Architektura cyberodporności banku:

Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) wskazała, że w okresie od stycznia 2023 do czerwca 2024 r. banki były najczęściej atakowanymi instytucjami w europejskim sektorze finansowym¹. Co więcej, w incydentach branży finansowej ransomware często towarzyszy przejęcie systemów². Coraz bardziej kluczowa staje się zatem pewność integralności danych po incydencie. Skala zagrożenia nie ma charakteru wyłącznie globalnego. Według raportu Polska zajmuje trzecie miejsce w Europie pod względem cyberataków sponsorowanych przez obce państwa³, a tylko w roku 2025 liczba zgłoszeń i obsłużonych incydentów cyberbezpieczeństwa wzrosła o 44,4% r/r⁴. Sektor bankowy, jako element infrastruktury krytycznej, znajduje się na pierwszej linii.

OD DISASTER RECOVERY DO CYBERODPORNOŚCI

Klasyczne podejście do disaster recovery – rozumianego jako odtworzenie po awarii – ustępuje dziś miejsca cyberodporności. W tradycyjnym modelu kluczowe było jak najszybsze przywrócenie działania systemów po awarii, pożarze czy innej katastrofie. Dziś pytanie brzmi inaczej: jak uruchomić właściwe środowisko na podstawie właściwych danych, bez ryzyka przywrócenia również samego incydentu?

W praktyce coraz częściej odchodzi się od klasycznej reguły 3-2-1 na rzecz modelu 3-2-1-1-0: trzech kopii danych, na dwóch różnych nośnikach, jednej kopii poza środowiskiem produkcyjnym, jednej kopii odseparowanej lub niezmiennej oraz zerowej liczby błędów potwierdzonej testami odtworzeniowymi. Liczy się zatem to, czy choć jedna z kopii jest należycie odseparowana, niezmienna i czy organizacja faktycznie potrafi ją odtworzyć w warunkach zaistniałego incydentu bezpieczeństwa⁵. W bankowości to szczególnie ważne, bo kopia zapasowa ma wartość tylko wtedy, gdy można na niej bezpiecznie oprzeć działalność operacyjną.

– Skuteczny model nowoczesnej architektury odpornościowej opiera się na czterech filarach. Pierwszym jest separacja danych przeznaczonych do odzyskania od środowiska produkcyjnego, tak aby atakujący nie miał dostępu do strefy odtwarzania nawet po przejęciu domeny. Drugim są mechanizmy WORM, niezmienności (immutability) i opóźnionego kasowania, które chronią punkty odzyskiwania przed nadpisaniem, usunięciem czy szyfrowaniem – także przez konta uprzywilejowane. Trzeci filar to weryfikacja, w której kopie są skanowane pod kątem złośliwego kodu, integralności i spójności biznesowej, co pozwala przejść od „mamy backup” do „mamy działający backup”. Ostatnim elementem jest kontrolowane odtworzenie, czyli testy potwierdzające skuteczność całego procesu cyberodporności – tłumaczy Paweł Kacprzak, IT Manager w Engave.

ANATOMIA CYBERINCYDENTU

Oto najprostszy scenariusz: atakujący uzyskuje dostęp do jednego z elementów środowiska – najczęściej poprzez phishing skierowany na konkretną osobę lub podatność w systemie brzegowym – i przez kilka lub kilkanaście dni pozostaje niewidoczny. W tym czasie rozpoznaje strukturę katalogów Active Directory, mapuje zależności między systemami, lokalizuje repozytoria backupu i identyfikuje konta o wysokich uprawnieniach. Następnie w strategicznym momencie blokuje wybrane zasoby i równolegle próbuje usunąć lub skazić dostępne kopie.

Dla banku najtrudniejszym momentem nie jest jednak sam atak, tylko to, co dzieję się ok. 48 godzin później, gdy wszystkie strony spotykają się, aby odpowiedzieć na pytania: Które dane zostały objęte zdarzeniem i czy obejmują dane osobowe? Gdzie te dane się znajdowały i kto miał do nich dostęp? Które kopie są pewne, a które mogą być skażone? Jakie procesy można uruchomić jako pierwsze, by nie pogłębiać szkód? Czy organizacja działała w sposób uporządkowany i adekwatny do ryzyka – i czy potrafi to wykazać? Właśnie wtedy okazuje się, czy organizacja miała tylko backup, czy całą architekturę cyberodporności.

RÓŻNE DANE, RÓŻNA OCHRONA

W bankowości nie wszystkie dane mają ten sam charakter. Inaczej projektuje się zabezpieczenia dla systemów transakcyjnych wymagających wysokiej spójności i subsekundowych RPO, inaczej dla dokumentów, archiwów i korespondencji, a jeszcze inaczej dla logów, analityki czy środowiska testowego.

