Palabras introductorias de Piero Cipollone, miembro del Comité Ejecutivo del BCE, en la novena reunión del Euro Cyber Resilience Board para infraestructuras financieras paneuropeas
Fráncfort del Meno, 17 de enero de 2024
Los riesgos cibernéticos se han convertido en uno de los principales problemas para la seguridad global. Se estima que el costo anual asociado excede los 200 mil millones de dólares a nivel mundial.[1]Y las amenazas cibernéticas han sido identificadas como un riesgo sistémico para la estabilidad del sistema financiero europeo.[2]Pero los ciberataques tienden a no ser denunciados.[3]
En el contexto de un panorama de amenazas cibernéticas en evolución donde los riesgos continúan creciendo, el Euro Cyber Resilience Board (ECRB) ofrece un foro único que reúne a las infraestructuras financieras paneuropeas, sus proveedores de servicios críticos, los supervisores de los bancos centrales y otras autoridades europeas clave. para debates estratégicos sobre riesgos cibernéticos. Permite compartir información confidencial en un entorno confiable, contribuyendo a la resiliencia del sistema financiero europeo.
La semana pasada, una cuenta de redes sociales de la Comisión de Bolsa y Valores de EE. UU. se vio comprometida y se publicó una publicación no autorizada.[4]Como sin duda sabrá, esto provocó un aumento temporal en el precio de los criptoactivos, especialmente bitcoin. Si bien no fue un ciberataque particularmente complejo o de gran escala, este ejemplo muestra que los ciberataques pueden usarse para manipular las narrativas del mercado y los precios para obtener ganancias financieras. En un mundo donde las noticias y las redes sociales pueden tener grandes impactos en tiempo real en los mercados financieros, el daño puede ser significativo.
En este contexto, tener un foro como el ECRB es muy beneficioso. Permite a sus miembros combinar sus esfuerzos de ciberseguridad para su propio beneficio y el del ecosistema financiero en general.
Al observar las últimas tendencias en ciber amenazas y lo que las impulsa, podemos anticipar mejor las amenazas futuras. Por eso tenemos la Iniciativa de Intercambio de Inteligencia y Ciber información del ECRB (CIISI-EU).
Y al compartir las mejores prácticas y compararnos con estándares comunes, podemos proteger mejor la seguridad y la integridad del sistema financiero. Colectivamente, estamos mejor equipados para profundizar nuestra comprensión de las ciber amenazas, defendernos de ellas y minimizar su posible impacto.
En mis comentarios de hoy, discutiré brevemente el panorama actual de amenazas cibernéticas, los impactos potenciales de las nuevas tecnologías y nuestro enfoque para evaluar y cerrar brechas en la resiliencia cibernética.
El panorama actual de las ciberamenazas
El ECRB ha advertido durante mucho tiempo que los riesgos cibernéticos se están acercando cada vez más al núcleo del sistema financiero. Hemos visto grandes ataques cibernéticos esporádicos contra instituciones financieras o sus proveedores de servicios, lo que ha provocado perturbaciones tanto en el sistema financiero como en la economía real. Y las amenazas cibernéticas en general se han vuelto más agresivas. Por ejemplo, estamos viendo un número cada vez mayor de ciberataques que intentan interrumpir servicios u obtener acceso no autorizado a datos y servicios, incluidos ataques de ransomware. Los conflictos geopolíticos también están provocando un mayor aumento de los ciberataques. Estos avances subrayan la necesidad de una inversión continua en ciberresiliencia.
Permítanme destacar dos áreas de amenaza importantes.
En primer lugar, los ataques de ransomware, como el reciente ataque al Banco Industrial y Comercial de China que interrumpió las operaciones en el mercado del tesoro estadounidense. [5] Esto demostró la necesidad de cooperación internacional contra los ataques de ransomware, que son una amenaza global. Esta cooperación es necesaria para hacer que el modelo de negocio de los delincuentes resulte poco atractivo, al hacer que los ataques sean más riesgosos y menos rentables. Este es el objetivo de la Iniciativa Internacional Contra el Ransomware [6], que reúne a los países para luchar contra los pagos de rescate. Dado el papel de los criptoactivos como método de pago solicitado por los atacantes de ransomware, contrarrestar el ransomware también requerirá el desarrollo de regímenes eficaces de incautación de criptoactivos. De hecho, la evidencia empírica muestra una fuerte correlación entre la exposición al riesgo cibernético, la atención de los inversores a las criptomonedas y el precio del bitcoin. [7] Esto crea un círculo vicioso entre el riesgo cibernético y las valoraciones de las criptomonedas. Los mayores riesgos cibernéticos aumentan las expectativas de demanda de criptomonedas, lo que hace subir los precios de las criptomonedas. A su vez, los precios más altos de las criptomonedas aumentan los incentivos y recursos para los ataques de ransomware.
