ЕЦБ призывает банки еврозоны ужесточить кибербезопасность в связи с изменением картины угроз из-за ИИ

      Европейский центральный банк официально сообщил банкам еврозоны, что они должны ужесточить свою кибербезопасность в ответ на инструменты атак, управляемые ИИ, в последующем заявлении, опубликованном в среду, которое превращает ранее частные рекомендации в нечто более близкое к ожиданиям надзорных органов. Вице-председатель Единого надзорного механизма ЕЦБ, Фрэнк Эльдерсон, обозначил изменение в языке, которое сигнализирует о ужесточении регуляторной позиции, а не о документе для обсуждения. Триггером остается Mythos от Anthropic, модель ИИ с ограниченным доступом, которая может автономно обнаруживать и использовать уязвимости в кибербезопасности на скорости машины. Было продемонстрировано, что Mythos объединяет меньшие слабости в более серьезные атаки и может обратным проектированием патчей превращать их в уязвимости быстрее, чем старые инструменты. Доступ был ограничен Anthropic примерно для 40-50 организаций, включая несколько американских банков; ни одно учреждение еврозоны не входит в этот список. Позиция ЕЦБ, по словам Эльдерсона в начале этого месяца, заключается в том, что «отсутствие доступа не является оправданием для бездействия». Заявление в среду расширяет эту рамку. Теперь ожидается, что банки предположат, что злоумышленники будут иметь доступ к инструментам ИИ сопоставимой способности, независимо от того, есть ли у защитников такой доступ. Надзорное последствие заключается в том, что традиционные месячные циклы обновления программного обеспечения больше не являются адекватными, что отношения с подрядчиками необходимо проверять на ту же уязвимость, и что вся институциональная позиция вокруг управления уязвимостями должна сжиматься до временных рамок атакующих ИИ. ЕЦБ указал, что будет включать готовность к кибербезопасности на основе ИИ в надзорные диалоги с отдельными банками. Политический и коммерческий фон также изменился. BNP Paribas теперь публично работает с Mistral над суверенным европейским ответом на Mythos, что фактически является континентальным хеджем. Брюссель уже несколько недель ведет приостановленные переговоры с Anthropic о расширении доступа к Mythos для европейских учреждений; Испания описала эти переговоры как зашедшие в тупик. Заявление ЕЦБ, по сути, является надзорной стороной той же проблемы: регуляторы не могут ждать разрешения вопроса доступа, прежде чем настаивать на защитной позиции. Более сложный вопрос заключается в том, какие конкретные изменения банки действительно должны внести. ЕЦБ не опубликовал конкретный список технических контролей, отчасти потому, что угроза развивается быстрее, чем любой статический контрольный список мог бы зафиксировать. Ближайшее к рабочему плану — это неявное ожидание, что банки теперь рассматривают любую незащищенную уязвимость как обнаружимую цель, и что время до патча для критических систем сокращается с недель до дней или часов. Меньшие банки еврозоны, которые исторически полагались на аутсорсинговых поставщиков инфраструктуры для технического слоя, находятся в более слабом положении для выполнения этого графика, чем три крупнейших универсальных банка. ЕЦБ также отметил уязвимость подрядчиков как асимметричную проблему. Большинство банков еврозоны имеют длинный хвост сторонних поставщиков программного обеспечения, чья дисциплина в обновлении патчей неравномерна; злоумышленник, управляемый ИИ, обнаруживающий уязвимость в одном широко развернутом продукте поставщика, может перейти в несколько банковских сред через эти отношения с поставщиком. Уязвимость цепочки поставок в стиле Solarwinds, которая определяла конец 2010-х, теперь переосмысляется в форме атакующего ИИ. Эльдерсон обозначил, что надзорные органы будут привлекать банки к ответственности за безопасность их подрядчиков, а не только за свою собственную. Банки еврозоны имеют время до конца 2026 года, чтобы продемонстрировать готовность к новой позиции ЕЦБ, с формальными надзорными диалогами, начинающимися летом. Сам Mythos, согласно текущим публичным отчетам, не был продемонстрирован в дикой природе против европейского учреждения.