Στην άμεση ανάγκη συμμόρφωσης των ελληνικών χρηματοπιστωτικών ιδρυμάτων στους διαρκείς και μεταλλασσόμενους κινδύνους στον κυβερνοχώρο αναφέρθηκε στην εισήγησή του ο Διοικητής της Τράπεζας της Ελλάδος Γιάννης Στουρνάρας, στο 2ο Banking Forum που διοργανώνει το Ινστιτούτο Εσωτερικών Ελεγκτών Ελλάδας – IIA Greece στο Μέγαρο Καρατζά.
Κατά τον Διοικητή της Τράπεζας της Ελλάδος «η ελληνική οικονομία έχει καταφέρει να σημειώσει σημαντική πρόοδο, μετά την κρίση χρέους, παρουσιάζοντας ισχυρή ανθεκτικότητα, ως αποτέλεσμα της αναδιάρθρωσης του τραπεζικου συστήματος και των μεταρρυθμίσεων. Η ανταγωνιστικότητα σε όρους σχετικών τιμών έχει βελτιωθεί σημαντικά από το 2010 και μετά, κάτι που οφείλεται, μεταξύ άλλων, στη μεταρρύθμιση του ευρύτερου θεσμικού πλαισίου και της απελευθέρωση της αγοράς εργασίας, ενώ μέσω των ξένων επενδύσεων εξασφαλίζονται η χρηματοδότηση της ανάπτυξης και η εισαγωγή καινοτόμων τεχνολογιών».
Ο ίδιος πρόσθεσε, επίσης, ότι οι τράπεζες, πλέον, έχουν εξυγιάνει τους ισολογισμούς τους, ενώ οι δείκτες κεφαλαιακής επάρκειας διατηρούνται σε ικανοποιητικά επίπεδα. Ωστόσο, παρά την πρόοδο, η ελληνική οικονομία εξακολουθεί να έχει χρονίζοντα προβλήματα, ανάμεσα στα οποία η γραφειοκρατία, η υστέρηση σε βασικές υποδομές, οι καθυστερήσεις στο κτηματολόγιο, η φοροδιαφυγή.
Σύμφωνα με τον κ. Στουρνάρα, καθήκον της επόμενης κυβέρνησης είναι, μεταξύ άλλων, η εξακολούθηση του πρόγραμματος μεταρρυθμίσεων, αλλά και η επιστροφή σε πλεονάσματα της τάξης του 2% του ΑΕΠ, με στόχο να διατηρηθεί η επενδυτική βαθμίδα που θα έχει θετική επίδραση σε όλους τους τομείς της οικονομίας.
Επιπρόσθετα, για τον επικεφαλής της Τράπεζας της Ελλάδος, ο τραπεζικός τομέας έχει πραγματοποιήσει βήματα προοδου, οι προοπτικές είναι θετικές, παραμένουν όμως οι προκλήσεις, εν μέσω πιέσεων λόγω του πληθωρισμού για νοικοκυριά και επιχειρήσεις.
Όπως ανέφερε, η πρόσφατη αναταραχή στο τραπεζικό σύστημα των ΗΠΑ δείχνει τη σημασία που έχουν οι πρακτικές εσωτερικού ελέγχου, μαζί με ένα σύστημα εποπτείας, ενώ στην προκειμένη περίπτωση, είναι προφανές ότι δεν ακολουθήθηκαν βασικές πρακτικές κινδύνου από τις αρμόδιες εποπτικές αρχές. Ως εκ τούτου, η επιτυχημένη πρακτική διαχείρισης κινδύνων από τα χρηματοπιστωτικά ιδρύματα συνιστά μεγάλη πρόκληση.
