Ανησυχία για την ικανότητα των τραπεζών να αντιληφθούν, να αντιμετωπίσουν και να αποτιμήσουν το ρίσκο που απορρέει από τις κυβερνοεπιθέσεις, καθώς και τη δυνατότητα των εποπτικών αρχών να αντιληφθούν και να δράσουν αποτρεπτικά έναντι συστημικών απειλών και επιθέσεων που πλήττουν ευθέως την αξιοπιστία του χρηματοπιστωτικού συστήματος, εγείρει έρευνα της BIS με στοιχεία του Συμβουλίου Χρηματοπιστωτικής Σταθερότητας, που παρείχαν οι τράπεζες τον Απρίλιο του 2017.
Η έκθεση προσδιορίζει, περιγράφει και συγκρίνει το φάσμα των παρατηρούμενων τραπεζικών, κανονιστικών και εποπτικών πρακτικών για την ανθεκτικότητα στον κυβερνοχώρο υπό όλες τις εποπτικές αρχές, ενώ επισημαίνει ως σοβαρή πρόκληση την έλλειψη επαρκώς καταρτισμένου και εξειδικευμένου προσωπικού. Παράλληλα, στο report επισημαίνεται ο κίνδυνος εκ των έσω και οι ελλιπείς διαδικασίες ελέγχου νέου και υφιστάμενου προσωπικού, ως παράγοντας επιχειρησιακού και συστημικού ρίσκου.
Μείζον θέμα για την Επιτροπή της Βασιλείας αποτελεί, επίσης, η ελλιπής επικοινωνία μεταξύ των τραπεζών και των εποπτικών αρχών για την πρόληψη και αντιμετώπιση των κινδύνων, ενώ την ίδια στιγμή με τη διαρκή εισαγωγή νέων προϊόντων αυξάνεται εκθετικά ο κίνδυνος επιθέσεων από κυβερνοεγκληματίες, ανεβάζοντας το σχετικό αναλαμβναόμενο ρίσκο, επί του οποίου επίσης επιδρά το αυστηρό κανονιστικό πλαίσιο προστασίας δεδομένων και επεξεργασίας πληροφοριών.
Όπερ σημαίνει, ότι μπορεί να τα νέα προϊόντα και η δραστηριοποίηση των τραπεζών στο χώρο του internet να διευκολύνει συναλλαγές και να περιορίζει κάθετα το κόστος λειτουργίας, τα παραγόμενα κεφάλαια όμως θα πρέπει να λογίζονται με σημαντικό βαθμό κινδύνου (risk weighted assets), καθώς οι κίνδυνοι στη λειτουργία και συντήρηση των προϊόντων αυτών είναι εκθετικά μεγαλύτερη έναντι της παραδοσιακής τραπεζικής.
Συνεπώς, στο σημερινό περιβάλλον με τα risk weighted assets να απομειώνουν στους δείκτες κεφαλαιακής επάρκειας, η διεξοδική αποτίμηση του κινδύνου σε λειτουργίες και προϊόντα είναι κρίσιμη για τον προσδιορισμό της πραγματικής εικόνας και μελλοντικής πορείας των τραπεζών.
Εμμέσως, όμως, η BIS, κρούει τν κώδωνα του κινδύνου στο τραπεζικό σύστημα και τους εποπτικούς φορείς, ζητώντας καλύτερες και ενιαίες διαδικασίες, εμπέδωση και θεσμοθέτηση καναλιών αμφίδρομης επικοινωνίας και εφαρμογή συγκεκριμένων πρωτοκόλλων ασφαλείας.
Αν όμως υπολογιστεί cyber-risk στα έσοδα από τις δραστηριότητες και τα νέα προϊόντα των τραπεζών, τότε σε πολλές περιπτώσεις το κόστος θα εκτοξευθεί και τα εποπτικά κεφάλαια θα επηρεαστούν αρνητικά, ιδιαίτερα από δραστηριότητες νέες, οι οποίες δεν έχουν ακόμα αποδώσει τα προσδοκώμενα ή βρίσκονται σε εμβρυακό στάδιο. Κάτι τέτοιο θα αναγκάσει φορείς και επόπτες να επαναξιολογήσουν το φάσμα δραστηριοποίησης με γνώμονα τη σχέση κόστους/οφέλους.
Σε δεύτερη κάτι τέτοιο θα αναγκάσει τις τράπεζες να κάνουν outsource όλες τις νέες δραστηριότητες και προϊόντα, περικόπτοντας τις αναπτυξιακές προοπτικές τους για χάρη της σταθερότητας. Παράλληλα, όμως, θα μειωθούν τα λειτουργικά έσοδα και θα αυξηθούν, βραχυχρόνια, τα έσοδα από παρεπόμενες δραστηριότητες, οδηγώντας σε de facto σμίκρυνση των τραπεζών.
