čnBlog – ČNB a NÚKIB spojují síly při zvyšování kybernetické odolnosti finančního trhu

Česká národní banka (ČNB) a Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) uzavřeli 31. května 2022 Memorandum o vzájemné spolupráci. Jde o vyústění dosavadní spolupráce obou dohledových orgánů a odraz dynamického rozvoje využívání informačních technologií, urychleného mimo jiné pandemií covid-19.

V současném světě roste bezprecedentním způsobem závislost na digitálních službách, které často nemají svou původní alternativu. Kromě řady příležitostí a přínosů pro uživatele těchto služeb to však zároveň představuje obrovskou výzvu v podobě zvládání pokračujícího transferu rizik do kybernetického prostoru. Dnes jsou tato rizika navíc významně posilována v důsledku eskalace napětí na Ukrajině i v dalších částech světa a hrají tak významnou roli rovněž z hlediska tak zvaných hybridních hrozeb. Odolnost proti těmto rizikům je klíčová zejména pro kritická odvětví jako doprava, energetika či zdravotnictví a v neposlední řadě pro sektor finančních služeb. Zajištění kybernetické odolnosti finančního (zejména bankovního) sektoru je přitom pro společnost nezbytným předpokladem pro zvládání všech těchto hrozeb.

ČNB, která vykonává dohled v oblasti řízení rizik IS/IT v bankách již od roku 2002, proto velmi uvítala vznik národní instituce zaměřené na kybernetickou a informační bezpečnost. Spolupráce obou institucí začala již v době vzniku NÚKIB, tedy v roce 2017. Uzavřené Memorandum je tedy potvrzením přínosné dosavadní spolupráce a kvalitním formálním rámcem pro další pokračování společného působení na podporu kybernetické odolnosti finančního sektoru ČR.

ČNB i NÚKIB spojuje společná oblast působnosti. Jedná se o kybernetickou bezpečnost v nejdůležitější části finančního sektoru. V první etapě se spolupráce zaměřila na koordinaci regulatorních požadavků a na metodické sladění přístupů, očekávání a požadavků kladených na společně dohlížené finanční instituce. Od počátku se odborníci na kybernetickou bezpečnost z obou dohledových orgánů setkávali na pracovních diskusích, jejichž smyslem bylo nalézt co nejefektivnější cestu společného působení směřujícího k podpoře kybernetické odolnosti bank.

Vyústěním této spolupráce je například zavedení testů kybernetické odolnosti do dohledové praxe ČNB, ke kterému došlo v roce 2020. Na rozdíl od penetračních testů je jejich cílem prověřit schopnost a úroveň komplexní reakce banky na kybernetický útok. Nezaměřují se „pouze“ na klíčové IT činnosti k odražení útočníka, ale také na další aktivity nezbytné ke zmírňování dopadů, včetně těch reputačních. Při tvorbě metodiky testů kybernetické odolnosti ČNB využila zkušenosti odborníků z NÚKIB s organizací podobných cvičení simulujících různé vektory útoků a jejich důsledky.

V roce 2021 se spolupráce obou dohledových autorit prohloubila uskutečněním první společné kontroly, která prakticky ověřila jednotnost přístupů obou institucí k jednotlivým detailům kybernetické bezpečnosti přímo v konkrétních posuzovaných případech.

Výše uvedené společné aktivity se staly důležitým východiskem nového Memoranda a daly mu věcný základ. Memorandum však nezohledňuje pouze dosavadní spolupráci, ale je zároveň koncipováno jako účelný rámec pro zvládnutí výzev plynoucích mimo jiné z připravované nové evropské regulace v oblasti kybernetické bezpečnosti a odolnosti. Konkrétně půjde o implementaci směrnice NIS2 (Network and Information Security) a nařízení DORA (Digital Operational Resilience Act). Tato nová evropská legislativa klade především důraz na řešení kybernetických rizik u nejdůležitějších IT dodavatelů finančního sektoru v EU nebo na zavedení rámce pro testování kybernetické odolnosti napříč EU.

Kromě těchto koncepčních témat však bude třeba i nadále reagovat na hrozby související s pokračujícím trendem útoků cílených na uživatele elektronických kanálů bank. Proto budou ČNB a NÚKIB pokračovat ve spolupráci na zvyšování povědomí veřejnosti o kybernetických rizicích. Hlavním smyslem těchto aktivit je podpora úsilí samotných bank při zvyšování znalostí klientů o rizicích souvisejících s využíváním distribučních elektronických kanálů. Bez dostatečné obezřetnosti klientů totiž není možné zajistit účinnou obranu před případy digitálních krádeží finančních prostředků nebo dat.

Spolupráce přináší výhody pro obě instituce zejména ve zrychlení toku informací. V oblasti kybernetické bezpečnosti je klíčové mít aktuální znalosti o hrozbách a ještě lépe o konkrétních aktivitách útočníků v kybernetickém prostoru. Pokud se v nějaké organizaci podaří pachatelům prolomit do informačních systémů, je nutné zavedení okamžitých opatření také ve zbývajících institucích k zamezení dalšího potenciálního napadení. Sdílení důležitých informací je proto považováno za jeden ze základních pilířů obrany proti kybernetickým útokům.

Zajišťování odolnosti proti kybernetickým hrozbám je nikdy nekončící proces. V dalším období tak ČNB i NÚKIB čekají náročné výzvy jak v oblasti implementace nové regulace, tak v dohledu. Spojenectví je výhodou, jak tyto úkoly lépe naplnit, ale také hodnotou, kterou je třeba dále pěstovat. ČNB si velmi cení úzké funkční spolupráce s NÚKIB a hodlá ji do budoucna dále rozvíjet.