Działające w Polsce instytucje z sektora finansowego mają bardzo wysoką świadomość w zakresie cyberbezpieczeństwa. Ponadto Komisja Nadzoru Finansowego (KNF) nakłada na organizacje liczne obowiązki, co sprawia, że Polska wyróżnia się jako jedno z najbardziej uregulowanych państw Unii Europejskiej. W obliczu nasilenia cyberataków od czasu rozpoczęcia wojny w Ukrainie cyberbezpieczeństwo stało się jednym z priorytetów biznesowych dla banków i innych instytucji finansowych. Dodatkowo zależność sektora finansowego od internetu i partnerów zewnętrznych jeszcze bardziej rozszerzyła powierzchnię ataku.
Przypadki naruszeń wymierzone w podmioty finansowe zdarzają się w Polsce niemal codziennie. Dane z różnych raportów wskazują, że już ponad połowa Polaków korzysta z bankowości elektronicznej. Oznacza to, że systematycznie rośnie liczba konsumentów narażonych na skutki cyberataków. Opracowaliśmy ten raport, aby zwrócić uwagę sektora i konsumentów na to, że choć branża finansowa jest dobrze zabezpieczona przed cyberatakami, to cyberprzestępcy wciąż rozwijają nowe metody prowadzenia ataków. Przykładem może być stosowanie generatywnej sztucznej inteligencji do przeprowadzania ataków phishingowych – mówi Wojciech Gołębiowski, wiceprezes i dyrektor zarządzający w Europie Wschodniej, Palo Alto Networks.
Raport CSIRT KNF wskazuje, że do najczęściej stosowanych metod cyberataków należą fałszywe oferty inwestowania w znane i wiarygodne firmy (np. spółki Skarbu Państwa), pod które podszywają się oszuści, spreparowane wiadomości SMS i maile służące do wyłudzania danych konta bankowego lub podpięcia się do wewnętrznej sieci przedsiębiorstwa. W dobie szybko rozwijających się technologii AI coraz częściej przestępcy stosują deep fake lub spoofing, aby jeszcze łatwiej zmylić potencjalne ofiary ataków.
Branża finansowa będzie musiała na szeroką skalę korzystać z narzędzi cyberbezpieczeństwa opartych na sztucznej inteligencji i uczeniu maszynowym, aby sprostać stale rozwijającym się metodom ataków. Walka z cyberprzestępczością będzie wymagała spójnych działań dostawców, korporacji, instytucji akademickich, decydentów, jak również organów regulacyjnych.
Krajobraz cyberbezpieczeństwa
Światowe dane wskazują, że budżety przeznaczane przez firmy na cyberbezpieczeństwo spadają, a w latach 2021-2023 największy spadek wydatków na ten cel zanotowała branża ubezpieczeniowa, bankowość i rynki kapitałowe. Mimo to polskie organizacje z sektora finansowego są dobrze zabezpieczone przed cyberzagrożeniami. Wynika to między innymi z sytuacji geopolitycznej. KNF oraz unijni regulatorzy czuwają nad sektorem, bo w grę wchodzi zaufanie klientów będące cenną walutą.
Organizacje zajmujące się usługami finansowymi w Polsce przechowują, przesyłają i przetwarzają duże ilości wrażliwych informacji, co nieustannie przyciąga cyberprzestępców. Integralność i bezpieczeństwo tych informacji ma kluczowe znaczenie dla działalności biznesowej tych firm i ich reputacji. Ataki ransomware polegające na wykorzystaniu złośliwego oprogramowania do wymuszania okupu nie tylko narażają instytucje finansowe na ryzyko utraty informacji, ale także paraliżują zdolność firmy do przeprowadzania transakcji i zagrażają bezpieczeństwu pieniędzy klientów. Koszt naruszeń spowodowanych przez osoby mające dostęp do informacji poufnych wzrósł o ponad jedną trzecią w porównaniu z poprzednimi latami, osiągając poziom 15,38 mln USD.
W 2023 roku obsłużono w Polsce łącznie aż 80 tysięcy incydentów cyberbezpieczeństwa, co oznacza wzrost o ponad 100% względem 2022 roku. CERT odnotował i przeprocesował aż 18 943 (23,61%) przypadków ataków w samym sektorze finansowym. Najczęściej ataki tego rodzaju polegają na wysyłce maili phishingowych lub fałszywych komunikatów telefonicznych. Na początku sierpnia 2024 roku Państwowy Instytut Badawczy NASK poinformował, że na celowniku cyberprzestępców znaleźli się klienci banku Santander Polska. CERT obsłużył aż 1599 zgłoszeń oszustwa polegającego na informowaniu klientów o konieczności zaktualizowania numeru telefonu w aplikacji mobilnej banku, co było zaplanowaną akcją cyberprzestępców mającą na celu przeniesienie użytkownika na fałszywą stronę i wyłudzenie danych logowania do konta.
