ECB กดดันธนาคารให้เพิ่มการใช้จ่ายด้านความปลอดภัยทางไซเบอร์เมื่อภัยคุกคามจาก AI เพิ่มสูงขึ้น

ธนาคารกลางยุโรป (ECB) กำลังกดดันให้สถาบันการเงินทั่วทั้งยูโรโซนทุ่มเงินมากขึ้นในด้านความปลอดภัยทางไซเบอร์ โดยเตือนว่าปัญญาประดิษฐ์ (AI) กำลังเพิ่มขนาดและความเร็วของการโจมตีทางดิจิทัลอย่างมหาศาล ในคำสั่งใหม่ที่ส่งถึงสถาบันภายใต้การกำกับดูแล ECB ระบุว่าการเพิ่มขึ้นของภัยคุกคามที่ขับเคลื่อนด้วย AI จำเป็นต้องมีการอัปเกรดการใช้จ่ายด้านการป้องกันอย่างมีนัยสำคัญ ไม่ใช่แค่การปรับเปลี่ยนเพียงเล็กน้อย ผู้กำกับดูแลเน้นย้ำว่าธนาคารที่ไม่สามารถตามทันความเสี่ยงนั้นไม่เพียงแต่ระบบของตนเองเท่านั้น แต่ยังรวมถึงเสถียรภาพของเครือข่ายการเงินในวงกว้างอีกด้วย

เหตุใดคำเตือนจึงเกิดขึ้นในขณะนี้

อาชญากรไซเบอร์เริ่มใช้เครื่องมือ generative AI และ machine learning เพื่อสร้างอีเมลฟิชชิ่งที่น่าเชื่อถือมากขึ้น สแกนหาช่องโหว่โดยอัตโนมัติ และหลบเลี่ยงระบบตรวจจับแบบดั้งเดิม การประเมินของ ECB ซึ่งแจ้งให้ธนาคารทราบในไม่กี่สัปดาห์ที่ผ่านมา ระบุว่าการโจมตีเหล่านี้เกิดขึ้นเร็วขึ้นและมีสัญญาณบ่งบอกน้อยลง ข้อมูลประจำตัวที่ถูกบุกรุกเพียงรายการเดียวสามารถนำไปสู่การละเมิดข้ามพรมแดนก่อนที่ทีมรักษาความปลอดภัยของธนาคารจะตรวจพบการบุกรุกได้ ข้อความของธนาคารกลางนั้นตรงไปตรงมา: วิธีการแบบเก่าใช้ไม่ได้อีกต่อไป

ช่วงเวลานั้นไม่ใช่เรื่องบังเอิญ ธนาคารในยุโรปกำลังเผชิญกับกฎเกณฑ์ด้านเงินทุนที่เข้มงวดขึ้นและเศรษฐกิจที่ชะลอตัว การเพิ่มการแข่งขันทางอาวุธไซเบอร์เข้าไปในส่วนผสมนี้ทำให้งบประมาณตึงตัว แต่ ECB ทำให้ชัดเจนว่าการลงทุนน้อยเกินไปไม่ใช่ทางเลือกอีกต่อไป เอกสารภายในของ ECB ที่ GFdaily ได้ตรวจสอบ อธิบายถึงสภาพแวดล้อมภัยคุกคามในปัจจุบันว่า “ไม่เคยปรากฏมาก่อนในด้านความเร็วและขอบเขต” แม้ว่าธนาคารจะปฏิเสธที่จะให้รายละเอียดเกี่ยวกับเหตุการณ์เฉพาะที่ทำให้เกิดการแจ้งเตือน