En segundo lugar, las entidades financieras deben implementar prácticas sólidas de gestión de riesgos para dar cuenta de su creciente uso de la subcontratación y su alta dependencia de terceros proveedores de servicios. Estas prácticas se establecen, por ejemplo, en las directrices sobre gestión de riesgos de la cadena de suministro proporcionadas recientemente por el Consejo de Estabilidad Financiera. [8]
Durante el año pasado, el ECRB puso especial énfasis en este tema, pidiendo a las entidades financieras que realicen la diligencia debida antes de contratar a un proveedor de servicios, identifiquen y gestionen a todos sus proveedores de servicios críticos y supervisen las interconexiones a lo largo de la cadena de suministro. En cuanto a las autoridades, los supervisores de los bancos centrales requieren infraestructuras de mercados financieros para identificar, evaluar y gestionar las interdependencias que surgen de terceros proveedores de servicios y supervisar a los proveedores de servicios críticos. El nuevo reglamento de la UE sobre resiliencia operativa digital (DORA) contiene requisitos para los proveedores externos de servicios de TIC críticos y para la creación de un foro paneuropeo para supervisar a estos proveedores. [9]
También dependemos de proveedores de servicios públicos, como empresas de energía, empresas de telecomunicaciones o proveedores de agua. Si bien no se consideran proveedores externos como tales, todos tenemos un claro interés en el buen funcionamiento de las infraestructuras críticas. Podemos apoyar su resiliencia cibernética compartiendo herramientas que puedan resultarles útiles. Por ejemplo, el marco TIBER-EU simula ciberataques, en condiciones de la vida real y de forma controlada. Algunos proveedores de servicios públicos ya han hecho uso del marco.
El impacto de las nuevas tecnologías en el panorama de las ciberamenazas
Las nuevas tecnologías brindan oportunidades para respaldar y mejorar nuestra resiliencia cibernética, pero también pueden plantear desafíos para la seguridad cibernética.
Por ejemplo, la inteligencia artificial (IA) se puede utilizar para ciberataques sofisticados, y los actores maliciosos aprovechan su potencial para la ingeniería social, el reconocimiento y la explotación. Los atacantes incluso pueden aplicar ingeniería inversa a los modelos de IA, eludiendo sus barreras de seguridad y utilizándolas con intenciones maliciosas para llevar a cabo operaciones exitosas. Ya se han diseñado herramientas maliciosas de inteligencia artificial para ayudar a los usuarios a llevar a cabo actividades cibernéticas delictivas. Podemos esperar que este tipo de herramientas maliciosas se vuelvan más avanzadas a medida que los atacantes se vuelvan más sofisticados en el uso de la IA y la tecnología evolucione aún más. Al mismo tiempo, la IA puede ayudar a aumentar la ciberresiliencia y contrarrestar los ciberataques, incluidos los ataques generados por IA. Por ejemplo, la IA puede respaldar la inteligencia sobre amenazas en la recopilación y análisis de datos. La IA también puede ayudar a prevenir y detectar ciberataques al identificar anomalías en los comportamientos de los usuarios, los sistemas y las redes en tiempo real.
El desarrollo de la computación cuántica es otro ejemplo. La tecnología cuántica promete expandir enormemente el poder computacional y abrir nuevas formas de comunicación. Si bien las predicciones sobre la disponibilidad y el impacto de la tecnología cuántica varían, el efecto que puede tener en la ciberseguridad merece especial atención y conciencia. Por ejemplo, puede romper los algoritmos de criptografía que se utilizan actualmente para la comunicación y la protección de datos. Discutir entornos de criptografía postcuántica dentro del ECRB nos ayudará a comprender las oportunidades y los riesgos.
Identificar posibles debilidades para mitigar más eficazmente los riesgos cibernéticos
El Eurosistema realiza periódicamente estudios de resiliencia cibernética de las infraestructuras de los mercados financieros, en los que participan muchas instituciones del ECRB. Esto permite evaluar la ciberresiliencia de cada entidad y ayuda a obtener una visión general del progreso y las vulnerabilidades restantes en todo el sector. Los hallazgos a nivel individual son discutidos y seguidos por la entidad y su respectivo supervisor del banco central. Un resultado común que se puede derivar de la encuesta es la correlación entre la buena gobernanza y la fuerte ciberresiliencia de una entidad. Una buena comprensión de los riesgos cibernéticos a nivel de la junta directiva se traduce en una toma de decisiones mejor informada y conduce a la asignación de los recursos necesarios.
La encuesta también reveló una correlación entre una alta resiliencia cibernética y ejercicios de equipos rojos como los proporcionados por TIBER-EU. Estos ejercicios arrojan luz sobre la ciberresiliencia de la entidad, permitiéndole mitigar cualquier brecha identificada en sus defensas de una manera muy personalizada. El BCE, junto con la comunidad de autoridades TIBER, participa en un gran número de pruebas y facilita un intercambio activo para seguir desarrollando herramientas de prueba y promover su uso por todas las partes interesadas.
Además de las encuestas sobre ciberresiliencia y los ejercicios de formación de equipos rojos, las pruebas de resistencia y los ejercicios de ciberresiliencia desempeñan un papel crucial a la hora de identificar y cerrar posibles brechas y debilidades. En 2024, el BCE realizará una prueba de resistencia a 109 bancos supervisados directamente sobre sus capacidades de respuesta y recuperación ante ciberataques, basándose en un escenario de un ciberataque exitoso que interrumpa sus operaciones diarias.[10] El Eurosistema ha realizado en el pasado ejercicios similares de ciberresiliencia para las infraestructuras de los mercados financieros y se están preparando otros ejercicios. Estos esfuerzos se refuerzan mutuamente.