Jednym ze szczególnych wyzwań związanych z cyberbezpieczeństwem sektora finansowego jest sztuczna inteligencja. Chociaż AI ma ogromny potencjał do usprawnienia procesów, wiele firm wciąż stoi przed wyzwaniem związanym z jej bezpiecznym wdrożeniem. Obecnie nie ma jeszcze jednego, uniwersalnego podejścia do tego, jak skutecznie i bezpiecznie wprowadzić sztuczną inteligencję w tak skomplikowane środowiska jak np. bankowość. Jako Palo Alto Networks jesteśmy w trakcie wdrażania strategii zarządzania AI dla jednej z wiodących instytucji finansowych w Polsce, koncentrując się na bezpieczeństwie i zgodności z regulacjami. Organizacje muszą ostrożnie podchodzić do nowych rozwiązań, dbając o to, aby narzędzia, które mają na celu ułatwić pracę, nie stwarzały nowych zagrożeń, zwłaszcza w kontekście ochrony krytycznych danych – komentuje Marcin Łukaszewski, Enterprise Director w Polsce, Palo Alto Networks.
Jak Unia Europejska reguluje sektor finansowy?
Oprócz głośnego ostatnio NIS2, które zacznie obowiązywać w październiku 2024 roku i obejmie wiele podmiotów, na szczególną uwagę branży finansowej zasługuje dyrektywa DORA (Digital Operational Resilience Act). Instytucje i firmy objęte rozporządzeniem będą zobowiązane do rejestrowania wszystkich incydentów powiązanych z technologiami informacyjno-komunikacyjnymi (ICT) oraz istotnych zagrożeń cybernetycznych. Organizacje finansowe będą musiały ograniczać szkody i priorytetowo traktować wznowienie działalności biznesowej po wystąpieniu incydentu. W tym celu kluczowe będzie zminimalizowanie średniego czasu wykrywania i reagowania na incydenty cybernetyczne. Dla wielu przedsiębiorstw to bardzo ważna informacja, ponieważ w tej chwili czas usuwania skutków naruszeń spowodowanych przez cyberprzestępców wynosi nawet 85 dni. Aby to osiągnąć, potrzebne będą rozwiązania technologiczne, które odpowiednio wcześniej ostrzegą organizacje o anomaliach i podejmą zautomatyzowane reakcje.
Nowe regulacje, takie jak DORA czy NIS2, nakładają na instytucje finansowe obowiązek zapewnienia odporności operacyjnej w kontekście zagrożeń cybernetycznych. Organizacje będą musiały lepiej zarządzać swoją siecią i infrastrukturą, a także wdrażać automatyczne systemy, które w razie cyberataku szybko odizolują zagrożone zasoby informacyjne. W dłuższej perspektywie z pewnością polepszy to bezpieczeństwo danych klientów i zasobów firm. Jako Liquizen doskonale rozumiemy wagę cyberbezpieczeństwa – codziennie użytkownicy powierzają nam swoje dane, a dla sektora finansowego zaufanie jest jedną z kluczowych walut – komentuje Kinga Regulska-Hofses, wykładowczyni Szkoły Głównej Handlowej w Warszawie oraz CEO i założycielka Liquizen.
Jak się skutecznie bronić przed cyberatakami?
Do niedawna, aby uchronić się przed skutkami naruszeń, firmy korzystały z polis ubezpieczenia cybernetycznego, ale obecnie składki są droższe i oferują mniejszy zakres ochrony, dlatego spadła wartość tego produktu finansowego jako sposobu zarządzania ryzykiem.
Większe firmy wdrażają już strategię „security awareness” i przeprowadzają regularne szkolenia dla pracowników. Polegają one na systematycznym symulowaniu różnego rodzaju ataków phishingowych lub weryfikowaniu zgodności pracy z procedurami bezpieczeństwa. Dzięki temu personel może na bieżąco w kontrolowanych warunkach odświeżać swoją wiedzę z zakresu cyberbezpieczeństwa, aby uchronić całą organizację przed konsekwencjami wynikającymi z niewiedzy lub rutyny.
Podstawą skutecznej ochrony organizacji przed cyberatakami jest strategia Zero Trust. Najprościej mówiąc, chodzi o regułę ograniczonego zaufania na każdym etapie interakcji z zasobami cyfrowymi. Kolejne ważne elementy profilaktyki cyberbezpieczeństwa to uwierzytelnianie wieloskładnikowe podczas logowania, polityka ograniczonego dostępu tylko do niezbędnych zasobów na danym stanowisku oraz inwestowanie w narzędzia platformowe, które umożliwiają automatyzację wykrywania większości cyberzagrożeń i neutralizowania ich, zanim staną się problemem organizacji” – komentuje Grzegorz Latosiński, Country General Manager w Polsce, Palo Alto Networks.