สิ่งที่ ECB ต้องการ

คำสั่งดังกล่าวไม่ได้กำหนดเป้าหมายการใช้จ่ายที่เฉพาะเจาะจง — ไม่ใช่เปอร์เซ็นต์ของรายได้หรือจำนวนเงินยูโรที่ตายตัว แต่กลับขอให้ธนาคารแต่ละแห่งดำเนินการประเมินความเสี่ยงครั้งใหม่ที่มุ่งเน้นไปที่เวกเตอร์การโจมตีที่เปิดใช้งาน AI และนำเสนอแผนการลงทุนหลายปี แผนเหล่านั้นต้องแสดงขั้นตอนที่เป็นรูปธรรม: การจ้างบุคลากรเฉพาะทาง การอัปเกรดซอฟต์แวร์ตรวจจับภัยคุกคาม และการจำลองทีมแดง (red-team simulations) ที่เลียนแบบการบุกรุกที่ขับเคลื่อนด้วย AI ธนาคารที่ผัดวันประกันพรุ่งอาจถูกตรวจสอบในสถานที่บ่อยขึ้น และในกรณีร้ายแรง อาจต้องมีกันชนเงินทุนที่สูงขึ้นซึ่งเชื่อมโยงกับความเสี่ยงทางไซเบอร์

ECB ยังต้องการให้ธนาคารแบ่งปันข่าวกรองภัยคุกคามอย่างจริงจังมากขึ้น “ไม่มีธนาคารใดเป็นเกาะอีกต่อไป” คำสั่งระบุ “ความร่วมมือในรูปแบบการโจมตีและเครื่องมือป้องกันเป็นสิ่งจำเป็นสำหรับระบบโดยรวม” ธนาคารขนาดใหญ่หลายแห่งในยูโรโซน已经开始รวบรวมข้อมูลผ่านแพลตฟอร์มนำร่องที่ดำเนินการโดย European Banking Authority และ ECB คาดว่าความพยายามนี้จะขยายตัว

ภาพรวมด้านกฎระเบียบที่กว้างขึ้น

การผลักดันจากแฟรงก์เฟิร์ตนี้สอดคล้องกับแนวโน้มด้านกฎระเบียบที่กว้างขึ้น พระราชบัญญัติความยืดหยุ่นในการดำเนินงานดิจิทัลของสหภาพยุโรป (DORA) ซึ่งมีผลบังคับใช้ในเดือนมกราคม 2025 กำหนดให้สถาบันการเงินต้องทดสอบการป้องกันทางไซเบอร์อย่างสม่ำเสมอและรายงานเหตุการณ์สำคัญภายในไม่กี่ชั่วโมง คำเรียกร้องล่าสุดของ ECB ก้าวไปอีกขั้นโดยมุ่งเน้นไปที่มิติของ AI โดยเฉพาะ เป็นสัญญาณว่าผู้กำกับดูแลมองว่าเทคโนโลยีนี้เป็นภัยคุกคามที่ distinct ไม่ใช่แค่รายการอื่นในรายการตรวจสอบความเสี่ยง

ธนาคารขนาดเล็ก ซึ่งมักไม่มีทรัพยากรทางการเงินมากเท่ากับคู่แข่งรายใหญ่ เผชิญกับความท้าทายที่สูงที่สุด ECB รับทราบถึงความแตกต่างนี้และกำลังสำรวจว่าจะให้บริการด้านความปลอดภัยทางไซเบอร์ร่วมกันหรือการจัดซื้อเครื่องมือป้องกันแบบประสานงานหรือไม่ ยังไม่มีแผนที่แน่ชัด แต่คาดว่าคณะกรรมการของธนาคารกลางจะหารือเกี่ยวกับทางเลือกต่างๆ ในการประชุมเดือนมิถุนายน

สำหรับตอนนี้ เวลากำลังเดินหน้า ธนาคารมีเวลาจนถึงสิ้นไตรมาสที่สามในการส่งการประเมินความเสี่ยงด้าน AI และแผนงานการลงทุน ธนาคารที่พลาดกำหนดเส้นตายจะต้องเผชิญกับการทบทวนอย่างเป็นทางการ และอาจถูกเปิดเผยชื่อในรายงานการกำกับดูแลของ ECB