Σε αυτό το πλαίσιο, ο κ. Στουρνάρας ανέφερε ότι είναι δεδομένο ότι η χρήση της τεχνολογίας έχει συμβάλει στην καλύτερη διαχείριση πόρων και στις δραστηριότητές των τραπεζών, ενώ παράλληλα η ψηφιακή μετάβαση έχει ως πλεονέκτημα το μειωμένο κόστος λειτουργίας και την άμεση πρόσβαση σε διαδικτυακές υπηρεσίες.
Ωστόσο, «οι κίνδυνοι στον κυβερνοχώρο αλλάζουν διαρκώς, τα χρηματοπιστωτικά ιδρύματα οφείλουν να αντιμετωπίσουν ένα ευρύ φάσμα απειλών. Είναι σημαντικό η επικοινωνία μεταξύ των τραπεζών να διεξάγεται με ασφαλή τρόπο, καθώς είναι πιθανό να ανακύψουν κίνδυνοι από τη διαδεδομένη μορφή καινοτόμων μορφών χρηματοπιστωτικών μέσων όπως είναι τα κρυπτοστοιχεία και η αποκεντρωμένη χρηματοδότηση» ανέφερε χαρακτηριστικά.
«Η μετάβαση από την αλληλεπίδραση με τον πελάτη, στα διαδικτυακά κανάλια δημιουργεί μια σειρα προκλήσεων όσον αφορά τη συμμόρφωσή των χρηματοπιστωτικών ιδρυμάτων με το θεσμικό πλαίσιο πρόληψης. Αυτές οι προκλήσεις απευθύνονται τόσο στην εποπτική αρχή που οφείλει να θωρακίσει το σύστημα, όσο και στις εταιρείες του χρηματοπιστωτικού τομέα που θα πρέπει να προσαρμόσουν τις επιχειρηματικές τους πρακτικές, προκειμένου να παραμείνουν ανταγωνιστικές, αξιολογώντας παράλληλα και αντιμετωπίζοντας τους νέους και αναδυόμενους κινδύνους» υπογράμμισε ο Διοικητής της Τράπεζας της Ελλάδος.
Εξάλλου, κατά όσα ανέφερε στην εισήγησή του ο κ. Στουρνάρας, η στρατηγική ψηφιακού μετασχηματισμού θα πρέπει να έχει την έγκριση του Διοικητικού Συμβουλίου του χρηματοπιστωτικού ιδρύματος και να υπάρχει εναρμόνιση μεταξύ της υπηρεσιακής στρατηγικής και της στρατηγικής της πληροφορικής.
Ως εκ τούτου, έκανε λόγο για ενέργειες που έχουν γίνει σε αυτό το πλαίσιο, όπως οι πρωτοβουλίες της Ευρωπαϊκής Επιτροπής και η λήψη δέσμης μέτρων από πλευράς Ευρωπαϊκής Ένωσης που στοχεύεουν σε μια εκ βάθρων αναδόμηση του συστήματος.
Ο διοικητής της ΤτΕ συνοψίζοντας, υπογράμμισε ότι τα πιστωτικά ιδρύματα θα πρέπει να συμμορφωθούν στα νέα δεδομένα, αναπτύσσοντας τους κατάλληλους μηχανισμούς, με την πρακτική αντιμετώπισης των κινδύνων να προβλέπει στενή συνεργασία τόσο εντός του ίδιου του ιδρύματος, όσο και με τις εποπτικές αρχές, θωρακίζοντας την ασφάλεια και τη σταθερότητα όλου του συστήματος.
Γ. Χαρδούβελης: «Οι τράπεζες πρωτοστατούν στον χώρο της ψηφιοποίησης και δεν πρόκειται να εκτοπιστούν από τους ανταγωνιστές τους στη λιανική τραπεζική»
Αισιόδοξος για την πορεία του τραπεζικού συστήματος στην Ελλάδα καθώς, όπως είπε, μεταμορφώθηκε και άντεξε στην εποχή της κρίσης, εμφανίστηκε ο Πρόεδρος του Δ.Σ. της Εθνικής Τράπεζας κ. Γκίκας Χαρδούβελης, στο 2ο Banking Forum που διοργανώνει το Ινστιτούτο Εσωτερικών Ελεγκτών Ελλάδας – IIA Greece στο Μέγαρο Καρατζά.