Kiedy błąd na stronie internetowej może być podstawą wymuszenia okupu
Pewna duża instytucja z Polski świadcząca usługi finansowe otrzymała anonimowego maila, że poufne dane klientów są wykradane i wkrótce zostaną upublicznione. Wyciek tych informacji mógłby oznaczać dla instytucji nie tylko poważne problemy prawne i straty finansowe, ale również utratę klientów i reputacji. Omawiany przypadek był o tyle interesujący, że firma była bardzo dobrze zabezpieczona przed cyberatakami, w związku z czym podejrzewano, że powodem wycieku było zagrożenie wewnętrzne. Badania wykazują, że taki scenariusz występuje w 27% naruszeń danych, choć nie wszystkie z nich są celowym działaniem uderzającym w zasoby firmy. Za część utraconych danych odpowiada np. wysłanie wiadomości do niewłaściwego odbiorcy w wyniku zwykłej pomyłki.
Od czasu do czasu spotykamy się z przypadkami zagrożeń wewnętrznych w różnych organizacjach. Z doświadczenia wiemy, że to bardzo delikatna sprawa, ponieważ mamy do czynienia z potencjalnymi problemami kadrowymi, a nawet prawnymi. W takich przypadkach zazwyczaj przeprowadzamy dochodzenie obejmujące szczegółowy wgląd w aktywność pracowników na wszystkich urządzeniach służbowych. Tym razem chcieliśmy sprawdzić, czy pracownicy przesyłali dane do zewnętrznej chmury lub podłączali dyski USB i kopiowali na nie informacje. Choć początkowo istniały dowody na poparcie tezy, że zagrożenie znajdowało się wewnątrz organizacji, nasze dochodzenie wykazało, że w firmie nie działo się nic podejrzanego – mówi Wojciech Gołębiowski.
W przypadku tej instytucji finansowej za wyciek danych odpowiadał błąd popełniony podczas wprowadzania zmian w kodzie strony internetowej organizacji. Funkcjonalność nie została dokładnie przetestowana, a pozornie łatwa do przeoczenia usterka dawała nieautoryzowany dostęp do profilu dowolnego użytkownika.
Kiedy kod się starzeje, czyli dług technologiczny w branży finansowej
Pewien bank stosował przestarzałe oprogramowanie antywirusowe, w związku z czym pracownicy nie wiedzieli, że zabezpieczenia są nieskuteczne i nie byli w stanie identyfikować części ataków. Ponadto personel otrzymywał liczne fałszywe alerty, które trzeba było weryfikować ręcznie. Obniżało to efektywność działań i skutkowało opóźnioną reakcją na realne zagrożenia, zwiększając przy tym wrażliwość instytucji na kolejne ataki. Choć taki scenariusz wydaje się nie mieć wpływu na działalność biznesową instytucji finansowej, to w tym przypadku kłopot ze skalowaniem bezpieczeństwa utrudniał rozwój organizacji.
Także w Polsce instytucje z kilkudziesięcioletnią historią mogą korzystać z przestarzałych systemów generujących znaczny dług technologiczny. Wymagają one pilnej aktualizacji lub konsolidacji w ramach platform do obsługi cyberbezpieczeństwa. Wdrożenie takiego podejścia umożliwia decydentom nie tylko skuteczniejsze monitorowanie sieci, ale również szybsze reagowanie na incydenty. Zwiększa to ochronę klientów instytucji finansowych przed utratą cennych danych, a nawet pieniędzy – wyjaśnia Grzegorz Latosiński.
Podsumowanie
W Polsce cyberataki na sektor finansowy stały się codziennością, a liczba incydentów rośnie w alarmującym tempie. Pomimo wysokiej świadomości zagrożeń instytucje finansowe muszą nieustannie rozwijać swoje strategie obronne, ponieważ cyberprzestępcy opracowują coraz bardziej zaawansowane techniki omijania tradycyjnych środków bezpieczeństwa.
W 2023 roku niemal 19 000 cyberincydentów było wymierzonych w sektor finansowy w Polsce, a najczęstszymi metodami ataków były phishing i oszustwa inwestycyjne. Ponadto zagrożenia wewnętrzne – zarówno celowe, jak i przypadkowe – stanowiły 27% przypadków naruszeń danych. Koszt finansowy naruszeń spowodowanych przez osoby mające dostęp do wrażliwych informacji wyniósł 15,38 miliona dolarów, co pokazuje ogromne konsekwencje takich incydentów.
Sektor finansowy nie może pozwolić sobie na chwilę nieuwagi – zaufanie klientów jest dziś bardziej wartościowe niż kiedykolwiek wcześniej.
Rozwiązaniem na przyszłość jest automatyzacja procesów bezpieczeństwa oraz przyjęcie strategii „Zero Trust” przy wsparciu rozwiązań opartych na AI, która polega na całkowitym ograniczeniu zaufania w każdej interakcji. Nowe regulacje Unii Europejskiej, takie jak DORA, będą zmuszać firmy do szybszego reagowania na zagrożenia i lepszego zarządzania danymi. Współpraca z liderami technologicznymi, takimi jak Palo Alto Networks, staje się kluczowa dla utrzymania bezpieczeństwa.
