Redegørelse om cyberstresstest af Danske Bank A/S

27-06-2024

Danske Bank A/S har deltaget i Finanstilsynets første cyberstresstest i 2023. I alt deltog fire SIFI-institutter og tre datacentraler i testen.

En cyberstresstest er et analytisk redskab, der tester en virksomheds evne til at håndtere et omfattende, længerevarende cyberscenarie, som medfører, at virksomhedens IT-understøttelse er helt eller delvist ude af drift. Dvs. at testen både handler om forretningens evne til at fortsætte i nøddrift, når IT-understøttelsen ikke fungerer som normalt, og om, hvor godt virksomheden rent IT-teknisk er forberedt på at håndtere et omfattende, længerevarende IT-nedbrud.

Testen foregår som en desktop-øvelse over en længere periode med udgangspunkt i et konkret, men fiktivt IT-nedbrudsscenarie. I en cyberstresstest antages det, at virksomhedens cyberforsvar er fejlet. Testen er dermed ikke en test af virksomhedens evne til at forsvare sig, men derimod af dens evne til at håndtere følgerne af et angreb.

Yderligere oplysninger om cyberstresstest kan findes i Finanstilsynets netop offentliggjorte rapport om emnet.

Sammenfatning

Testen har givet alle deltagende virksomheder og Finanstilsynet relevante læringspunkter og samtidig styrket den fælles forståelse for udfordringer og muligheder i forhold til at håndtere omfattende, længerevarende IT-nedbrud. Deltagerne er også blevet bekræftet i, at test af beredskabet på tværs af forretning og IT er afgørende for at være tilstrækkeligt forberedt det øjeblik, hvor et sådant, alvorligt nedbrud måtte ske.

Testen har resulteret i fem væsentlige læringstemaer på tværs af deltagerne:

  • Teknisk genetablering.
  • Videreførelse af kritiske forretningsfunktioner uden normal IT.
  • Overblik over konsekvenser af nedbrud
  • Kommunikation som en del af nødplanlægning og krisestyring
  • Koordinering af beredskabet internt og mellem relevante parter.

Testen har ikke givet anledning til tilsynsreaktioner over for Danske Bank. Danske Bank har, ligesom de øvrige deltagere, fået individuelle læringspunkter inden for de fem temaer. Alle læringspunkterne har et fremadrettet sigte i forhold til at øge den operationelle robusthed hos virksomhederne og i den finansielle sektor samlet set.