W ostatnich latach pojawiło się na świecie wiele czynników powodujących znaczący wzrost narażenia banków komercyjnych na atak cybernetyczny.

Dlaczego rośnie znaczenie cyber ryzyka w bankach na świecie?

Obserwowany trend digitalizacji usług bankowych, rosnąca popularność elektronicznych kanałów dostępu do banku nie tylko zwiększają dostępność i szybkość korzystania z usług bankowych, ale ma to również „ciemną stronę” w postaci większej podatności banków na ataki w cyberprzestrzeni. Banki coraz częściej korzystają także z usług w tzw. „chmurze”, co o ile pozwala na oszczędności i zabezpieczenie danych, o tyle jednocześnie uzależnia bank od dostawcy takich usług. Ryzyko cybernetyczne zostało też spotęgowane przez rozwój pracy zdalnej od okresu pandemii oraz w efekcie wybuchu wojny w Ukrainie. Ataki hakerskie na banki, będące częścią infrastruktury krytycznej w każdym kraju, to element trwającej tzw. wojny hybrydowej prowadzonej przez Rosję. Rozwój sztucznej inteligencji ułatwia ponadto tworzenie złośliwych programów i zmniejsza „próg wejścia” dla hakerów.

Reklama

Wiele raportów branżowych wskazuje, że banki (a szerzej system finansowy), pełniące nieodzowną rolę w procesie pośrednictwa finansowego w gospodarce, są jednym z najbardziej narażonych instytucji na tego typu ataki (zob. F5 Labs, Accenture, NTT-CERT, ENISA).

Cechy charakterystyczne ryzyka cybernetycznego w bankach

Czym w zasadzie jest ryzyko cybernetyczne? To część ryzyka operacyjnego w bankach. Najprościej może być rozumiane jako połączenie prawdopodobieństwa i skutku zaburzenia w funkcjonowaniu systemów teleinformatycznych w banku, poprzez naruszenie poufności, dostępności i integralności przetwarzanych danych lub usług związanych z tymi systemami. Ryzyko to powstaje gdy banki nie są w stanie zapewnić odpowiednich narzędzi, kadry, zasobów sieciowych, aby uniemożliwić dostęp do swojej infrastruktury osobom do tego nieuprawnionym. Ryzyko to materializuje się w postaci ataków hakerskich, które mogę przyjąć różne formy.

Jednym z najpopularniejszych są tzw. ataki odmowy dostępu czyli Denial of Service (DoS) oraz Distributed Denial of Service (DDoS). Zgodnie z raportem zespołu CSIRT KNF ataki te w uproszczeniu można scharakteryzować jako działanie przestępcze mające na celu powodowanie czasowej niedostępności systemów teleinformatycznych i usług organizacji świadczonych drogą elektroniczną. To tak jakby nagle przez małą szczelinę próbowała się przedostać bardzo duża ilość wody – otwór po prostu „zatka się”.

Ransomware to kolejny rodzaj ataku, gdy hakerzy dokonują „włamania z porwaniem dla okupu”, tylko tym razem kradzione (często też i zaszyfrowywane) są wrażliwe dane z systemów bankowych. Zdaniem hakerów odzyskanie dostępu do danych jest możliwe po zapłaceniu okupu, a jeśli to nie nastąpi to grożą sprzedażą lub ujawnieniem danych w internecie.

Inną metodą są ataki typu „phishing”, czyli kradzież tożsamości – próba wyłudzenia (np. od klientów banków czy też od pracowników banków) poufnych danych (np. do logowania do systemów banku) poprzez oszustwo i podszywanie się pod inne osoby bądź instytucje. Przestępcy wykorzystują następnie te dane, aby uzyskać nieautoryzowany dostęp do banku. Rodzajów ataków jest jednak znacznie więcej i ewoluują one dynamicznie, co utrudnia identyfikację oraz obronę przed ryzykiem cybernetycznym.

Banki nie są w stanie uniknąć narażenia na ryzyko cybernetyczne i dopiero się uczą nim skutecznie zarządzać. Ze względu na słabą dostępność ustrukturyzowanych danych o atakach cybernetycznych oraz specyfikę tych zjawisk, pomiar ekspozycji banków na ryzyko cybernetyczne jest sporym wyzwaniem. Potencjalne koszty jakie mogą banki ponieść to nie tylko wymierne straty finansowe, ale również bardzo istotne skutki pośrednie takie jak utrata reputacji, czy ryzyko prawne (np. pozwy od klientów).

Razavi et al. (2023) oszacowali straty finansowe anonimowego banku z symulowanego ataku DDoS trwającego 21 minut w wysokości aż 17 miesięcznych pensji kasjera w oddziale banku. MFW (2024) wskazuje że cyberatak może również prowadzić do masowego odpływu depozytów w banku, stwarzając zagrożenie dla jego płynności. Badania Shevchenko i in. (2023) i Aldasoro i in. (2023) wskazują, że rozkład strat ryzyka cybernetycznego w bankach ma tzw. „długi ogon” – najczęściej występują relatywnie niewielkie straty, lecz istnieje podwyższone prawdopodobieństwo wystąpienia strat o katastroficznej wysokości. W szczególności, w przypadku skutecznego ataku na bardzo duży bank, poprzez znaczą skalę jego współpowiązań z innymi bankami, może wystąpić efekt zarażania, co stanowiłoby potencjalnie systemowe zagrożenie dla stabilności finansowej (ESRB, 2024).

