Европейский центральный банк потребовал от крупных банков еврозоны подготовить планы защиты от киберугроз, связанных с передовыми моделями искусственного интеллекта. В Bloomberg сообщили об этом 7 июля: регулятор просит банки объяснить, как они будут закрывать уязвимости, усиливать мониторинг и управлять рисками поставщиков в условиях, когда ИИ ускоряет поиск и эксплуатацию уязвимостей. Открытое письмо ЕЦБ к руководителям банков подтверждает ключевой срок: планы нужно передать совместным надзорным группам до 31 октября 2026 года.
Банкам надо представить не презентацию, а полноценный план действий. ЕЦБ просит описать конкретные меры, ресурсы, роли, зоны ответственности и сроки внедрения. План должен опираться на уже существующую стратегию управления киберрисками, но закрывать и срочные задачи, и долгосрочную перестройку защиты.
Регулятор выделяет три направления: ускорить управление уязвимостями и установку исправлений, усилить мониторинг и защитные ИИ-инструменты, проверить устойчивость поставщиков информационно-коммуникационных технологий, то есть ИТ- и телеком-сервисов, от которых зависят критические процессы банка.
Главная проблема — скорость. Раньше банк мог существовать в цикле нашли уязвимость — оценили — поставили патч в окно изменений — проверили. Передовые ИИ-модели меняют экономику атаки: уязвимости находятся быстрее, сбор эксплойтов ускоряется, а окно между публикацией информации и массовыми попытками взлома сжимается. Франк Элдерсон из ЕЦБ отмечает, что скорость, масштаб и доступность продвинутых кибервозможностей растут, а времени у защитников становится всё меньше.
В письме ЕЦБ выделены интернет-доступные активы: внешние приложения, периметровые технологии, облачные среды, VPN-подключения к третьим сторонам, стороннее ПО и компоненты с открытым кодом. Регулятор просит банки минимизировать такие поверхности атаки и постоянно их мониторить.
Ещё одна боль — устаревшая инфраструктура. ЕЦБ требует укреплять эшелонированную защиту, то есть не рассчитывать на один периметр, усиливать базовую кибергигиену и обновлять или заменять неподдерживаемые технологии. Если заменить старую систему быстро нельзя, её надо закрывать дополнительными контролями.
Отдельный блок — архитектура нулевого доверия. ЕЦБ пишет, что разумная модель защиты должна исходить из того, что периметр может быть пробит, особенно когда передовые ИИ-системы ускоряют поиск и эксплуатацию уязвимостей, включая потенциальные атаки через неизвестные ранее дыры. Банкам предлагают использовать сегментацию и, где возможно, микросегментацию, а также непрерывную проверку пользователей, устройств, приложений, интерфейсов программирования и сервисных аккаунтов.
Раньше многие программы защиты строились вокруг идеи не пустить злоумышленника внутрь. Теперь регулятор фактически говорит исходить из того, что внутрь всё равно попадут. Вопрос в том, сможет ли атака быстро разрастись на критические системы, платёжные контуры, облачные среды, клиентские данные и резервные площадки.
Мониторинг тоже должен стать плотнее. ЕЦБ просит усиливать сбор и анализ журналов приложений, доступов, сетевого трафика и других индикаторов компрометации, особенно вокруг внешних приложений, облачных репозиториев и критически важных внутренних систем.
Регулятор отдельно связывает тему с DORA — европейским законом о цифровой операционной устойчивости финансового сектора. DORA уже требует от банков управлять ИКТ-рисками, тестировать устойчивость, контролировать критичных поставщиков и готовиться к инцидентам.
Поставщики — отдельная зона риска. Банки зависят от облаков, процессинговых платформ, телекомов, платёжных систем, аутсорсеров разработки и внешних ИТ-провайдеров. ЕЦБ предупреждает: критическая инфраструктура, от которой зависят банки, тоже может стать целью. Уязвимость в одном широко используемом поставщике способна быстро перерасти в сбой по всему сектору.
Поэтому ЕЦБ просит проверять не только свои серверы, но и договоры, сервисные соглашения и способность подрядчиков быстро ставить исправления. Если у поставщика нет ресурсов для ускоренного патчинга, банк получает чужой риск как свой. В письме прямо говорится, что требования к быстрым критическим исправлениям и аварийным изменениям должны отражаться в контрактных условиях и соглашениях об уровне сервиса.
Европейский совет по системным рискам в тот же день выпустил предупреждение о системных киберрисках от передовых моделей ИИ. На уровне финансовой системы опасность не в одном взломанном банке, а в массовости: одинаковые технологии, общие поставщики, похожие уязвимости, общие платёжные и облачные контуры. Если атака быстро находит одну типовую уязвимость, она может одновременно ударить по нескольким участникам рынка. ЕЦБ прямо ссылается на это предупреждение в письме банкам.
Британские регуляторы пришли к похожему выводу ещё в мае. Банк Англии, Управление по финансовому регулированию и надзору и Минфин Великобритании выпустили совместное заявление: финансовые компании и рыночная инфраструктура должны планировать и снижать киберриски, связанные с передовым ИИ, в рамках уже действующих требований к операционной устойчивости. Среди ожидаемых действий — понимание рисков советом директоров, управление уязвимостями, защита поставщиков, сценарное тестирование и обмен информацией.
В письме центробанка также упомянута постквантовая криптография — переход на методы шифрования, устойчивые к будущим квантовым компьютерам. Регулятор пишет, что практические квантовые вычисления могут повлиять на традиционные методы шифрования, а подготовка займёт много времени и потребует стратегических инвестиций. Отдельное письмо по этой теме ЕЦБ обещает прислать позже.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.