ΔΝΤ: Επικίνδυνη αύξηση των απειλών από χάκερ στον χρηματοπιστωτικό τομέα

Υπερδιπλασιάστηκαν μετά την πανδημία οι επιθέσεις στον χρηματοπιστωτικό τομέα με κόστη δισεκατομμυρίων δολαρίων για τις εταιρείες. Κίνδυνοι για φυγή καταθέσεων και απότομη πτώση μετοχών. Σημαντικούς κινδύνους για την παγκόσμια χρηματοπιστωτική σταθερότητα προκαλεί η μεγάλη αύξηση των κυβερνοεπιθέσεων, όπως σημειώνει σε ανάλυσή του το Διεθνές Νομισματικό Ταμείο.

Οι κυβερνοεπιθέσεις έχουν υπερδιπλασιαστεί μετά την πανδημία. Ενώ οι εταιρείες έχουν ιστορικά υποστεί σχετικά μέτριες άμεσες απώλειες από κυβερνοεπιθέσεις, ορισμένες έχουν πληρώσει πολύ βαρύτερο τίμημα. Ο αμερικανικός οργανισμός πιστωτικών στοιχείων Equifax, για παράδειγμα, κατέβαλε περισσότερα από 1 δισεκατομμύριο δολάρια σε πρόστιμα μετά από μια μεγάλη παραβίαση δεδομένων το 2017 που επηρέασε περίπου 150 εκατομμύρια καταναλωτές. Επομένως, ο κίνδυνος ακραίων απωλειών από περιστατικά στον κυβερνοχώρο αυξάνεται. Τέτοιες απώλειες θα μπορούσαν δυνητικά να προκαλέσουν προβλήματα χρηματοδότησης για τις εταιρείες και να θέσουν σε κίνδυνο ακόμη και τη φερεγγυότητά τους.

Το μέγεθος αυτών των ακραίων ζημιών έχει υπερτετραπλασιαστεί από το 2017 σε 2,5 δισεκατομμύρια δολάρια. Και οι έμμεσες απώλειες, όπως η βλάβη της φήμης ή η αναβάθμιση της ασφάλειας, είναι σημαντικά υψηλότερες. Ο χρηματοπιστωτικός τομέας είναι ιδιαίτερα εκτεθειμένος στον κίνδυνο στον κυβερνοχώρο.

Οι χρηματοπιστωτικές επιχειρήσεις -δεδομένου του μεγάλου όγκου ευαίσθητων δεδομένων και συναλλαγών που διαχειρίζονται- συχνά αποτελούν στόχο εγκληματιών που επιδιώκουν να κλέψουν χρήματα ή να διαταράξουν την οικονομική δραστηριότητα. Οι επιθέσεις σε χρηματοπιστωτικές επιχειρήσεις αντιπροσωπεύουν σχεδόν το ένα πέμπτο του συνόλου, εκ των οποίων οι τράπεζες είναι οι πλέον εκτεθειμένες.

Περιστατικά στον χρηματοπιστωτικό τομέα θα μπορούσαν να απειλήσουν τη χρηματοπιστωτική και οικονομική σταθερότητα εάν υπονομεύσουν την εμπιστοσύνη στο χρηματοπιστωτικό σύστημα, διαταράξουν κρίσιμες υπηρεσίες ή προκαλέσουν δευτερογενείς επιπτώσεις σε άλλα ιδρύματα. Για παράδειγμα, ένα σοβαρό περιστατικό σε ένα χρηματοπιστωτικό ίδρυμα θα μπορούσε να υπονομεύσει την εμπιστοσύνη και, σε ακραίες περιπτώσεις, να οδηγήσει σε ξεπούλημα μετοχών ή έξοδο καταθετών.

Αν και δεν έχουν σημειωθεί μέχρι στιγμής σημαντικά “cyber runs”, δηλαδή περιπτώσεις μαζικής απώλειας καταθέσεων, η ανάλυσή του ΔΝΤ υποδηλώνει ότι έχουν σημειωθεί μέτριες και κάπως επίμονες εκροές καταθέσεων σε μικρότερες τράπεζες των ΗΠΑ μετά από κυβερνοεπίθεση. Τα περιστατικά στον κυβερνοχώρο που διαταράσσουν κρίσιμες υπηρεσίες, όπως τα δίκτυα πληρωμών, θα μπορούσαν επίσης να επηρεάσουν σοβαρά την οικονομική δραστηριότητα. Για παράδειγμα, μια επίθεση τον Δεκέμβριο στην Κεντρική Τράπεζα του Λεσότο διέκοψε το εθνικό σύστημα πληρωμών, εμποδίζοντας τις συναλλαγές των εγχώριων τραπεζών.

