Umjetna inteligencija (AI), kao i mnogi tehnološki iskoraci, može donijeti koristi, ali i biti prijetnja, pa smo tako u zadnje vrijeme svjedoci upozorenja iz Europske središnje banke (ESB) kako se banke u eurozoni trebaju ubrzano pripremati za eventualne kibernetičke napade potpomognute AI-jem.
Doduše, tvrtka Anthropic je ovih dana obavijestila Bruxelles da će europska agencija za kibernetičku sigurnost ENISA imati pristup moćnom AI alatu za hakiranje Mythos koji je sposoban otkriti ranjivosti softvera, no to samo potvrđuje da je potrebno na sve raspoložive načine pripremati se za zaštitu u slučaju da tako moćni alati dospiju u ruke kibernetičkih kriminalaca.
Hrvatska kao članica eurozone primjenjuje pravila koja propisuje ESB, pa tako i kad je riječ o nadzoru banaka.
Od Hrvatske narodne banke (HNB) i od Hrvatske udruge banaka (HUB) smo željeli doznati kakva je situacija što se hrvatskih banaka tiče u smislu kibernetičke sigurnosti i kako uopće funkcionira pitanje nadzora između HNB-a i ESB-a.
“Uvodno recimo da je u srpnju 2020. ESB donio odluku o uspostavljanju bliske suradnje s HNB-om čime je HNB postao dijelom jedinstvenoga nadzornog mehanizma (SSM) što znači da je ESB preuzeo superviziju hrvatskih banaka. Konkretno, po uspostavi bliske suradnje od 1. listopada 2020. ESB provodi neposrednu superviziju značajnih institucija u Hrvatskoj dok HNB i dalje nadzire manje značajne institucije u suradnji s ESB-om. ESB vodi popis svih značajnih banaka koje izravno nadzire i manje značajnih banaka koje neizravno nadzire”, pojašnjavaju iz HNB-a za Financije.hr.
Značajne banke u Hrvatskoj koje ESB izravno nadzire su Addiko banka, Erste&Steiermaerkische Bank, Privredna banka Zagreb, Raiffeisenbank Austria te Zagrebačka banka.
U manje značajne banke s velikim utjecajem koje ESB neizravno nadzire spadaju Hrvatska poštanska banka i OTP banka.
“Za svaku značajnu grupu banaka u okviru jedinstvenog nadzornog mehanizma stvoren je tim koji čine zaposlenici odgovarajućih nacionalnih nadzornih tijela i zaposlenici ESB-a. Rad tima koordinira imenovani koordinator ESB-a uz pomoć potkoordinatora iz svakoga nacionalnog nadzornog tijela uključenog u nadzor. Zajednički nadzorni timovi provode kontinuirani nadzor značajnih banaka”, navode iz HNB-a.
Što se područja IT rizika tiče, koje u nadzornom smislu obuhvaća i kibernetičku sigurnost, djelatnici HNB-a sudjeluju u radu jedinstvenih nadzornih timova koji nadziru značajne banke i provode nadzor rizika u manje značajnim bankama.
S obzirom na kontinuirani rast rizika vezanih za kibernetičku sigurnost zadnjih godina na razini Europske unije rastu i regulatorni zahtjevi te supervizorska očekivanja na području digitalne operativne otpornosti.
“Vezano uz regulativu koja se primjenjuje na financijske institucije, posebno je značajna Uredba o digitalnoj operativnoj otpornosti za financijski sektor (DORA) koja se primjenjuje od siječnja 2025. godine. DORA uspostavlja jedinstveni regulatorni okvir za upravljanje informacijsko-komunikacijsko-tehnološkim (IKT) rizicima Uz samu uredbu pripadajući regulatorni i implementacijski tehnički standardi detaljno propisuju upravljačke i tehničke mjere zaštite, uključujući upravljanje ranjivostima, segmentaciju mreže, upravljanje sigurnosnim zakrpama, ojačavanje sustava, upravljanje identitetima i pristupima te druge sigurnosne kontrole”, ističu iz HNB-a.
Hrvatske banke, neovisno jesu li dio međunarodnih bankovnih grupa, podliježu istim regulatornim zahtjevima DORA uredbe kojoj je cilj osigurati visoku i ujednačenu razinu digitalne operativne otpornosti europskog financijskog sustava u cjelini.
Foto: Financije.hr/L.Barić
Po ocjeni iz HNB-a, primjena AI-a sama po sebi zasad ne stvara novu kategoriju prijetnji vezanih uz kibernetičku sigurnost, ali ubrzani razvoj i povećavanje sposobnosti alata AI-a značajno povećava i brzinu, opseg te sofisticiranost postojećih kibernetičkih napada.
