Wydarzenia | Technologie i innowacje

Cyberbezpieczeństwo to nieustanny wyścig zbrojeń – IT@BANK 2025

Karol Mórawski | BANK.pl
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Cyberbezpieczeństwo to nieustanny wyścig zbrojeń – IT@BANK 2025
IT@BANK 2025. Uczestnicy panelu dyskusyjnego. Źródło: BANK.pl
Polska jest jednym z silniej atakowanych krajów Unii Europejskiej przez cyberprzestępców. Obok grup o charakterze typowo kryminalnym, mamy do czynienia z działaniami z obszaru wojny hybrydowej, co potęguje zagrożenia dla infrastruktury finansowej. Konstatacja ta była punktem wyjścia do debaty eksperckiej poświęconej problematyce cyberbezpieczeństwa sektora finansowego, odbywającej się podczas tegorocznej edycji IT@BANK.

Debatę moderował Grzegorz Kuliszewski, Services Executive w Dell Technologies, a w dyskusji udział wzięli Maciej Cetler, CEO firmy Tameshi, Michał Macierzyński, dyrektor Departamentu Usług Cyfrowych w PKO Banku Polskim, Agnieszka Szopa-Maziukiewicz, wiceprezes zarządu BIK, Przemysław Wolek, Chief Information Security Officer w Santander Banku Polska oraz Michał Zajączkowski, Dyrektor Zarządzający w firmie Kyndryl Poland.

Od ataków na infrastrukturę do manipulacji klientem

Na pytanie Grzegorza Kuliszewskiego, czy klienci i przedsiębiorcy mogą czuć się dziś cyberbezpieczni, Michał Macierzyński odpowiedział bez wahania: nie. Zwrócił uwagę na paradoks – technicznie bankowość jest lepiej chroniona niż kiedykolwiek, ale straty z tytułu oszustw rosną. Przestępcom wprawdzie przestało się opłacać atakować infrastrukturę, za to skupili się na socjotechnice. Dane z rynku pokazują, że zdecydowana większość wartości nieautoryzowanych transakcji to efekt manipulacji klientem indywidualnym, który pod wpływem wyrafinowanej socjotechniki, sam udostępnia sprawcom dane do logowania czy zatwierdza oszukańczą operację płatniczą. Przedstawiciel PKO Banku Polskiego przywołał głośny raport dotyczący jednej z globalnych platform społecznościowych, na której codziennie emitowane są reklamy sfingowanych usług, będących w istocie przykrywką dla oszustwa. Tymczasem to na banki, zgodnie z projektowanymi regulacjami w tzw. pakiecie PSR/PSD3, ma zostać nałożony obowiązek zwrotu środków, skradzionych przez oszustów klientowi. Ma to dotyczyć nawet przypadków, kiedy klient dał się zmanipulować przez reklamy, fałszywe call center czy „doradców inwestycyjnych” podszywających się pod instytucje finansowe. Jak podkreślał Michał Macierzyński, bez realnego udziału bigtechów i telekomów w walce z fraudami, efektem takiego podejścia regulacyjnego może jedynie wzrost start banków, a nie ograniczenie wyłudzeń.

IT@BANK 2025. Panel dyskusyjny. Źródło: BANK.pl
IT@BANK 2025. Panel dyskusyjny. Źródło: BANK.pl

Regulacje kontra technologia

W podobnym tonie mówił Przemysław Wolek, zwracając uwagę, że problemem są nie tylko sami przestępcy, lecz także niespójność otoczenia regulacyjnego. Żeby bank mógł skutecznie wykorzystać analizę behawioralną, biometrię czy zaawansowaną AI do wychwytywania nietypowych zachowań, potrzebuje aktywnych zgód klientów na przetwarzanie danych, które konsumenci mogą w każdej chwili wycofać. – Zgody na wykorzystanie takich danych do ochrony klienta w praktyce nie przekraczają w bankach kilkudziesięciu procent – wskazywał Wolek. Podkreślił, że jeżeli regulator oczekuje, że instytucja będzie zwracała klientom środki w modelu D+1, również w przypadku manipulacji klientem, powinna zapewnić pełne instrumentarium prawne, by móc skutecznie chronić przed tymi oszustwami.