Μια άλλη σκέψη είναι ότι οι χρηματοπιστωτικές επιχειρήσεις βασίζονται όλο και περισσότερο σε τρίτους παρόχους υπηρεσιών πληροφορικής, και μπορεί να το κάνουν ακόμη περισσότερο με τον αναδυόμενο ρόλο της τεχνητής νοημοσύνης. Οι εν λόγω εξωτερικοί πάροχοι μπορούν να βελτιώσουν την επιχειρησιακή ανθεκτικότητα, αλλά και να εκθέσουν τον χρηματοπιστωτικό κλάδο σε σοκ σε επίπεδο συστήματος. Για παράδειγμα, μια επίθεση ransomware το 2023 σε έναν πάροχο υπηρεσιών πληροφορικής cloud προκάλεσε ταυτόχρονες διακοπές λειτουργίας σε 60 πιστωτικά ιδρύματα των ΗΠΑ. Με το παγκόσμιο χρηματοπιστωτικό σύστημα να αντιμετωπίζει σημαντικούς και αυξανόμενους κινδύνους στον κυβερνοχώρο από την αυξανόμενη ψηφιοποίηση και τις γεωπολιτικές εντάσεις, οι πολιτικές και τα πλαίσια διακυβέρνησης στις επιχειρήσεις πρέπει να συμβαδίζουν.

Επειδή τα ιδιωτικά κίνητρα μπορεί να μην επαρκούν για την αντιμετώπιση των κινδύνων στον κυβερνοχώρο -για παράδειγμα, οι επιχειρήσεις μπορεί να μην υπολογίζουν πλήρως τις συστημικές επιπτώσεις των περιστατικών- μπορεί να χρειαστεί δημόσια παρέμβαση. Ωστόσο, σύμφωνα με έρευνα του ΔΝΤ σε κεντρικές τράπεζες και εποπτικές αρχές, τα πλαίσια πολιτικής για την ασφάλεια στον κυβερνοχώρο, ιδίως στις αναδυόμενες και αναπτυσσόμενες οικονομίες, συχνά παραμένουν ανεπαρκή. Για παράδειγμα, μόνο οι μισές περίπου από τις χώρες που συμμετείχαν στην έρευνα είχαν εθνική στρατηγική για την ασφάλεια στον κυβερνοχώρο με επίκεντρο τον χρηματοπιστωτικό τομέα ή ειδικούς κανονισμούς για την ασφάλεια στον κυβερνοχώρο.

Προτάσεις πολιτικής Για την ενίσχυση της ανθεκτικότητας του χρηματοπιστωτικού τομέα, οι αρχές θα πρέπει να αναπτύξουν μια επαρκή εθνική στρατηγική για την ασφάλεια στον κυβερνοχώρο, συνοδευόμενη από αποτελεσματική κανονιστική και εποπτική ικανότητα, η οποία θα πρέπει να περιλαμβάνει: Την περιοδική αξιολόγηση του τοπίου της κυβερνοασφάλειας και τον εντοπισμό πιθανών συστημικών κινδύνων από τη διασύνδεση και τις συγκεντρώσεις, συμπεριλαμβανομένων των τρίτων παρόχων υπηρεσιών.

Την ενθάρρυνση της «ωριμότητας» στον κυβερνοχώρο μεταξύ των επιχειρήσεων του χρηματοπιστωτικού τομέα, συμπεριλαμβανομένης της πρόσβασης σε επίπεδο διοικητικών συμβουλίων σε εμπειρογνωμοσύνη στον τομέα της κυβερνοασφάλειας, η οποία υποδηλώνει ότι η καλύτερη διακυβέρνηση που σχετίζεται με τον κυβερνοχώρο μπορεί να μειώσει τον κίνδυνο στον κυβερνοχώρο.

Βελτίωση της διαδικτυακής ασφάλειας και της υγείας των συστημάτων των επιχειρήσεων (όπως η καταπολέμηση του κακόβουλου λογισμικού και ο έλεγχος ταυτότητας πολλαπλών παραγόντων) και της κατάρτισης και ευαισθητοποίησης.

Προτεραιοποίηση της αναφοράς και συλλογής δεδομένων για περιστατικά στον κυβερνοχώρο και ανταλλαγή πληροφοριών μεταξύ των συμμετεχόντων στον χρηματοπιστωτικό τομέα για την ενίσχυση της συλλογικής τους ετοιμότητας. Καθώς οι επιθέσεις συχνά προέρχονται από χώρες εκτός της χώρας καταγωγής μιας χρηματοπιστωτικής επιχείρησης και τα έσοδα μπορούν να διακινούνται διασυνοριακά, η διεθνής συνεργασία είναι επιτακτική ανάγκη για την επιτυχή αντιμετώπιση των κινδύνων στον κυβερνοχώρο.

Ενώ θα συμβούν περιστατικά στον κυβερνοχώρο, ο χρηματοπιστωτικός τομέας χρειάζεται την ικανότητα να παρέχει κρίσιμες επιχειρηματικές υπηρεσίες κατά τη διάρκεια αυτών των διαταραχών. Για το σκοπό αυτό, οι χρηματοπιστωτικές επιχειρήσεις θα πρέπει να αναπτύξουν και να δοκιμάσουν διαδικασίες απόκρισης και ανάκαμψης και οι εθνικές αρχές θα πρέπει να διαθέτουν αποτελεσματικά πρωτόκολλα απόκρισης και πλαίσια διαχείρισης κρίσεων.