«Σήμερα τα προβλήματα του παρελθόντος έχουν επιλυθεί. Οι ελληνικές συστημικές τράπεζες λειτουργούν με κανόνες βέλτιστης εταιρικής διακυβέρνησης. Είναι πρωτοπόρες σε θέματα ESG και από τους καλύτερους εργοδότες» ανέφερε ο κ. Χαρδούβελης, εκτιμώντας ότι η πορεία τους εξαρτάται και από την πορεία της οικονομίας, για την οποία τόνισε ότι έχει βρει το βηματισμό της.
«Η προηγούμενη δεκαετία με τα πολύ χαμηλά, μηδενικά, ακόμα και αρνητικά επιτόκια ήταν μια παρένθεση, που δεν θα επαναληφθεί σύντομα» υποστήριξε ο κ. Χαρδούβελης, ενώ για την τραπεζική κρίση στις ΗΠΑ τόνισε χαρακτηριστικά : «Στην Ευρώπη η άποψη της ΕΚΤ ότι το τραπεζικό σύστημα είναι θωρακισμένο με υψηλή κεφαλαιακή επάρκεια και ότι η ίδια η ΕΚΤ έχει τα εργαλεία πέραν του επιτοκίου για να διατηρήσει τη σταθερότητα του τραπεζικού συστήματος, νομίζω ευσταθεί. Αντίθετα στις ΗΠΑ υπάρχει ερωτηματικό και σοβαρό δίλημμα αν θα πρέπει να αυξηθούν περαιτέρω τα επιτόκια. Εκεί το εποπτικό πλαίσιο, ιδιαίτερα των μικρο-μεσαίων τραπεζών χαλάρωσε από την εποχή του Προέδρου Τραμπ και οι αυξήσεις επιτοκίων λειτουργούν αποσταθεροποιητικά».
Αναφερόμενος στη νέα εποχή της ψηφιοποίησης και των ηλεκτρονικών συναλλαγών και την είσοδο ψηφιακών τραπεζών, υποστήριξε ότι: «οι τράπεζες πρωτοστατούν στον χώρο της ψηφιοποίησης και δεν πρόκειται να εκτοπιστούν από τους ανταγωνιστές τους στη λιανική τραπεζική», ανέδειξε ωστόσο τον κίνδυνο της χρηματοοικονομικής χωρίς τράπεζες, λέγοντας: «Στη σημερινή αρχιτεκτονική του χρηματο-οικονομικού συστήματος υπάρχει διαφάνεια. Στον κόσμο του DeFi υπάρχει αδιαφάνεια και έλλειψη κανόνων διακυβέρνησης. Δεν το βλέπω να έχει μέλλον. Ακόμα και αν προσωρινά μεγαλώσει, δεν θα το αφήσουν να λειτουργήσει οι επόπτες και οι κυβερνήσεις».
«Υπάρχει μήπως κόπωση από τους διαρκείς ελέγχους; Αυτό ίσως να είναι το Mega-threat του χώρου» κατέληξε στην τοποθέτησή του στο 2ο Banking Forum του Ινστιτούτου Εσωτερικών Ελεγκτών Ελλάδας – IIA Greece ο κ. Χαρδούβελης.
Γιάννης Τζάνος: No 1 ψηφιακή απειλή το Ransomware – Στο στόχαστρο ο τραπεζικός χώρος, το δημόσιο, τα πανεπιστήμια και ο τομέας της υγείας
Με την πολύ ενδιαφέρουσα ενότητα “Kυβερνοασφάλεια, κυβερνοέγκλημα, πρόσφατες τάσεις και ανάπτυξη” ξεκίνησε τις εργασίες του το 2ο Banking Forum που διοργανώνει το Ινστιτούτο Εσωτερικών Ελεγκτών Ελλάδας – IIA Greece στο Μέγαρο Καρατζά, θέτοντας επί τάπητος τα ζητήματα ελέγχου, ετοιμότητας και αντιμετώπισης κυβερνοεπιθέσεων στο τραπεζικό σύστημα.
