Europejskiej Rada ds. Ryzyka Systemowego o nowych cyberzagrożeniach w sektorze finansowym

Europejskiej Rada ds. Ryzyka Systemowego o nowych cyberzagrożeniach w sektorze finansowym
Michał Nowakowski. Źródło: BANK.pl
Unijny sektor finansowy może mieć duży problem. Unia Europejska wskazuje dostęp do „przełomowych” (frontier) modeli jako systemowe zagrożenie dla cyberbezpieczeństwa, pisze Michał Nowakowski.

Chyba będę niedługo musiał przyznać się do błędu, bo jeszcze niedawno tonowałem emocje związane z (nie)udostępnieniem m.in. Fable jako zagrywki marketingowej i sprzedażowej dostawców. Nadal w sumie tak uważam, ale…

… dzisiaj (7.07.2026) pojawiło się ostrzeżenie Europejskiej Rady ds. Ryzyka Systemowego (miałem okazję odbyć tam nawet staż, ale wtedy takich ciekawych tematów nie było) odnośnie ryzyka systemowego.

Ryzyka systemowego związanego z dostępem tzw. modeli przełomowych, które mogą pomagać cyberprzestępcom w realizacji ich niecnych celów.

Ryzyka systemowe w sektorze finansowym

Problem jest widocznych z dwóch perspektyw:

(1) samych adwersarzy, którzy taniej i szybciej są w stanie przygotowywać spersonalizowane ataki na instytucje; tutaj dość oczywiste jest to, że dostęp do bardziej zaawansowanych modeli, które lepiej radzą sobie z wyszukiwaniem podatności i mogą nawet autonomicznie przeprowadzać ataki (case JADEPUFFER)

oraz

(2) instytucji finansowych i ich dostawców, które z jednej strony dostają też całkiem niezłe narzędzie do obrony, a z drugiej nie będą w stanie dostosowywać się elastycznie i szybko do zmian na rynku cyberzagrożeń -> co wynika m.in. z ich zasad change management czy ograniczeń regulacyjnych, a tym samym mogą pozostawać w tyle przed atakującymi.

W swoim ostrzeżeniu (wspartym też przez EBA i EBC) Rada pokazała nawet trzy scenariusze, które mogłyby się zrealizować w kontekście dostępu do modeli i jeden jest też szczególnie interesujący, a związany z suwerennością.

Czytaj także: Due diligence dostawcy AI? Dobre praktyki z DORA i NIS2

Problem uzależnienia od cyberdostawców z państw trzecich

Chodzi o to, że modele typu frontier (nie lubię tego określenia, bo jest moim zdaniem mylące) skoncentrowane są wokół jednego lub dwóch państw, które mogą wykorzystywać tę przewagę także w kontekście szpiegostwa czy po prostu bardziej zaawansowanej analityki, ale także wywierania wpływu na instytucje finansowe w Unii Europejskiej. Wszystko w dłuższej perspektywie.

Tak naprawdę to dość mocno podbija temat naszego uzależnienia od dostawców z państw trzecich i braku alternatywy na lokalnym rynku.

Pytanie czy to nie jest czas, aby poluzować gorset regulacyjny, żeby umożliwić stworzenia przeciwwagi / alternatywy. Dzisiaj nawet nasz NASK korzysta z rozwiązań AI.

Trudny temat, ale pokazuje też jak w świecie cyberzagrożeń ważna staje się zdolność do szybkiej adopcji i podejmowanie decyzji w czasie rzeczywistym, nawet – być może – z pominięciem pewnych procedur. Wszystko, rzecz jasna, dla dobra organizacji.

I dlatego takie „twory” jak ustawa o krajowym systemie cyberbezpieczeństwa (NIS2), DORA czy Cyberresilience Act są potrzebne, abyśmy jako całość wzmacniali naszą odporność i zdolność do odpierania ataków, które dopiero jeszcze przed nami.

Michał Nowakowski

Michał Nowakowski – doktor nauk prawnych i radca prawny z 13-letnim doświadczeniem w obszarze innowacji finansowych oraz nowych technologii. Specjalizuje się w zagadnieniach związanych z wdrażaniem przepisów i regulacji dotyczących danych, AI oraz budowaniu w organizacjach rozwiązań data governance i data management. Był prezesem zarządu PONIP. Pracował zarówno w sektorze publicznym, jak i prywatnym, gdzie zdobywał doświadczenie przy realizacji projektów uwzględniających szeroko rozumiane ryzyka ICT oraz outsourcing i ochronę prywatności. Był związany także z instytucjami finansowymi, w tym z bankami, gdzie doradzał m.in. zespołom R&D, bezpieczeństwa oraz IT. Autor książek, artykułów naukowych i prelegent na konferencjach i wydarzeniach branżowych. Prywatnie miłośnik kodowania i ML. Współzałożyciel i prezes zarządu spółki GovernedAI, zajmującej się tworzeniem i wdrażaniem bezpiecznego oprogramowania wykorzystującego systemy uczenia maszynowego i głębokiego, w tym tzw. generatywną sztuczną inteligencję.

Profil na LinkedIn:  https://www.linkedin.com/in/mjnowakowski/?originalSubdomain=pl

Źródło: Portal Finansowy BANK.pl