Skuteczna architektura musi uwzględniać różne klasy danych, ich znaczenie i wymogi dotyczące odtwarzania. Oznacza to konieczność łączenia różnych metod ochrony w jeden spójny model – od replikacji synchronicznej, przez niezmienne migawki, po archiwum hybrydowe integrujące dokumentację papierową i cyfrową. W uproszczeniu składa się ona z kilku warstw: środowiska produkcyjnego, kopii operacyjnych, odseparowanej strefy odzyskiwania, obszaru weryfikacji oraz czystej strefy odtworzeniowej. Taki model nie eliminuje ryzyka ataku, ale pozwala ograniczyć chaos po incydencie i zmniejsza prawdopodobieństwo, że do środowiska produkcyjnego trafią dane skażone lub niezweryfikowane.

CYBERINCYDENT TO RÓWNIEŻ PROBLEM RODO

Coraz większą rolę odgrywa otoczenie regulacyjne. DORA, NIS2 i nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa traktują cyberbezpieczeństwo nie jako zagadnienie technologiczne, lecz element zarządzania ryzykiem i ciągłością działania. W praktyce oznacza to, że odpowiedzialność za incydenty coraz częściej wykracza poza obszar IT i obejmuje również compliance oraz najwyższe kierownictwo organizacji.

W praktyce oznacza to również nowe konsekwencje regulacyjne. Po nowelizacji KSC cyberincydent może bardzo szybko stać się także problemem RODO. Nowy art. 59a ustawy zobowiązuje organ właściwy ds. cyberbezpieczeństwa do poinformowania Prezesa UODO o podejrzeniu naruszenia ochrony danych osobowych, jeżeli takie podejrzenie pojawi się w toku działań nadzorczych. W efekcie jedno zdarzenie może uruchomić równolegle postępowania w obszarze cyberbezpieczeństwa i ochrony danych osobowych.

WNIOSKI Z DUŻYCH PROJEKTÓW

Duże wdrożenia w sektorze publicznym i finansowym pokazują powtarzalny wzorzec: o skuteczności systemu cyberbezpieczeństwa decyduje architektura, proces oraz umiejętność ich spójnego powiązania w model dopasowany do skali i złożoności organizacji. Kluczowe znaczenie ma również rozpoczęcie projektu od analizy biznesowej, a nie od wyboru narzędzi.

W praktyce powodzenie takim inicjatywom zapewniają trzy elementy: zdefiniowany właściciel architektury po stronie biznesu, regularne ćwiczenia odtworzeniowe z udziałem najwyższego kierownictwa, a także zewnętrzny partner, który wspiera warstwę technologiczną oraz porządkuje procesy i dokumentację.

W bankowości kluczowe pytanie nie brzmi dziś, czy dane można odtworzyć, ale czy można na nich bezpiecznie oprzeć działanie organizacji po incydencie. Odpowiedzią są odseparowane i testowane środowiska odzyskiwania danych krytycznych. – Takim podejściem jest Cyfrowy Bunkier – środowisko zaprojektowane do bezpiecznego odtwarzania danych i wznowienia operacji w oparciu o zweryfikowane, spójne informacje. W odróżnieniu od klasycznych mechanizmów backupowych koncentruje się nie tylko na przywróceniu systemów, ale przede wszystkim na zapewnieniu, że odzyskane dane mogą stanowić podstawę dalszego działania banku. W praktyce chodzi o kontrolowany punkt powrotu do operacji – tzw. złotą kopię – mówi Katarzyna Palicka, Business Development Manager w Iron Mountain Polska.

Takie rozwiązanie nie eliminuje ryzyka wystąpienia incydentu, ale przesądza o tym, czy organizacja będzie w stanie odzyskać kontrolę nad sytuacją, utrzymać ciągłość działania oraz wykazać należytą staranność wobec regulatorów. W tym ujęciu cyberodporność nie jest projektem IT, lecz przedsięwzięciem po stronie zarządu, w którym technologia pełni rolę narzędzia do realizacji decyzji biznesowych.

Przypisy

1. ENISA Threat Landscape: finance sector, 2024 r.
2. 2025 Data Breach Investigations Report: FinancemSnapshot, 2025 r.
3. Microsoft Digital Defense Report 2025: Lightingmthe path to a secure future, 2025 r.
4. Krajobraz cyberprzestrzeni: sprawozdanie o stanie cyberbezpieczeństwa Polski za rok 2025, 2026 r.
5. What is the 3-2-1 Backup Rule?, Veeam, 2025 r.