IT@BANK 2025. Przemysław Wolek. Źródło: BANK.pl
IT@BANK 2025. Przemysław Wolek. Źródło: BANK.pl

Wolek przypomniał, że sektor bankowy jest jednym z najmocniej uregulowanych, a jednocześnie to na nim skupia się ciężar inwestycji w bezpieczeństwo. Jego zdaniem nie da się prowadzić poważnej rozmowy o odpowiedzialności za skutki fraudów bez systemowego włączenia dostawców treści, platform reklamowych i operatorów telekomunikacyjnych inaczej banki pozostaną ostatnim ogniwem łańcucha, do którego trafiają rachunki za błędy i zaniedbania innych.

Sektor finansowy jako główny edukator

Agnieszka Szopa-Maziukiewicz podkreśliła, że sektor finansowy jest dziś najczęściej atakowanym sektorem gospodarki, a liczba cyberataków rok do roku rośnie bardzo dynamicznie. Ponad połowa początkowych wektorów ataku to szeroko rozumiana socjotechnika: fałszywe linki w e-mailach i SMS-ach, złośliwe oprogramowanie, próby przejęcia pulpitu zdalnego czy kradzież tożsamości. Banki odpowiadają na to tworzeniem coraz silniejszych zabezpieczeń, poczynając od: silnego uwierzytelniania, poprzez dodatkowe potwierdzanie przy transakcjach wysokokwotowych i analizę transakcji w czasie rzeczywistym, aż po coraz powszechniejsze wykorzystanie algorytmów machine learningowych. – Mimo tych wszystkich technologii, najczęściej zawodzi człowiek – mówiła wiceprezes BIK. Z badań prowadzonych przez Biuro wynika, że znaczna część klientów, zarówno indywidualnych, jak i MŚP – miała styczność z próbami wyłudzeń. Jednocześnie około trzech czwartych badanych deklaruje, że wiedzę o zagrożeniach czerpie przede wszystkim z komunikacji banków. To oznacza, że sektor finansowy pełni rolę głównego edukatora społeczeństwa w obszarze cyberbezpieczeństwa.

IT@BANK 2025. Agnieszka Szopa-Maziukiewicz. Źródło: BANK.pl
IT@BANK 2025. Agnieszka Szopa-Maziukiewicz. Źródło: BANK.pl

Agnieszka Szopa-Maziukiewicz omówiła również rolę platform sektorowych, na przykład antyfraudowych rozwiązań BIK, w których uczestniczy kilkadziesiąt instytucji: banków komercyjnych, spółdzielczych, firm leasingowych i faktoringowych. Dzięki wymianie informacji o próbach wyłudzeń udało się zatrzymać już próby na łączną kwotę liczonych w miliardach złotych. Coraz większe znaczenie ma też wspólna platforma weryfikacji behawioralnej, obejmująca miliony klientów, która pozwala wykrywać nietypowe zachowania także ponad granicami pojedynczego banku.

Bank jako cel przestępców

Na tym tle przedstawiciele firm IT przypomnieli, że cyberbezpieczeństwo nie sprowadza się wyłącznie do historii o kliencie, który kliknął w zły link. Ogromna część współczesnych ataków – w szczególności kampanii ransomware – jest wymierzona w samą instytucję. Celem jest długotrwałe unieruchomienie banku lub innego podmiotu infrastruktury krytycznej, co ma prowadzić do paniki, chaosu i utraty zaufania. Moderator przywołał głośne przykłady zagranicznych firm produkcyjnych, które przez tygodnie nie były w stanie prowadzić operacji, licząc straty w dziesiątkach milionów dziennie. W przypadku banku kilka czy kilkanaście dni pełnej niedostępności oznaczałoby w praktyce koniec jego działalności na rynku.