Γενικό τοπίο: Οι περισσότερες εποπτικές αρχές αξιοποιούν προηγουμένως αναπτυγμένα εθνικά ή διεθνή πρότυπα – κυρίως το πλαίσιο NIST, σειρά ISO 27000 και οδηγίες CPMI-IOSCO για την ανθεκτικότητα των υποδομών χρηματοπιστωτικών αγορών στον κυβερνοχώρο. Οι δημοσιευμένες και μη δημοσιευμένες εποπτικές πρακτικές συγκλίνουν σε ορισμένους τομείς, όπως η διακυβέρνηση, οι δοκιμές, η ανταλλαγή πληροφοριών μεταξύ τραπεζών και ρυθμιστικών αρχών και η διαχείριση των ρυθμίσεων εξωτερικής ανάθεσης. Παρά τη σύγκλιση σε υψηλές προσδοκίες, οι τεχνικές προδιαγραφές και οι εποπτικές πρακτικές διαφέρουν από χώρα σε χώρα. Παρόλο που αυτή η ποικιλομορφία των προσεγγίσεων μπορεί να οδηγήσει σε ένα περίπλοκο και κάπως κατακερματισμένο διεθνές κανονιστικό περιβάλλον, μπορεί επίσης να αντικατοπτρίζει απλώς τις πραγματικές διαφορές στα νομικά πλαίσια των μελών του BCBS και τον βαθμό της ψηφιοποίησης.
Στρατηγική: Ενώ οι ρυθμιστικές αρχές γενικά δεν απαιτούν μια συγκεκριμένη στρατηγική στον κυβερνοχώρο, όλοι αναμένουν από τα θεσμικά όργανα να διατηρήσουν επαρκείς ικανότητες σε αυτόν τον τομέα ως μέρος των παγκόσμιων στρατηγικών τους. Οι κίνδυνοι στον κυβερνοχώρο δημιουργούν αναπτυσσόμενες, εξελισσόμενες και μοναδικές προκλήσεις για τα θεσμικά όργανα και τους εποπτικούς φορείς που απαιτούν ιδιαίτερη προσοχή και πόρους. Οι ρυθμιστικές αρχές αναμένουν ότι τα θεσμικά όργανα θα ελαχιστοποιήσουν την έκθεση στον κυβερνοχώρο, εξασφαλίζοντας ότι τα συστήματα είναι “ασφαλισμένα κατά σχεδιασμό” και ότι δίδεται έμφαση στην ανθεκτικότητα υπό το πρίσμα των σημερινών απειλών αντί της συμμόρφωσης προς ένα πρότυπο.
Διαχείριση κυβερνο-κινδύνου: Στις περισσότερες χώρες, οι ευρύτερες πρακτικές διαχείρισης τεχνολογιών πληροφορικής και λειτουργικού κινδύνου είναι αρκετά ώριμες και χρησιμοποιούνται για την αντιμετώπιση του κυβερνοεπιχειρησιακού κινδύνου και την επίβλεψη της ανθεκτικότητας στον κυβερνοχώρο. Συγκεκριμένα, οι εποπτικές αρχές
αναμένουν από τις τράπεζες να έχουν στρατηγική και πλαίσιο για την ολοκληρωμένη χαρτογράφηση και τη διαχείριση της αρχιτεκτονικής του συστήματος πληροφορικής. Ωστόσο, οι τράπεζες εξακολουθούν γενικά να μην διαθέτουν στρατηγική στον κυβερνοχώρο που να ορίζει σαφή ανοχή και επίπεδα όρεξης για τον κυβερνο-κίνδυνο και να έχει εγκριθεί και να αντιμετωπιστεί επαρκώς σε επίπεδο διοικητικών συμβουλίων.
Διακυβέρνηση / οργάνωση: Παρόλο που τα μοντέλα διαχείρισης όπως το μοντέλο των τριών γραμμών άμυνας (3LD) υιοθετούνται ευρέως, η ανθεκτικότητα στον κυβερνοχώρο δεν είναι πάντοτε σαφώς διαρθρωμένη σε όλες τις τεχνικές, επιχειρηματικές και στρατηγικές γραμμές. Αυτή η σύγχυση όσον αφορά τους ρόλους και τις ευθύνες παρακωλύει την αποτελεσματικότητα του μοντέλου 3LD.