Un elemento clave de la resiliencia cibernética es la notificación y divulgación de incidentes cibernéticos por parte de infraestructuras y entidades del sector financiero, así como de otros sectores críticos. Naturalmente, pueden estar en juego consideraciones sobre el impacto en la reputación y la confianza de los clientes o inversores, pero no deberían influir en los requisitos de notificación de incidentes de acuerdo con los marcos regulatorios y de supervisión pertinentes.[11]De hecho, cualquier incidente que no se denuncie puede empeorar el impacto y socavar la contención de un ciberataque. En este contexto, también es importante contar con planes precisos para revelar incidentes a las partes interesadas relevantes en el ecosistema y para comunicarlos al público. Además, grupos de confianza, como CIISI-EU para los miembros de la ECRB, ayudan a las entidades a analizar y aprender de las amenazas e incidentes cibernéticos y a preparar mejores planes para evitar el contagio. Esta es una fórmula que también puede utilizarse en otros sectores críticos.
Conclusión
Permítanme concluir.
Las infraestructuras de los mercados financieros son redes que mitigan los riesgos, pero también pueden convertirse en una fuente de riesgo sistémico si no funcionan correctamente. La creciente amenaza de los ciberataques y los daños y perturbaciones que pueden causar lo ponen claramente de relieve.
Nuestro sistema financiero es tan fuerte como su eslabón más débil. En otras palabras, la ciberseguridad es nuestro bien común y no deja lugar a concesiones: debemos estar un paso por delante de los atacantes. Para lograrlo, debemos adoptar un enfoque que abarque todo el sistema y trabajar juntos continuamente.
El ECRB es una parte importante de este esfuerzo, ya que ofrece un espacio para compartir de manera confiable información, prácticas y técnicas que aumentan nuestra ciberresiliencia común e individual. Al mismo tiempo, los bancos centrales y las autoridades trabajan juntos a nivel internacional en estrecha colaboración con la industria, ya que el riesgo cibernético no es un fenómeno local o regional, sino una amenaza global. [12]
Como nuevo presidente del ECRB, espero trabajar en estos desafíos y mejorar nuestra ciberresiliencia común. La información que compartiremos hoy y los nuevos avances que lograremos ayudarán a fortalecer la ciberresiliencia del sector financiero europeo.
- Jamilov, R., Rey, H. y Tahoun, A. (2023), “ The Anatomy of Cyber Risk ”, Serie de documentos de trabajo de NBER , n.º 28906, Oficina Nacional de Investigación Económica; Dreyer, P., Jones, TM, Klima, K., Oberholtzer, J., Strong, A., Welburn, JW y Winkelman, Z. (2008), “ Estimación del costo global del riesgo cibernético: metodología y ejemplos ”, Informes de investigación , RAND Corporation.
- Junta Europea de Riesgo Sistémico (2020), Riesgo cibernético sistémico , febrero.
- Amir, E., Levi, S. y Livne, T. (2018), “¿Las empresas no reportan información sobre ataques cibernéticos? Evidencia de los mercados de capitales”, Review of Accounting Studies , vol. 23, págs. 1177-1206.
- Financial Times (2024), “ Bitcoin oscila bruscamente después de una afirmación falsa de que la SEC aprobó los ETF ”, 10 de enero.
- Financial Times (2023), “ El ataque de ransomware al ICBC interrumpe las operaciones en el mercado del Tesoro de EE. UU .”, 10 de noviembre.
- La Casa Blanca (2023), “ Declaración conjunta de la Iniciativa Internacional Contra el Ransomware 2023 ”, 1 de noviembre.
- Jamilov, R., Rey, H. y Tahoun, A., op. cit.
- Junta de Estabilidad Financiera (2023), Enhancing Third-Party Risk Management and Oversight: un conjunto de herramientas para instituciones y autoridades financieras , 4 de diciembre.
- Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012 y (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011 (DO L 333 de 27.12.2022, p. 1).
- BCE (2024), “ El BCE realizará una prueba de tensión sobre la capacidad de los bancos para recuperarse de un ciberataque ”, comunicado de prensa, 3 de enero.
- Centro Nacional de Seguridad Cibernética (2023), “ Por qué una mayor transparencia en torno a los ciberataques es algo bueno para todos ”, blog del NCSC , mayo; Daniel, M. (2023), “ La denuncia de ciberataques pronto será obligatoria. ¿Está lista su empresa? ”, Harvard Business Review , 19 de abril.
- Para conocer las normas e iniciativas internacionales sobre ciberresiliencia, consulte el sitio web del BCE .
Temas relacionados
Descargo de responsabilidad
Tenga en cuenta que las etiquetas de temas relacionados actualmente están disponibles solo para contenido seleccionado.
Publicado originalmente: https://www.ecb.europa.eu/press/key/date/2024/html/ecb.sp240117~3e839b396f.en.html