Cele mai relevante forme ale riscurilor cibernetice cu care se confruntă sectorul financiar sunt atacurile de tip DoS, furtul şi manipularea datelor, produsele software dăunătoare, precum şi dezinformarea şi informaţiile false, potrivit domnului Iulian Lupu, şeful Serviciului de Rezoluţie a Asigurătorilor şi a Firmelor de Investiţii din cadrul Autorităţii de Supraveghere Financiară.
Domnia sa a menţionat, citând un raport realizat de Join Committee, că printre premisele şi provocările sectorului se numără:
- Creşterea informatizării canalelor de distribuţie;
- Apetitul clienţilor pentru servicii financiare oferite 24 de ore, şapte zile pe săptămână;
- Conducerile mai multor instituţii nu dispun adesea de expertiza tehnică sau sunt informate necorespunzător cu privire la riscurile IT şi la evoluţiile tehnologice relevante pentru instituţia lor, ceea ce duce la luarea unor decizii ineficiente cu privire la aceste provocări;
- Se aşteaptă ca cererea de produse de asigurare cibernetică să crească, în timp ce produsele de acoperire cibernetică sunt încă relativ noi pe piaţă, cu experienţe limitate în activitatea de subscriere şi cu lipsa datelor istorice.
- Asigurătorii îşi pot folosi expertiza cu asigurarea de întrerupere a activităţii şi pot extinde politicile existente prin aspecte legate de asigurarea cibernetică.
Riscurile şi vulnerabilităţile sectorului financiar sunt următoarele, conform domnului Lupu:
"- Dependenţa faţă de platformele IT şi de reţelele de telecomunicaţii;
- Preocupările legate de conectivitate şi de externalizări;
- Multe instituţii se bazează pe sisteme IT învechite, fiind necesare investiţii pentru înlocuirea lor;
- Riscurile operaţionale legate de riscurile IT par să crească în sectorul financiar;
- Ameninţări date de accesul neautorizat la sistemele şi datele critice;
- Infrastructurile pieţelor financiare se confruntă cu riscuri cibernetice de tipul ameninţărilor pentru continuitatea activităţii şi pentru integritatea diferitelor tipuri de date;
- Conducerile mai multor instituţii nu dispun adesea de expertiza tehnică sau sunt informate necorespunzător cu privire la riscurile IT şi la evoluţiile tehnologice relevante pentru instituţia lor, ceea ce duce la luarea unor decizii ineficiente cu privire la aceste provocări".
Autorităţile de supraveghere intenţionează să adopte unele măsuri care să combată riscurile din domeniu.
Una dintre acestea este concentrarea supravegherii pe măsuri privind sistemele informatice învechite, a rezilienţei IT, a guvernanţei şi a externalizărilor.
În sectorul bancar, urmează să fie publicat, în 2017, proiectul de orientări EBA privind evaluarea riscurilor în domeniul IT ca parte a SREP (Supervisory Review and Evaluation Process). Aceste orientări stabilesc instrumente prin care autorităţile de supraveghere să identifice şi să măsoare expunerile la riscurile IT. De asemenea, ABE intenţionează să publice, în cursul anului 2017, o recomandare privind externalizarea în cloud a unor servicii.
În prezent, ESMA avansează în evaluarea capabilităţilor de securitate cibernetică ale CCP-urilor, prin intermediul unui chestionar de evaluare a riscurilor şi controalelor de risc.
În iunie 2016, CPMI-IOSCO a emis un ghid privind rezilienţa cibernetică a infrastructurilor pieţelor financiare.
De asemenea, autorităţile de supraveghere ar trebui să ia în considerare evaluarea în continuare a rezilienţei instituţiilor financiare în ceea ce priveşte securitatea cibernetică şi riscurile IT.
Joint Committee este un forum care are obiectivul să consolideze cooperarea dintre Autoritatea Bancară Europeană (EBA), Autoritatea Europeană pentru Asigurări şi Pensii Ocupaţionale (EIOPA) şi Autoritatea Europeană pentru Valori Mobiliare şi Pieţe (ESMA).