τραπεζικά στελέχη, και αποτελεί δυνητική απειλή για τη χρηματοπιστωτική σταθερότητα για τις εποπτικές αρχές και τους κεντρικούς τραπεζίτες». Ο οίκος προσθέτει ότι η ταχεία ψηφιοποίηση, καθώς και η μεγάλη εξάρτηση από τρίτους παρόχους υπηρεσιών σε ένα πιο σύνθετο και ασταθές γεωπολιτικό περιβάλλον, καθιστούν περισσότερο τις τράπεζες ευάλωτες σε κινδύνους στον κυβερνοχώρο και λειτουργικά περιστατικά.
Κυβερνοεπιθέσεις: συχνότητα και μορφές
Οι κυβερνοεπιθέσεις έχουν συνήθως ως στόχο την καταστροφή, την κλοπή ή την αλλοίωση εμπιστευτικών πληροφοριών, συμπεριλαμβανομένων των δεδομένων πελατών , ή την πρόκληση λειτουργικών διαταραχών, όπως διακοπές ή καθυστερήσεις υπηρεσιών, ενώ μπορούν να οδηγήσουν σε σοβαρές οικονομικές απώλειες, παραβιάσεις δεδομένων, παραβιάσεις του απορρήτου και παράπονα πελατών, παρατηρεί ο οίκος.
Από την άλλη, βέβαια, ο ακριβής αριθμός των κυβερνοεπιθέσεων παραμένει άγνωστος – ωστόσο, τα δημοσιευμένα στοιχεία της ΕΚΤ δείχνουν αύξηση του όγκου των επιθέσεων που στοχεύουν χρηματοπιστωτικά ιδρύματα και τρίτους παρόχους υπηρεσιών που χρησιμοποιούνται από τις τράπεζες. Σύμφωνα με τα ίδια στοιχεία, ο αριθμός των σημαντικών περιστατικών στον κυβερνοχώρο που αναφέρθηκαν από μεγάλες τράπεζες διπλασιάστηκε τα τελευταία δύο χρόνια, από 77 το 2022 έφτασε στις 153 το 2024.
Μάλιστα, σύμφωνα με τον οίκο αξιολόγησης, η κατακόρυφη αύξηση των κυβερνοεπιθέσεων και των επιχειρησιακών συμβάντων στις ευρωπαϊκές τράπεζες οφείλεται κυρίως στην ταχεία ψηφιοποίηση των τραπεζικών υπηρεσιών, στους αυξημένους γεωπολιτικούς κινδύνους και στην αυξημένη εξάρτηση από τρίτους παρόχους. Παράλληλα, οι επενδύσεις που σχετίζονται την τεχνολογία ολοένα και αυξάνονται και αποτελούν σημαντικό στοιχείο του προϋπολογισμού και του οικονομικού προγραμματισμού των τραπεζών. Σε αυτό έρχεται να προστεθεί η 24ωρη λειτουργία των συστημάτων των τραπεζών, καθιστώντας τες συνεχώς εκτεθειμένες σε κυβερνοεπιθέσεις. Ταυτόχρονα, ο οίκος παρατηρεί ότι μπορεί να έχει αυξηθεί ο αριθμός των κυβερνοεπιθέσεων, στις περισσότερες περιπτώσεις όμως, οι επιθέσεις δεν είναι επιτυχείς.
Σε αυτό το πλαίσιο, ο οίκος αξιολόγησης επισημαίνει ότι οι τράπεζες έχουν αυξήσει τις επενδύσεις τους σε τεχνικές λύσεις για την πρόληψη και τη διαχείριση των κινδύνων στον κυβερνοχώρο με μια ευρεία γκάμα από αυτές.
Εξωτερική ανάθεση
Εκτός από τις επιθέσεις στον κυβερνοχώρο, οι τράπεζες ανέφεραν αύξηση των επιχειρησιακών συμβάντων που σχετίζονται με τρίτους παρόχους, γεγονός που αντανακλά την αυξημένη εξάρτηση από συμβάσεις εξωτερικής ανάθεσης. Η εξωτερική ανάθεση που υπηρεσιών πληροφορικής υποστήριξης αποτελεί κοινή πρακτική για τις ευρωπαϊκές τράπεζες, ενώ χρησιμοποιείται και για συστήματα πληρωμών, διοικητικές υπηρεσίες και άλλες κρίσιμες λειτουργίες.
Ο αριθμός των συμβάσεων με τρίτους έχει αυξηθεί σημαντικά τα τελευταία χρόνια, ιδίως με παρόχους υπηρεσιών cloud και μάλιστα σύμφωνα με τα στοιχεία της ΕΚΤ, πάνω από το 30% των συμβάσεων εξωτερικής ανάθεσης σημαντικών τραπεζών συγκεντρώνεται σε 10 παρόχους, οι περισσότεροι από τους οποίους εδρεύουν εκτός ΕΕ, σε χώρες όπως οι ΗΠΑ, το Ηνωμένο Βασίλειο, η Ινδία και η Ελβετία.
Η ανθεκτικότητα στην κορυφή της ρυθμιστικής ατζέντας
Η ικανότητα αντιμετώπισης και ανάκαμψης από κυβερνοεπιθέσεις και διακοπές λειτουργίας των πληροφορικών συστημάτων είναι πλέον μία από τις βασικές πτυχές των επιχειρησιακών πλαισίων των ευρωπαϊκών τραπεζών. Μάλιστα, η Τράπεζα της Ελλάδος σε πρόσφατη έκθεσή της αναγνωρίζοντας την κυβερνοασφάλεια ως την ύψιστη πρόκληση για το ελληνικό τραπεζικό σύστημα, την έθεσε στην κορυφή της ατζέντας της για το επόμενο διάστημα.
Η πρόκληση, επισημαίνει ο Morningstar DBRS, έγκειται στο πόσο γρήγορα μπορεί η τράπεζα να ανακάμψει από το περιστατικό, να αποκαταστήσει τα συστήματά της και να συνεχίσει τις υπηρεσίες της. Χαρακτηριστικά αναφέρεται το παράδειγμα της ΕΚΤ με το αντίστοιχο stress test που διεξήγαγε το 2024, όπου η ΕΚΤ για πρώτη φορά δοκίμασε την αντοχή στον κυβερνοχώρο σε 109 ευρωπαϊκές τράπεζες με σκοπό να αξιολογήσει την αντίδρασή τους σε ένα σοβαρό και πιθανό περιστατικό κυβερνοασφάλειας και την ανάκαμψή τους από αυτό. Επρόκειτο ουσιαστικά για μια ποσοτική δοκιμή και όχι για μια επίσημη αξιολόγηση με επιτυχία ή αποτυχία και διεξήχθη ως άσκηση γραφείου, σημειώνει ο οίκος, ενώ παρόμοια άσκηση διεξήχθη από την Τράπεζα της Αγγλίας το 2022. Στο τέλος της άσκησης, η ΕΚΤ κατέληξε στο συμπέρασμα ότι υπάρχουν περιθώρια βελτίωσης των επιχειρησιακών πλαισίων των ευρωπαϊκών τραπεζών, ενώ για την Ελλάδα η έκθεση της ΤτΕ επισήμανε ότι τα αποτελέσματα για τις ελληνικές τράπεζες ήταν θετικά. Τα αποτελέσματα του φετινού stress test πρόκειται να ανακοινωθούν την 1η Αυγούστου.