“Iste mogućnosti, odnosno karakteristike, sustava umjetne inteligencije mogu se primijeniti na strani branitelja za brže otkrivanje ranjivosti, automatiziranu analizu programskog koda, prioritizaciju primjene sigurnosnih zakrpa, detekciju anomalija, sigurnosno testiranje, ojačavanje sustava i smanjenje vremena reakcije na incidente kao i na strani napadača za učinkovitije i jednostavnije ‘izviđanje’, brže pronalaženje slabosti, automatizaciju lanaca kompromitacije, uvjerljiviju manipulaciju korisnicima, povećanje volumena napada i širenje sposobnosti napada na manje sofisticirane napadače”, napominju stručnjaci HNB-a.
Pritom ocjenjuju da je postojeći regulatorni okvir digitalne operativne otpornosti koji se primjenjuje na financijske institucije zadovoljavajući, no razvoj alata AI-a utječe na nužnost njegove cjelovite i kvalitetne primjene.
Stoga se u skladu s načelima i zahtjevima DORA uredbe od financijskih institucija očekuje praćenje IKT rizika povezanih s primjenom AI-a te sukladno rizičnom profilu institucije i provedenoj procjeni rizika razmjerno podizanje digitalne operativne otpornosti.
“Među zahtjevima DORA-e koji su posebno primjenjivi na rizike povezane s korištenjem AI-a ističu se tjedno skeniranje ranjivosti i obveza što bržeg otklanjanja kritičnih ranjivosti, provođenje naprednih testiranja digitalne operativne otpornosti, uključujući simulacije stvarnih kibernetičkih napada, jačanje zaštite od sofisticiranih ‘phishing’ kampanja i drugih oblika socijalnog inženjeringa generiranih ili potpomognutih umjetnom inteligencijom, učinkovito upravljanje rizicima povezanima s vanjskim pružateljima IKT usluga, razvoj sposobnosti brzog odgovora na IKT incidente i oporavka kako bi se osigurao kontinuitet pružanja ključnih financijskih usluga, upravljanje rizicima koji proizlaze iz korištenja AI alata unutar same financijske institucije te analiza i primjena naprednih tehnoloških rješenja, uključujući i alate temeljene na umjetnoj inteligenciji, u procesima sigurnog razvoja programske podrške te prevencije, detekcije i odgovora na prijetnje”, poručuju iz HNB-a.
U skladu s europskom uredbom, od 2025. godine provodi se prikupljanje DORA registara informacija o pružateljima IKT usluga čime je uspostavljen temelj za sustavno praćenje cjelovitog opskrbnog lanca pružatelja tih usluga.
“Unatoč brojnim kibernetičkim prijetnjama i velikoj ovisnosti financijskog sektora o informacijskoj tehnologiji, financijske institucije proteklih godina nisu zabilježile značajnije prekide u pružanju ključnih usluga ni ozbiljnije sigurnosne incidente. Svi nastali i prijavljeni incidenti bili su operativne naravi uzrokovani tehničkim kvarovima, ljudskim pogreškama ili problemima na strani vanjskih pružatelja usluga. Takvo stanje upućuje na primjerenu razinu otpornosti institucija i djelotvornost uspostavljenog nadzornog okvira”, ocjenjuju u HNB-u.
Pročitajte još:
Iz HUB-a pak poručuju da banke u Hrvatskoj kibernetičku sigurnost smatraju jednim od svojih najvažnijih strateških i operativnih prioriteta kontinuirano ulažući značajan novac u razvoj i primjenu najsuvremenijih alata i procedura za zaštitu svojih informacijskih sustava, podataka i klijenata.
“Upozorenja ESB-a treba promatrati kao dio kontinuiranog procesa jačanja otpornosti financijskog sustava. Naime, razvoj umjetne inteligencije donosi brojne koristi, ali istodobno omogućuje i sofisticiranije oblike kibernetičkih napada zbog čega regulatorna tijela i banke kontinuirano unapređuju zaštitne mehanizme. Takav pristup odnosi se na cijeli bankovni sustav jer i operativni poremećaji u manjim institucijama mogu imati šire posljedice za financijski sustav i povjerenje korisnika. Banke aktivno prate razvoj novih tehnologija i prijetnji te u suradnji s domaćim i europskim regulatorima kontinuirano jačaju svoju operativnu i kibernetičku otpornost kako bi osigurale sigurnost poslovanja i zaštitu klijenata”, rekli su iz HUB-a za Financije.hr.
Jedan odgovor
Najvažnije je da sigurnosni sustavi napreduju jednako brzo kao i prijetnje koje pokušavaju spriječiti