ЕЦБ требует от банков еврозоны усилить кибербезопасность в связи с изменением угрозы из-за ИИ

      Европейский центральный банк официально сообщил банкам еврозоны, что они должны ужесточить свою кибербезопасность в ответ на инструменты атак, управляемые ИИ, в последующем заявлении, опубликованном в среду, которое превращает ранее частные рекомендации в нечто более близкое к ожиданиям надзорных органов.

      Заместитель председателя Единого надзорного механизма ЕЦБ, Фрэнк Эльдерсон, сформулировал изменение в языке, которое сигнализирует о ужесточении регуляторной позиции, а не о документе для обсуждения.

      Триггером остается Mythos от Anthropic, модель ИИ с ограниченным доступом, которая может автономно обнаруживать и эксплуатировать уязвимости кибербезопасности на скорости машин. Было продемонстрировано, что Mythos сочетает меньшие слабости в более серьезные атаки и может обратным проектированием патчей превращать их в уязвимости быстрее, чем старые инструменты.

      Доступ был ограничен Anthropic примерно для 40-50 организаций, включая несколько американских банков; ни одно учреждение еврозоны не входит в этот список. Позиция ЕЦБ, по словам Эльдерсона в начале этого месяца, заключается в том, что «отсутствие доступа не является оправданием для бездействия».

      Заявление в среду расширяет эту рамку. Теперь ожидается, что банки предположат, что злоумышленники будут иметь доступ к инструментам ИИ сопоставимой способности, независимо от того, есть ли у защитников такой доступ. 💜 технологий ЕС Последние слухи из технологической сферы ЕС, история от нашего мудрого основателя Бориса и несколько сомнительных произведений ИИ. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас!

      Надзорное последствие заключается в том, что традиционные месячные циклы обновления программного обеспечения больше не являются достаточными, что отношения с подрядчиками необходимо проверять на ту же уязвимость, и что вся институциональная позиция в области управления уязвимостями должна сжиматься до временных рамок атакующих ИИ. ЕЦБ указал, что будет включать готовность к киберугрозам ИИ в надзорные диалоги с отдельными банками.

      Политический и коммерческий фон также изменился. BNP Paribas теперь публично работает с Mistral над суверенным европейским ответом на Mythos, что по сути является континентальным хеджем. Брюссель уже несколько недель ведет переговоры с Anthropic о расширении доступа к Mythos для европейских учреждений; Испания описала эти переговоры как зашедшие в тупик.

      Заявление ЕЦБ, по сути, является надзорной стороной той же проблемы: регуляторы не могут ждать разрешения вопроса доступа, прежде чем настаивать на защитной позиции.

      Более сложный вопрос заключается в том, какие конкретные изменения банки действительно должны внести. ЕЦБ не опубликовал конкретный список технических контролей, отчасти потому, что угроза развивается быстрее, чем любой статический контрольный список мог бы зафиксировать.

      Ближайшее к рабочему плану ожидание заключается в том, что банки теперь рассматривают любую незащищенную уязвимость как обнаружимую цель, и что время до патча для критических систем сокращается с недель до дней или часов.

      Меньшие банки еврозоны, которые исторически полагались на аутсорсинг инфраструктурных провайдеров для технического слоя, находятся в более слабом положении для выполнения этого графика, чем три крупнейших универсальных банка.

      ЕЦБ также отметил уязвимость подрядчиков как асимметричную проблему. Большинство банков еврозоны имеют длинный хвост сторонних поставщиков программного обеспечения, дисциплина патчей которых неравномерна; злоумышленник, управляемый ИИ, обнаруживающий уязвимость в одном широко используемом продукте поставщика, может перейти в несколько банковских сред через эти отношения с поставщиком.

      Уязвимость цепочки поставок в стиле Solarwinds, которая определяла конец 2010-х, теперь переосмысляется в форме атакующего ИИ. Эльдерсон сформулировал, что надзорные органы будут привлекать банки к ответственности за безопасность их подрядчиков, а не только за собственную.

      Банки еврозоны имеют до конца 2026 года, чтобы продемонстрировать готовность к новой позиции ЕЦБ, с формальными надзорными диалогами, начинающимися летом. Сам Mythos, согласно текущим публичным отчетам, не был продемонстрирован в дикой природе против европейского учреждения.