Banki w strefie euro tracą miliony euro z powodu kiepskiego outsourcingu IT

Banknoty euro. Zdjęcie: Yahoo Finance 

Europejski Bank Centralny przeprowadził w tym roku ankietę wśród nadzorowanych przez siebie banków i od 2020 roku przeprowadził 22 inspekcje, aby sprawdzić, w jakim stopniu banki są przygotowane do radzenia sobie z zagrożeniami, w tym włamaniami, przestarzałymi systemami i wykonawcami, którzy nie wywiązują się z obietnic.  

W szczególności ten ostatni obszar kosztował banki 148 milionów euro (160.59 milionów dolarów amerykańskich) w 2022 roku, co stanowi wzrost o 360% w porównaniu z rokiem poprzednim, w wyniku ,,niedostępności lub słabej jakości usług outsourcingowych". „Straty te miały związek z małą liczbą zdarzeń o dużej skali i dodatkowo uwydatniły potrzebę odpowiedniego zarządzania ryzykiem, wynikającą z polegania na dostawcach usług”, stwierdził Europejski Bank Centralny w biuletynie. 

Mimo że Europejski Bank Centralny przestrzegł, że straty te „koncentrowały się w kilku znaczących instytucjach, a zatem nie wskazywały na tendencję sektorową", stwierdził również, że "umowy outsourcingowe banków często nie uwzględniały w wystarczającym stopniu wymogów bezpieczeństwa informatycznego". Banki coraz częściej korzystają z outsourcingu, rezygnując z przechowywania informacji na własnych serwerach i przechodząc na usługi oparte na chmurze. Wydatki na chmurę wzrosły o 56% w 2022 roku i stanowiły 3,1% wszystkich pieniędzy wydanych przez banki na IT, jak podał Europejski Bank Centralny. 

Mówiąc szerzej, Europejski Bank Centralny znalazł fundamentalne braki w sposobie, w jaki banki radzą sobie z cyberbezpieczeństwem, które były „poważniejsze i bardziej rozpowszechnione niż się spodziewano”. Uznano, że wielu pożyczkodawców nawet nie rozpoznało wszystkich potencjalnych zagrożeń lub nie posiadało odpowiednich systemów do wykrywania i reagowania na incydenty. 

„Europejski Bank Centralny oczekuje, że wszystkie banki, znajdujące się pod jego bezpośrednim nadzorem, podejmą natychmiastowe i konkretne kroki, aby upewnić się, że ich zarządzanie ryzykiem informatycznym i cyberbezpieczeństwem jest zgodne z oczekiwaniami nadzorczymi.” 

Dodano, że banki, które zostały objęte inspekcjami, otrzymały już konkretne zalecenia.