Miesięcznik Finansowy BANK 2025/12

Jakie rodzaje cyberataków stanowią szczególne wyzwanie dla sektora bankowego?

| Miesięcznik Finansowy BANK
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Jakie rodzaje cyberataków stanowią szczególne wyzwanie dla sektora bankowego?
Prezentowane opinie (zebrane w listopadzie 2025 r.) stanowią odzwierciedlenie prywatnych poglądów i nie wyrażają stanowiska żadnej z instytucji, z którymi ich autorzy są związani zawodowo.

Robert Mazur
dyrektor Departamentu Cyberbezpieczeństwa, CISO Bank Pekao S.A.:

Cyberzagrożenia dla sektora finansowego ewoluują wraz z postępem technologicznym oraz sytuacją geopolityczną państwa. Położenie Polski oraz wojna za wschodnią granicą bezpośrednio wpływają na charakter krajobrazu zagrożeń dla banków, ale często również spółek zależnych. Same zagrożenia możemy sklasyfikować według grup adwersarzy, czyli podzielić je na te mieszczące się w granicach cyberprzestępczości oraz działania realizowane przez grupy działające na zlecenie innych państw (m.in. Rosji). W pierwszym obszarze z tych najbardziej dotkliwych możemy wyróżnić phishing (ukierunkowany na klientów i pracowników banków), ataki typu Business E-mail Compromise (BEC), malware (dystrybuowany najczęściej w atakach BEC) oraz ataki na systemy płatnicze (np. SWIFT fraud). Dodatkowe ryzyka, które należy mitygować (co po części wymusza na bankach rozporządzenie DORA) to ataki na łańcuchy dostaw, w których przestępcy nie atakują banku bezpośrednio, a dostawców oprogramowania, usług IT lub innych partnerów zewnętrznych. W kontekście grup sponsorowanych przez obce państwa (np. takich jak powiązana z rosyjskimi służbami APT-29), będą to wszelkie cyberataki zmierzające do aktów dywersji, sabotażu i wyprowadzenia środków finansowych, a także finansowanie z tych środków terroryzmu. Aby skutecznie zapobiegać cyberatakom, niezbędne jest stałe podnoszenie poziomu zabezpieczeń, współpraca wewnątrzsektorowa oraz ciągła praca nad podnoszeniem świadomości społecznej na temat cyberzagrożeń.

Paweł Kaczmarek
Chief Information Security Officer, ING Bank Śląski:

Banki od lat inwestują w coraz bardziej zaawansowane systemy ochrony, wykrywania i zapobiegania incydentom, adekwatnie do zmieniającego się krajobrazu zagrożeń. Równolegle wzmacniają i upraszczają bezpieczeństwo po stronie klientów, stosując m.in. klucze U2F, zaufane urządzenia, aplikacje mobilne przypisane do konkretnego telefonu, powiadomienia o podejrzanych operacjach oraz – tam, gdzie klient wyrazi zgodę – analizę behawioralną.

To między innymi dzięki wysokiemu poziomowi zabezpieczeń cyberprzestępcy szukają nowych metod i sposobów działania. Gdy infrastruktura techniczna jest trudna do przełamania, słabym ogniwem pozostaje człowiek. Dlatego dominującym zagrożeniem są ataki wprost na klientów, zarówno detalicznych jak i korporacyjnych.

Działania przestępców opierają się na manipulacji percepcji użytkownika, a podstawowymi wykorzystywanymi sposobami pozostają socjotechnika i spoofing, wspierany coraz bardziej przez mechanizmy generatywnego AI. Choć na poziomie technicznym sposoby te ewoluują, to wciąż opierają się na stałych schematach ludzkich zachowań.

Drugim istotnym wyzwaniem są ataki na łańcuch dostaw. Nawet gdy sam bank ma dojrzałe zabezpieczenia, to poddostawca usług lub rozwiązań technologicznych może być celem ataku. Sektor finansowy intensywnie współpracuje ze swoimi partnerami nad podnoszeniem kolektywnego bezpieczeństwa. Banki pozostają jedną z najlepiej współpracujących w obszarze cyberbezpieczeństwa branż, konsekwentnie traktując zagrożenia z najwyższą powagą.

Przemysław Wolek
Chief Information Security Officer, Santander Bank Polska:

Choć sektor finansowy z dużą uwagą obserwuje rozwój zaawansowanych ataków z użyciem AI – takich jak deepfake’i syntetyczne głosy czy automatyczne generowanie treści – to w praktyce zdecydowana większość oszustw nadal opiera się na tradycyjnej socjotechnice. Największym wyzwaniem pozostają wciąż dobrze znane metody: vishing, smishing i phishing, często łączone ze zwykłą manipulacją emocjami oraz presją czasu. To właśnie te techniki odpowiadają za większość strat.

Jednocześnie widzimy, że cyberprzestępcy stopniowo zwiększają wykorzystanie narzędzi AI, co pozwala im działać szybciej, taniej i na większą skalę. Oczekujemy, że w najbliższych latach proporcje zaczną się zmieniać, a ataki wykorzystujące sztuczną inteligencję będą rosnąć zarówno pod względem jakości, jak i skuteczności.

Równolegle rośnie ryzyko incydentów dotyczących łańcucha dostaw oraz skomplikowanych kampanii malware-as-a-service, które mogą wpływać na dostępność usług. Dlatego kluczowe pozostaje łączenie odporności operacyjnej, współpracy sektorowej oraz inwestycji w zaawansowaną detekcję – przy jednoczesnym utrzymaniu wysokiej świadomości klientów, bo to właśnie ich decyzje najczęściej decydują o powodzeniu ataku.

