El Banco Central Europeo (BCE) está realizando un Cyber Stress Test (CST) a 109 bancos europeos para evaluar su capacidad para hacer frente a los cada vez más potentes y frecuentes ciberataques. Además, 28 entidades (entre ellas 3 españolas) se someterán a una 'evaluación ampliada', en la que presentarán información adicional sobre cómo respondieron al ciberataque. Para ello, el BCE ha exigido a estas entidades que realicen evaluaciones de vulnerabilidad y respuesta a incidentes antes de mediados de 2024.
Aunque estas pruebas coordinadas por el BCE puedan parecer una novedad, no lo son en el sector. Otras autoridades supervisoras, como la danesa y la británica han sido las primeras en realizar estos servicios.
El Cyber Stress Test (CST) abre una nueva vía en sus Stress Test periódicos que evalúan la vulnerabilidad de la entidad frente a las perturbaciones económicas, aumentado así su capacidad de análisis, más allá de las pruebas de resistencia a las que el BCE nos tiene acostumbrados.
En cambio, de forma acertada, el diseño de este ejercicio se centra en analizar la capacidad de responder, evaluar y gestionar un ciberataque e interrumpirá las operaciones diarias. Por supuesto, este ciberataque será simulado y no tendrá ningún tipo de impacto real en la operativa de la compañía en cuestión. Este cambio de enfoque reconoce, por tanto, el crecimiento de la sofisticación de las amenazas cibernéticas, más necesario que nunca en el actual entorno geopolítico y el creciente potencial de pérdidas financieras significativas y daños a la reputación tras los incrementos diarios de ataques cibernéticos cada vez más sofisticados.
Los resultados se incorporarán al SREP (Supervisory Review and Evaluation Process) del Banco Central Europeo, si bien, no se espera que afecten a los requisitos de Pillar 2 – una exigencia de capital específica para cada entidad que complementa el requerimiento mínimo de capital (conocido como requerimiento de Pilar 1) - en los casos en que este infravalora o no cubre determinados riesgos salvo de forma indirecta y tras encontrar casos graves de falta de gobierno corporativo o deficiencias en la gestión de riesgos.
La elección del número de entidades (109/28) y tipologías de ellas seleccionadas entendemos que apunta a un intento de cubrir una parte significativa del sector financiero en la eurozona, mediante una distribución geográfica uniforme y abarcando diferentes modelos y tamaños de negocio. Este ejercicio, que comenzó en noviembre del año pasado, se divide en tres fases: una primera prueba de resistencia dirigida por la entidad; una segunda fase que incluye la evaluación y la tercera y fase final de cierre del ejercicio de análisis.
Entre las características más relevantes de este test destacan la asunción de que las acciones preventivas y las medidas de protección han fallado o fueron eludidas. Por otro lado, no se trata de un ataque coordinado hacia el sistema financiero, sino que cada entidad evaluada sufre el ciberataque independientemente de las demás entidades . No se prevé ni se requiere ninguna interacción entre las entidades probadas, ni interacción con los clientes de las entidades, ni comunicación al público.
En lo que respecta al escenario finalmente elegido, después de varios meses creando grandes expectativas sobre el alcance y la posterior ejecución de este, nos encontramos con un ciberataque de ransonware que afecta a los sistemas centrales(core) de la entidad. En nuestra opinión, el escenario es una vuelta a los básicos, un escenario habitual para los equipos de ciberseguridad sin aportar ningún tipo de novedad ni reto especifico. También es sorprendente que no se evalúe la gestión de crisis. Bajo nuestro punto de vista debería haberse incluido al menos en las 28 entidades sometidas a "evaluación ampliada".
En conclusión, el Cyber Stress Test impulsado por el BCE es una iniciativa positiva, pero es importante que sea exhaustiva y eficaz. Estas pruebas no deberían ser ejercicios únicos o puntuales, sino que deberían incorporar escenarios realmente complejos y de alto impacto que, tuviesen en cuenta el potencial daño a terceros o la cadena de suministro por completo, de manera que las entidades se vean en la obligación real de aumentar la participación de grupos más amplios y evaluar así su capacidad total de responder a un ciberataque complejo y amplio. Entendemos, por tanto, que estas pruebas deberían pasar a formar parte del catálogo de herramientas supervisoras de manera regular, para poder garantizar así que los bancos de la eurozona estén en constante búsqueda de la mejora continua en este ámbito que cada vez preocupa más a los clientes por la sofisticación constante de los ataques cada vez más perfeccionados y difíciles de detectar.