ЕЦБ призывает банки еврозоны ужесточить кибербезопасность в связи с изменением угроз, связанным с ИИ

      Европейский центральный банк официально сообщил банкам еврозоны, что они должны ужесточить свою кибербезопасность в ответ на инструменты атак, управляемые ИИ, в последующем заявлении, опубликованном в среду, которое превращает ранее частные рекомендации в нечто более близкое к ожиданиям надзорных органов.

      Заместитель председателя Единого механизма надзора ЕЦБ, Фрэнк Эльдерсон, обозначил изменение в языке, которое сигнализирует о ужесточении регуляторной позиции, а не о документе для обсуждения.

      Триггером остается Mythos от Anthropic, модель ИИ с ограниченным доступом, которая может автономно обнаруживать и использовать уязвимости кибербезопасности на скорости машины. Было продемонстрировано, что Mythos объединяет меньшие слабости в более серьезные атаки и может реверс-инжинирить патчи в уязвимости быстрее, чем старые инструменты.

      Доступ к Mythos был ограничен Anthropic примерно для 40-50 организаций, включая несколько американских банков; ни одно учреждение еврозоны не входит в этот список. Позиция ЕЦБ, по словам Эльдерсона в начале этого месяца, заключается в том, что «отсутствие доступа не является оправданием для бездействия».

      Заявление в среду расширяет эту рамку. Теперь от банков ожидается, что они предположат, что злоумышленники будут иметь доступ к инструментам ИИ сопоставимой мощности, независимо от того, есть ли у защитников такой доступ. 💜 технологий ЕС Последние новости из технологической сферы ЕС, история от нашего мудрого основателя Бориса и несколько сомнительных произведений ИИ. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас!

      Надзорное последствие заключается в том, что традиционные месячные циклы обновления программного обеспечения больше не являются адекватными, что отношения с подрядчиками необходимо проверять на ту же уязвимость, и что вся институциональная позиция по управлению уязвимостями должна сжиматься до временных рамок атакующих ИИ. ЕЦБ указал, что будет включать готовность к киберугрозам, связанным с ИИ, в надзорные диалоги с отдельными банками.

      Политический и коммерческий фон также изменился. BNP Paribas теперь публично работает с Mistral над суверенным европейским ответом на Mythos, что фактически является континентальным хеджированием. Брюссель уже несколько недель ведет переговоры с Anthropic о расширении доступа к Mythos для европейских учреждений; Испания описала эти переговоры как зашедшие в тупик.

      Заявление ЕЦБ, по сути, является надзорной стороной одной и той же проблемы: регуляторы не могут ждать разрешения вопроса доступа, прежде чем настаивать на защитной позиции.

      Более сложный вопрос заключается в том, какие конкретные изменения от банков действительно ожидаются. ЕЦБ не опубликовал конкретный список технических контролей, отчасти потому, что угроза развивается быстрее, чем любой статический контрольный список мог бы зафиксировать.

      Ближайшее к рабочему плану ожидание заключается в том, что банки теперь должны рассматривать любую незащищенную уязвимость как обнаруживаемую цель, и что время до патча для критических систем сокращается с недель до дней или часов.

      Меньшие банки еврозоны, которые исторически полагались на аутсорсинг инфраструктурных провайдеров для технического слоя, находятся в более слабом положении для выполнения этого графика, чем три крупнейших универсальных банка.

      ЕЦБ также отметил уязвимость подрядчиков как асимметричную проблему. Большинство банков еврозоны имеют длинный хвост третьих сторон поставщиков программного обеспечения, у которых дисциплина патчей неравномерна; атакующий, управляемый ИИ, обнаруживающий уязвимость в одном широко используемом продукте поставщика, может перейти в несколько банковских сред через эти отношения с поставщиком.

      Уязвимость цепочки поставок в стиле Solarwinds, которая определяла конец 2010-х годов, теперь переосмысляется в форме атакующего ИИ. Эльдерсон обозначил, что надзорные органы будут привлекать банки к ответственности за безопасность их подрядчиков, а не только за свою собственную.

      Банки еврозоны имеют до конца 2026 года, чтобы продемонстрировать готовность к новой позиции ЕЦБ, с официальными надзорными диалогами, начинающимися летом. Сам Mythos, согласно текущим публичным отчетам, не был продемонстрирован в дикой природе против европейского учреждения.