Artur Kurcweil
dyrektor Departamentu Bezpieczeństwa, Bank Millennium:

Ostatni raport KNF pokazuje, że sektor bankowy mierzy się z coraz bardziej zaawansowanymi cyberatakami, które ewoluują wraz z rozwojem technologii i metod działania przestępców. Największym wyzwaniem pozostają kampanie phishingowe (do których tworzenia coraz częściej wykorzystywana jest AI), polegające na podszywaniu się pod banki i inne znane instytucje. Przestępcy wyłudzają dane do bankowości elektronicznej, kody BLIK czy informacje o kartach płatniczych, wykorzystując fałszywe e-maile, SMS-y oraz reklamy w mediach społecznościowych. Dzięki wykorzystaniu przez cyberprzestępców AI oraz częściej ataki są personalizowane i prowadzone na dużą skalę. Jak podała do wiadomości KNF, tylko w październiku zgłoszono do blokady ponad 12 tys. domen phishingowych.

Nowym trendem jest dystrybucja złośliwego oprogramowania, np. fałszywych aplikacji bankowych na Androida, które umożliwiają kradzież środków z kart użytkowników przy wykorzystaniu protokołów zbliżeniowych NFC. Przestępcy wykorzystują także fałszywe reklamy inwestycyjne, podszywając się pod znane osoby czy instytucje, by nakłonić ofiary do przekazania danych i środków finansowych. Wyzwaniem pozostaje szybka identyfikacja i blokowanie online nowych metod ataku oraz edukacja klientów, którzy są pierwszą linią obrony przed cyberzagrożeniami. Sektor bankowy musi nieustannie wzmacniać swoje mechanizmy bezpieczeństwa i współpracować z podmiotami krajowego systemu cyberbezpieczeństwa, by skutecznie chronić klientów przed coraz bardziej wyrafinowanymi cyberatakami. 

Przemysław Kulesza
dyrektor Departamentu Cyberbezpieczeństwa, Alior Bank:

Ogromnym wyzwaniem dla sektora bankowego pozostają od lat zaawansowane ataki na dostępność usług (DDoS) – nie tylko wolumetryczne, ale także hybrydowe, precyzyjnie wymierzone w zakresy adresów IP, obsługujących kluczowe systemy dla klientów. Liczba takich incydentów sięga setek rocznie, a skuteczna obrona wymaga przekrojowej strategii: ochrony po stronie dostawców łącz internetowych, niezależnych centrów scrubbingowych, własnych mechanizmów badających entropię oraz wyspecjalizowanych rozwiązań aplikacyjnych.

Drugim istotnym zagrożeniem są malware i ransomware, głównie na stacje robocze pracowników. Choć mikrosegmentacja sieci i systemy EDR pozwalają zdusić infekcję w zarodku, minimalizując ryzyko rozprzestrzenienia w sąsiednich segmentach, presja na ciągłe doskonalenie tych narzędzi jest ogromna. Wreszcie phishing – zarówno masowy, jak i spear phishing – od wielu lat pozostający skuteczną metodą socjotechniczną. Próby wyłudzenia danych uwierzytelniających, czy nakłonienia do wykonania przelewu pod presją czasu pokazują, że kluczowe są edukacja pracowników, wieloskładnikowe uwierzytelnianie, separacja kluczowych uprawnień i klarowne procedury działania bankierów.

Sektor dostrzega już również wzrost ataków z użyciem sztucznej inteligencji, zarówno jednostkowych, związanych z próbą podszywania się pod tożsamość bankierów, jak i ataków o złożonym charakterze, z minimalnym udziałem człowieka.

Marcin Sereda
dyrektor Biura Bezpieczeństwa Informacji, Credit Agricole Bank Polska:

Ataki, które celują w błędy ludzkie, np. ransomware, są szczególnym problemem. Banki mają szereg technologicznych i organizacyjnych zabezpieczeń, ale najsłabszym ogniwem jest człowiek. Oczywiście pracownicy przechodzą szkolenia, są uświadamiani o rodzajach zagrożeń. Jednak bank jest dla klientów, współpracujemy z partnerami zewnętrznymi. Nie możemy zamknąć kanałów komunikacji, jak e-mail, a to najczęstsza droga prób infekcji infrastruktury banku. Wdrożenie DORA jako jeden z głównych elementów wskazuje podnoszenie naszej odporności na ataki przy zwiększeniu zdolności odtworzenia części infrastruktury, która w takim ataku mogłaby zostać uszkodzona czy zniszczona.

Innym zagrożeniem jest coraz częstsze wykorzystywanie AI przez przestępców. Daje im to możliwość przeprowadzania znacznie większej liczby złożonych technologicznie ataków, w których elementy socjotechniki wspierane są przez AI. Ostatnim kierunkiem, na jakim coraz częściej działają przestępcy, i co wymaga od banków zwiększenia wysiłku, są ataki na dostawców banków.

Banki są bardzo dobrze zabezpieczone od strony technologii, kompetencji pracowników, o czym przestępcy wiedzą. Prób bezpośredniego przełamywania zabezpieczeń jest niewiele, gdyż nie kończą się powodzeniem. Nieco inaczej sprawa wygląda w przypadku dostawców, których poziom dojrzałości w obszarze bezpieczeństwa bywa różny. Naszym zadaniem jest właściwie ocenić ryzyko z tym związane, wymagać od dostawców stosowania jak największej liczby skutecznych zabezpieczeń, audytować tych dostawców.

Źródło: Miesięcznik Finansowy BANK