Εργατικό δυναμικό: Η έλλειψη δεξιοτήτων οδηγεί σε προκλήσεις πρόσληψης. Τα περισσότερα υπάρχοντα πλαίσια τεχνολογιών πληροφορικής και διακυβέρνησης παρέχουν κατά κανόνα γενικά συγκλίνουσες απαιτήσεις για λειτουργίες που σχετίζονται με το κυβερνοχώρο, αλλά η έλλειψη δεξιοτήτων εξακολουθεί να αποτελεί πρόκληση. Ορισμένες εποπτικές αρχές έχουν εφαρμόσει ή αξιοποιήσει συγκεκριμένες πιστοποιήσεις στον κυβερνοχώρο για να το αντιμετωπίσουν.
Δοκιμές: Οι δοκιμές προστασίας και ανίχνευσης εξελίσσονται και επικρατούν. απάντηση και ανάκτηση λιγότερο. Οι δοκιμές αντιμετώπισης και ανάκτησης περιστατικών συνήθως πραγματοποιούνται μέσω επιτραπέζιων ασκήσεων και ευρύτερου ελέγχου συνέχειας.
Δυνατότητες αντιμετώπισης περιστατικών: Παρά το γεγονός ότι δεν απαιτείται πλαίσιο διαχείρισης συμβάντων, τα σχέδια αντιμετώπισης περιστατικών είναι. Οι εποπτικές αρχές αναμένουν από τις τράπεζες να προετοιμάσουν ένα σχέδιο αντιμετώπισης περιστατικών για την αντιμετώπιση υλικών περιστατικών στον κυβερνοχώρο. Οι περισσότερες εποπτικές αρχές αναμένουν από τις τράπεζες να ταξινομούν τα στοιχεία ενεργητικού και τις υπηρεσίες τους σύμφωνα με την επιχειρησιακή τους ευαισθησία και επιχειρηματική κρισιμότητα.
Μετρήσεις αξιολόγησης: Παρόλο που μερικοί δείκτες μελλοντικής ανίχνευσης της ανθεκτικότητας στον κυβερνοχώρο συλλέγονται μέσω των πιο διαδεδομένων εποπτικών πρακτικών, δεν έχει προκύψει ακόμη ένα πρότυπο σύνολο μετρήσεων. Αυτό καθιστά πιο δύσκολη την εποπτεία και τις τράπεζες να διατυπώσουν και να ασχοληθούν με την ανθεκτικότητα στον κυβερνοχώρο.
Κοινή χρήση πληροφοριών: Οι περισσότεροι υπό εξέτασημηχανισμοί ανταλλαγής πληροφοριών περιλαμβάνουν επικοινωνίες μεταξύ τραπεζών και τραπεζών προς ρυθμιστές, με τις πρώτες να γίνονται κυρίως σε εθελοντική βάση. Παρά τα κοινά χαρακτηριστικά, το περιεχόμενο και τη χρήση των πληροφοριών που συλλέγονται ή που διαμοιράζονται οι τράπεζες και οι εποπτικές αρχές ποικίλλει ευρέως σε όλες τις περιοχές. Άλλοι τύποι ανταλλαγής πληροφοριών – ιδίως η ρυθμιστική αρχή προς την ρυθμιστική αρχή, εγχώρια και διασυνοριακή – είναι λιγότερο τεκμηριωμένη ή συστηματική, αλλά πραγματοποιείται σε ad hoc και διμερείς βάσεις. Παρόλο που η ανταλλαγή πληροφοριών μεταξύ των ρυθμιστικών αρχών μπορεί να χρησιμοποιήσει υπάρχοντα κανάλια – όπως τα μνημόνια κατανόησης και τα πανεπιστήμια εποπτείας – η ταχύτητα, το γεωγραφικό πλάτος, η ασφάλεια και η ρευστότητα των επικοινωνιών που απαιτούνται για την αντιμετώπιση ενός διασυνοριακού περιστατικού στον κυβερνοχώρο οδήγησαν σε περιορισμένες περιοχές να αναλάβουν επίσημα βήματα στον τομέα αυτό.
Κίνδυνος τρίτων: Τα κανονιστικά πλαίσια για τις δραστηριότητες εξωτερικής ανάθεσης σε όλες τις χώρες δικαιοδοσίας είναι αρκετά εδραιωμένα και διαμοιράζονται ουσιαστικές κοινότητες. Οι εποπτικές αρχές χρησιμοποιούν αυτά τα πλαίσια για να διευκρινίσουν τις προσδοκίες τους όσον αφορά τη διαχείριση των εξαρτώμενων από τρίτους μερών τράπεζών τους. Ωστόσο, δεν υπάρχει κοινή προσέγγιση