O Γιάννης Τζάνος, Group Corporate Security Officer & Chief Information Security Officer, της Eurobank ξεκίνησε την τοποθέτησή του, δίνοντας σε λίγες λέξεις τη μεγάλη εικόνα των κυβερνοεπιθέσεων εν έτει 2023: «Έξω έχουμε πόλεμο, όπου υπάρχει χρήμα, υπάρχει δυνατότητα επίθεσης. Οι κυβερνοπιθέσεις χρόνο με το χρόνο εξελίσσονται. Κάθε μέρα ένα καινούριο κάστρο πέφτει».
Κατά τον ίδιο, οι κυβερνοεπιθέσεις έχουν διπλασιαστεί σε σχέση με το 2015, συμβαίνουν κυρίως σε αναπτυγμένες οικονομίες και είναι χαρακτηριστικό ότι οι ΗΠΑ, παρότι συνιστά την πιο δυνατή οικονομία, έχει δεχθεί το 50% των κυβερνοεπιθέσεων, σύμφωνα με στοιχεία από έκθεση της ΕΚΤ. Στο ίδιο πλαίσιο, η Ευρώπη έχει δεχθεί το 13% των κυβερνοεπιθέσεων, με τον τραπεζικό χώρο να πλήττεται, λιγότερο, ωστόσο, από άλλους κλάδους όπως ο δημόσιος τομέας, τα πανεπιστήμια και ο τομέας της υγείας.
Πρόσθεσε, δε, ότι ο νούμερο 1 ψηφιακός κίνδυνος στην παρούσα φάση, είναι το ransomware, το οποίο έχει εξελιχθεί σε τρομερή απειλή, οι κίνδυνοι μέσω του social engineering, αλλά και οι απειλές σε τρίτους παρόχους (providers), ενώ υπάρχει και μια τριπλή μορφή εκβιασμού, η οποία γίνεται κυρίως μέσω email και λιγότερο μέσω browsing. Κατέληξε, εξάλλου, ότι «το ψηφιακό έγκλημα ακολουθεί τα trends της κοινωνίας και του εμπορίου».
Συνεισφέροντας στη συζήτηση, ο Λάμπρος Σπερνοβασίλης, IT Audit Manager της Alpha Bank υπογράμμισε ότι o εσωτερικός έλεγχος μπορεί να συμβάλει στην κυβερνοασφάλεια ενός οργανισμού: «Καλούμαστε να ειμαστε πάντα προετοιμασμένοι μέχρι την επόμενη επίθεση» ανέφερε χαρακτηριστικά, αναπτύσσοντας πυλώνες προετοιμασίας όπως την αναγνώριση των εκτεθειμένων χώρων, της διασφάλισή τους, την ανάπτυξη ενός καλού μηχανισμού εποπτείας για τον περιορισμό ζημιάς από πιθανη επίθεση, την όσο το δυνατόν πιο αποτελεσματική απάντηση στην επίθεση, αλλά και την επιτάχυνση στην επιστροφή στην αρχική κατάσταση. Κατά τον κ. Σπερνοβασίλη «ο εσωτερικός έλεγχος μπορεί συμβάλει στην κυβερνοασφάλεια, προσαρμόζοντας την προσοχή του και την πρακτική του στις παραπάνω κατευθύνσεις».
