O Banco Central Europeu (BCE) concluiu, no final de Julho, o seu teste de esforço centrado na ciber‑resiliência, que avaliou a forma como as instituições de crédito responderiam a um incidente de cibersegurança grave, mas plausível, e recuperariam do mesmo.
Em geral, o teste de esforço revelou que as instituições de crédito dispõem de planos de resposta e recuperação, mas persistem aspectos a melhorar. Os resultados serão tomados em conta no processo de análise e avaliação para fins de supervisão (Supervisory Review and Evaluation Process – SREP) de 2024 e ajudaram a aumentar a sensibilização das instituições de crédito para os pontos fortes e fracos dos respectivos quadros de ciber‑resiliência.
O exercício foi lançado em Janeiro de 2024 e incluiu um cenário fictício de teste de esforço, no qual todas as medidas preventivas falharam e um ciberataque afectou gravemente as bases de dados dos sistemas centrais de cada instituição de crédito. Por conseguinte, o teste de esforço incidiu sobre a forma como as instituições de crédito responderiam a um ciberataque, e recuperariam do mesmo, e não no modo como o evitariam.
A detecção e resolução de deficiências nos quadros de resiliência operacional das instituições supervisionadas, incluindo deficiências decorrentes dos riscos cibernéticos, é uma das prioridades prudenciais do BCE no período de 2024 a 2026. Tal reflecte o recente aumento acentuado dos incidentes cibernéticos reportados ao BCE pelas instituições supervisionadas – resultando esse aumento, em parte, da intensificação das tensões geopolíticas e dos desafios colocados pela digitalização do sector bancário.
O teste de esforço abrangeu 109 instituições de crédito directamente supervisionadas pelo BCE. Todas as instituições de crédito tiveram de responder a um questionário e de apresentar documentação para análise pelos supervisores, tendo uma amostra de 28 instituições sido seleccionada para testes mais exaustivos.
Foi solicitado a estas últimas que efectuassem um teste efectivo de recuperação dos sistemas de tecnologias de informação e fornecessem provas de que o mesmo tinha sido bem‑sucedido, tendo os supervisores também realizado visitas a essas instituições de crédito. A amostra incluiu diferentes modelos de negócio e localizações geográficas, com vista a reflectir o conjunto do sistema bancário da área do euro e assegurar suficiente coordenação com outras actividades de supervisão.
A fim de testarem a sua resposta ao cenário, as instituições de crédito tiveram de demonstrar a sua capacidade para:
-activar os respectivos planos de resposta a crises, incluindo os procedimentos internos de gestão de crises e os planos de continuidade da actividade;
-comunicar com todas as partes interessadas externas, tais como clientes, prestadores de serviços e agentes responsáveis pela aplicação da lei;
-realizar uma análise para identificar os serviços que seriam afectados e de que forma;
-aplicar medidas de atenuação, incluindo soluções que ajudariam a instituição de crédito a operar durante o tempo necessário à recuperação plena dos sistemas de tecnologias de informação.
Com vista a testarem a sua capacidade de recuperação do cenário, as instituições de crédito tiveram de demonstrar que podiam:
-activar os respectivos planos de recuperação, incluindo o restabelecimento de dados salvaguardados e o alinhamento com terceiros prestadores de serviços críticos na resposta ao incidente;
-garantir que as áreas afectadas tinham sido recuperadas e estavam operacionais;
-implementar os ensinamentos retirados, por exemplo, revendo os planos de resposta e recuperação.
O BCE está empenhado em prosseguir o trabalho com as instituições de crédito sob a sua supervisão, a fim de reforçar o quadro de ciber‑resiliência das mesmas. Para o efeito, continuará a encorajar as instituições de crédito a avançar com o trabalho no sentido de cumprirem as expectativas prudenciais, assegurando, entre outros aspectos, que dispõem de planos adequados de continuidade da actividade, de comunicação e de recuperação, os quais devem considerar um leque suficientemente alargado de cenários de risco cibernético.
As instituições de crédito também devem ser capazes de cumprir os seus próprios objectivos de recuperação; avaliar correctamente dependências de terceiros prestadores de serviços de tecnologias informação e comunicação críticos; e estimar, de modo adequado, perdas diretas e indirectas decorrentes de um ciberataque.
Os resultados do exercício serão tomados em conta no SREP de 2024, que avalia os perfis de risco individuais das instituições de crédito. O teste de esforço centrado na ciber‑resiliência não incidiu sobre o capital, pelo que os resultados não afectarão as orientações relativas aos fundos próprios do Pilar 2 das instituições de crédito. Os supervisores forneceram feedback a cada instituição de crédito e darão seguimento aos resultados com as mesmas em conformidade. Em alguns casos, as instituições de crédito já melhoraram ou planeiam corrigir as deficiências identificadas durante o exercício.