Стрес-тестирањето започна во јануари 2024 година и вклучуваше фиктивно сценарио во кое сите превентивни мерки не успеаја и сајбер-напад силно влијаеше на базите на податоци на основните системи на сите банки. Затоа, тестирањето не ја испитуваше способноста на банките да спречат сајбер напад, туку нивната способност да одговорат на сајбер напад и да се опорават од него, нагласува ХНБ.
Идентификувањето и елиминирањето на недостатоците во оперативната отпорност на супервизирани банки, вклучително и оние кои произлегуваат од сајбер ризиците, е еден од приоритетите на надзорот на единствениот надзорен механизам на ЕЦБ за периодот од 2024 до 2026 година. Причината за ова е неодамнешното силно зголемување во бројот на пријавени сајбер инциденти, супервизирани банки пријавиле до ЕЦБ, што делумно е последица на зголемените геополитички тензии и тешкотии во дигитализацијата на банкарскиот сектор, велат од централната банка.
Стрес-тестот опфати 109 банки директно надгледувани од ЕЦБ. Сите банки требаше да го пополнат прашалникот и да ја достават документацијата до надзорните органи на анализа. Беше спроведено поопширно тестирање на примерок од 28 банки, кои мораа да спроведат вистински тест за обновување на ИТ системот и да го докажат неговиот успешен исход. Нивното тестирање опфати проверка на надзорните органи во просториите на банките. Различни деловни модели и различни географски области се вклучени во примерокот со цел да се покрие поширокиот банкарски систем на еврозоната и да се обезбеди доволна координација со другите надзорни активности.
Поточно, при тестирањето на способноста за одговор на сценарио за сајбер напад, банките мораа да покажат дека се способни да: активираат планови за одговор на кризи, вклучително и внатрешни процедури за управување со кризи и планови за континуитет на бизнисот; комуницираат со сите надворешни чинители, на пример клиенти, даватели на услуги и органи за спроведување на законот; спроведе анализа за да се утврди кои услуги ќе бидат засегнати и како; имплементираат мерки за ублажување, вклучително и решенија кои би го олесниле нивното работење до целосно закрепнување на ИТ системот.
Во тестот за способност за обновување на сценариото, банките мораа да покажат дека се способни: да ги активираат плановите за обновување, вклучително и враќање на податоците од резервните копии и координирање на методите за одговор на инциденти со клучните трети лица даватели на услуги; се грижи за повторно воспоставување и функционирање на погодените области; применувајте ги научените лекции, на пример со прегледување на плановите за одговор и закрепнување.
Како што, меѓу другото, се наведува во соопштението, стрес тестот покажа дека банките имаат воспоставено рамки за одговор и закрепнување, но има области каде што се потребни подобрувања. Резултатите од тестирањето придонесоа за зголемување на свеста на банките за силните и слабите страни на нивните рамки за сајбер отпорност и ќе бидат земени предвид во процесот на супервизорски преглед и проценка во 2024 година.