Από την πλευρά της, η Ιωσηφίνα Δεγαΐτα, Head of Group Operational Risk της Εθνικής Τράπεζας ,σημείωσε, επιβεβαιώνοντας τα λόγια του Γιάννη Τζάνου, ότι τα τελευταία χρόνια η κυβερνοεπιθέσεις είναι «ένας πόλεμος που θα μείνει, όσο υπάρχει ψηφιακός μετασχηματισμός και συνεχής τεχνολογική εξέλιξη».
Κατά όσα σημείωσε στην εισήγησή της, το risk είναι ένας κίνδυνος που είναι πολύ ψηλά στην ατζέντα στους οργανισμούς, αλλά είναι πολυπαραγοντικός, με την ύπαρξη κινδύνων εσωτερικής και εξωτερικής απάτης και διαρροής ευαίσθητων πληροφοριών, αλλά και διακυβευσης φήμης της κάθε επιχείρησης που δέχεται επίθεση. «Χρειαζόμαστε διακυβέρνηση, ο κάθε χώρος πρέπει να θέσει ρόλους, ευθύνες, και είναι καθήκον όλων μας η διαχείριση του cyber risk σε έναν οργανισμό» ανέφερε η κυρία Δεγαΐτα, ενώ για την ίδια, είναι απαραίτητη η στρατηγική και οι πολιτικές του κάθε κλάδου για την αντιμετώπισή του.
Για τον Δημήτρη Φράγκο Internal Audit Director, της τράπεζας Πειραιώς η κυβερνοασφάλεια έχει ιδιαιτερότητες όπως την τεχνική της φύση, το εύρος των υπηρεσιών λόγω του μεγέθους των απειλών, ωστόσο, την ίδια στιγμή, υπάρχει απώλεια ελέγχου λόγω outsourcing. Όπως υπογράμμισε στην τοποθέτησή του «το εποπτικό πλαίσιο είναι ιδιαιτέρως εμπλουτισμένο αυτή τη στιγμή και στην πρώτη γραμμή άμυνας υπάρχει ο σχεδιασμός ελέγχου, η ανάπτυξη και η αρχιτεκτονική των συστημάτων και στη δεύτερη γραμμή, ο κανονιστικός κίνδυνος, ενώ υπάρχει η δυνατότητα και άλλων, πιο εξειδικευμένων δομών. Η τρίτη γραμμή περιλαμβάνει όλο το εύρος διακυβέρνησης και δεξιοτήτων, καθώς και τη διαχείριση κινδύνων. «Υπάρχουν δυνατότητες συνέργειας μεταξύ των γραμμών άμυνας, ομως ο αγώνας είναι δύσκολος γιατί συνεχώς αλλάζουν οι απειλές» τόνισε.
Για τη σχέση cyber risk και compliance risk έκανε λόγο ο Gerry Kounadis, Deputy Head of Group Business Regulatory Compliance & Client Conduct Division της Εθνικής Τράπεζας, υποστηρίζοντας ότι ένας από τους μεγαλύτερους κινδύνους κυβερνοεπίθεσης είναι αυτός που προκύπτει από τις διαδικασίες του Γενικού Κανονισμού για την Ασφάλεια Δεδομένων. Σε επίπεδο χρηματοπιστωτικής νομοθεσίας, κατά τον ίδιο, μια ακόμα μεγάλη πηγή κινδύνου είναι οι διαδικασίες outsourcing, ενώ, συμπλήρωσε ότι ο ρόλος της κανονιστικής συμμόρφωσης για την προετοιμασία απέναντι στις κυβερνοπιθέσεις έχει πέντε πυλώνες: Τη διαρκή ενημέρωση για τις κανονιστικές εξελίξεις, τη συνδιαμόρφωση του πλαισίου που πρέπει να κινηθεί ο οργανισμός, την αξιολόγηση των κινδύνων συμμόρφωσης, έτσι ώστε να βρίσκονται οι κατάλληλες λύσεις, την παρακολούθηση της συμμόρφωσης σε περιοχές με υψηλό κίνδυνο, καθώς και τη σημασία της έγκαιρης αναφοράς (reporting).