Wnioski z analizy ataków cybernetycznych na banki

Banki niechętnie dzielą się informacjami o tym, że padły ofiarą ataku hakerskiego, a zasady raportowania i upubliczniania tych informacji są jeszcze fragmentaryczne i niedoskonałe. Można jednak próbować wyciągnąć wnioski z połączenia informacji z globalnych baz incydentów cybernetycznych Uniwersytetu z Maryland oraz EuRepoC wraz z danymi ze sprawozdań finansowych zaatakowanych banków od 2020 r. Pozwoliło to na identyfikację głównych trendów i rodzajów cyberataków na banki, choć niestety większość atakujących pozostaje niezidentyfikowana.

Po pierwsze, występowały ataki przestępców motywowanych finansowo, których celem jest wykorzystanie słabości w tych bankach komercyjnych i spółdzielczych, które są mniejsze, cechują się przeciętnie niższą rentownością i odpornością niż średnia w sektorze. Oznacza to stosowanie przez przestępców strategii „polowania na łatwą zdobycz”. Ataki te mają na celu wykorzystanie „słabych punktów” w systemach banków, kradzież danych dla okupu lub jednocześnie zaburzenie działania banku. Tego typu ataki były przeprowadzane głównie przez gang hakerów pod nazwą „Cl0p” na banki w USA.

Po drugie, obserwowano ataki haktywistów, motywowane celami politycznymi a nie finansowymi, mające na celu zakłócenie działalności banków komercyjnych, które były większe, bardziej rentowne i wypłacalne niż przeciętnie inne banki (strategia „aby było o nas głośno”). Intencją hakerów jest wywołanie presji politycznej i zaburzenie funkcjonowania kluczowych banków w systemie finansowym. Powiązana z Rosją „NoName057(16)” to grupa specjalizująca się w tego typu atakach, zwłaszcza na banki z krajów UE i Ukrainy.

Najważniejszym czynnikiem różnicującym banki, które stały się celem cyberataków, wydają się być wskaźniki zyskowności tzn. atakowane są banki bardziej rentowne niż średnia w sektorze lub te istotnie mniej zyskowne. Liczba cyberataków niestety zwiększa się na przestrzeni ostatnich lat, przy czym rośnie udział ataków motywowanych chęcią uzyskania korzyści finansowych (cyberataków dokonanych przez przestępców było prawie dwukrotnie więcej niż tych autorstwa haktywistów). Dodatkowo wśród incydentów zidentyfikowanych w ww. bazach istnieje bardzo duża korelacja między typem atakującego, jego motywacją, a także rodzajem ataku, co świadczy o istnieniu wyraźnych trendów w działaniu gangów cybernetycznych. Najwięcej ataków było przeprowadzonych przez gangi powiązane z Rosją.

ikona lupy />
Transgraniczne kierunki ataków cybernetycznych na banki / obserwatorfinansowy.pl

Ataki cybernetyczne na banki występują także w Polsce. Wśród ujawnionych przypadków można wymienić m.in. Bank Spółdzielczy w Zambrowie, który na początku w 2024 r. padł ofiarą ataku typu ransomware (dane klientów zostały zaszyfrowane i bankowość elektroniczna przestała działać). Z kolei w 2023 r. Bank Ochrony Środowiska był atakowany przez różnego rodzaju ataki hakerskie na usługi bankowości elektronicznej, co spowodowało dla klientów czasowe problemy z dostępem do niektórych usług.

Co nas czeka?

Niestety prognozy nie są optymistyczne. Wraz z trwającą wojną w Ukrainie oraz na Bliskim Wschodzie należy spodziewać się wzrostu intensywności cyberataków na banki, które są częścią infrastruktury krytycznej. Google w swoim raporcie “Cybersecurity Forecast 2024” wskazuje m.in. na rosnącą rolę haktywistów i wykorzystanie cyberataków przez rządy do osiągania celów geopolitycznych. Obserwowany także postęp w rozwoju sztucznej inteligencji i pojawianie się tzw. deepfakes i voice phishing niewątpliwie będą stanowić wyzwanie dla zapewnienia bezpieczeństwa procesów zdalnej autoryzacji transakcji banków z klientami i ograniczenia ryzyka oszustw. Dzięki zastosowaniu nowych technologii kolejne ataki cybernetyczne mogą przebiegać szybciej i być trudniejsze do wykrycia. Stanowi to wskazówkę dla banków i regulatorów, aby przywiązywać większą niż dotychczas wagę do narażenia banków na ryzyko cybernetyczne i dążyć do wzrostu odporności banków oraz całego systemu na materializację tego ryzyka.

Autor wyraża własne opinie, a nie oficjalne stanowisko NBP.

Paweł Smaga, doradca w Departamencie Stabilności Finansowej NBP i profesor Szkoły Głównej Handlowej w Warszawie
ikona lupy />
Obserwator Finansowy - otwarta licencja / obserwatorfinansowy.pl