IT@BANK 2025. Maciej Cetler. Źródło: BANK.pl
IT@BANK 2025. Maciej Cetler. Źródło: BANK.pl

W tym kontekście Przemysław Wolek wspomniał o trzech kluczowych obszarach: po pierwsze, „higienie” bezpieczeństwa, czyli codziennym utrudnianiu życia atakującym, od zarządzania podatnościami po segmentację i monitoring. Po drugie, unikanie pojedynczych punktów krytycznych, które w razie powodzenia ataku potrafią „położyć” całą organizację. I wreszcie po trzecie, przygotowanie scenariuszy odtworzeniowych, czyli koncepcji tzw. minimalnego przedsiębiorstwa, pozwalającego szybko przywrócić podstawowe procesy, nawet jeśli znaczną część środowiska trzeba będzie odbudować od zera. Jak zaznaczył, w przypadku poważnych incydentów przestępcy potrafią mieć dostęp do środowiska nawet kilkaset dni przed ujawnieniem ataku, czekając, aż zaszyfrują nie tylko systemy produkcyjne, ale także standardowe backupy. Stąd konieczność utrzymywania izolowanych kopii danych i konfiguracji, których nie da się łatwo zniszczyć jednym ruchem.

IT@BANK 2025. Michał Zajączkowski. Źródło: BANK.pl
IT@BANK 2025. Michał Zajączkowski. Źródło: BANK.pl

Rynek pracy i globalna gra o talenty

Grzegorz Kuliszewski przywołał szacunki mówiące o braku nawet kilkunastu tysięcy specjalistów cyberbezpieczeństwa na polskim rynku. Rodzi się pytanie, czy w takiej sytuacji banki mogą realnie konkurować o kadry z bogatszymi krajami, w szczególności zaś z liderami rynku IT. Przemysław Wolek przypomniał, że Polska jest dziś dojrzałym rynkiem: banki mają własne, kompetentne zespoły bezpieczeństwa, a liczne centra usług wspólnych obsługują globalne grupy finansowe właśnie z naszego kraju. Z drugiej strony najlepsi specjaliści funkcjonują na globalnym rynku pracy i równie dobrze mogą pracować dla instytucji z USA czy Europy Zachodniej, nie ruszając się z Polski.

IT@BANK 2025. Grzegorz Kuliszewski. Źródło: BANK.pl
IT@BANK 2025. Grzegorz Kuliszewski. Źródło: BANK.pl

Przedstawiciele firm IT dodawali, że w naszym kraju działają setki tysięcy pracowników IT w centrach usług wspólnych, co stawia Polskę w światowej czołówce. Z punktu widzenia mniejszych instytucji finansowych racjonalne może być korzystanie z wyspecjalizowanych usług zewnętrznych, w tym komercyjnych Security Operations Centers, zamiast próby budowania kompletu kompetencji wyłącznie we własnych strukturach. Agnieszka Szopa-Maziukiewicz wskazała tu także na rolę sektorowych centrów bezpieczeństwa i wymiany informacji, które pomagają instytucjom, zwłaszcza mniejszym, szybciej reagować na nowe typy zagrożeń.

Państwo jako partner i infrastruktura zaufania

W debacie mocno wybrzmiała również rola administracji publicznej. Jak podkreślał Michał Macierzyński, atak na infrastrukturę płatniczą – karty, płatności mobilne, systemy rozliczeniowe – to nie tylko problem pojedynczego banku, lecz element wojny hybrydowej wymierzonej w zaufanie obywateli do całego systemu finansowego. – Pytanie nie brzmi, co się stanie, jeśli przestanie działać system jednego banku, tylko co się stanie, gdy przez kilka godzin nie będą działały płatności w całym kraju – wskazywał.

IT@BANK 2025. Michał Macierzyński. Źródło: BANK.pl
IT@BANK 2025. Michał Macierzyński. Źródło: BANK.pl

Dlatego, zdaniem panelistów, potrzebne są nie tylko wymagania regulacyjne, ale także wspólne ćwiczenia, minimalne standardy bezpieczeństwa oraz przejrzysta komunikacja w czasie incydentów, prowadzona na poziomie państwa. W przestrzeni publicznej zbyt często mówi się ogólnie o „awarii”, gdy w rzeczywistości mamy do czynienia z precyzyjnie zaplanowanym atakiem, co utrudnia budowanie świadomości realnej skali zagrożeń.

Uczestnicy dyskusji byli zgodni co do jednego: nawet gdyby udało się zapełnić wszystkie wakaty w obszarze cyberbezpieczeństwa, ataki nie znikną. To nie jest projekt z końcową datą, lecz nieustanny wyścig zbrojeń, w którym obie strony coraz intensywniej wykorzystują narzędzia sztucznej inteligencji.

Zobacz też pozostałe reklacje z IT@BANK 2025 »

Źródło: Portal Finansowy BANK.pl