Trzeci stopień alarmowy. KNF ostrzega instytucje finansowe przed atakami

fintech bankowość

Rząd ogłosił nowy stopień alarmowy dotyczący bezpieczeństwa teleinformatycznego. Ryzyko wystąpienia ataków cybernetycznych zostało podniesione do trzeciego poziomu w 4-stopniowej skali. Ogłoszony trzeci stopień Charlie-CRP oznacza, że właściwe służby mają wiarygodne informacje wskazujące wysokie prawdopodobieństwo ataku na systemy informatyczne. Ogłoszenie alertu Charlie-CRP zbiegło się z komunikatem Komisji Nadzoru Finansowego, która przypomina instytucjom finansowym o ryzykach związanych z atakami hakerskimi wskazując, że w ostatnim czasie liczba ataków znacznie wzrosła. Według statystyk KNF, w ostatnim roku było nawet 500 proc. więcej ataków.

W swoim piśmie sektorowym kierowanym do podmiotów nadzorowanych KNF wskazuje, że powinny one niezwłocznie uwzględnić w swojej działalności możliwość wystąpienia tzw. ataków DDoS, których głównym celem jest spowodowanie wyłączenia usług internetowych. Oznacza to, że w wyniku ataków może przestać działać np. bankowość elektroniczna czy tzw. bramki płatnicze (systemy płatności online).

Choć Komisja Nadzoru Finansowego nie wskazuje wprost, że pismo sektorowe ma związek z alertem Charlie-CRP czy jest następstwem wydarzeń na Ukrainie – gdzie rosyjscy hakerzy spowodowali liczne szkody – to sam moment, w którym pismo trafiło do instytucji finansowych trudno uznać za przypadkowy. Zwłaszcza, że w swym piśmie KNF wprost podkreśla, że ataki DDoS stają się wykorzystywane są przez tzw. state sponsored hackers, tj. grupy hakerskie działające w strukturze lub na zlecenie poszczególnych państw.

Tajemnicą poliszynela jest, że Rosja utrzymuje potężną „cyber armię”, która wielokrotnie od prawie dwóch dekad regularnie doprowadza do ataków cybernetycznych na państwa członkowskie NATO czy ich sojuszników.

– Moment, w którym KNF ostrzega sektor finansowy trudno uznać za przypadkowy. W Polsce mamy bardzo rozbudowany sektor fintech, tj. pozabankowych usług płatniczych. Ataki typu DDoS na trzech – czterech kluczowych dostawców usług płatniczych mogą sprawić, że nie tylko nie zapłacimy za zakupy w internecie, ale też np. nie opłacimy biletu w parkomacie czy przejazdu autostradą. Usługi finansowe są integralną częścią współczesnego e-biznesu, często nawet ich nie dostrzegamy. Wyłączenie którejś z nich na kilka, kilkanaście godzin mogłoby spowodować znaczne straty dla rynku e-commerce – wskazuje Tomasz Klecor, prawnik, partner w kancelarii Legal Geek, specjalizującej się w obsłudze rynku finansowego.

UE pracuje nad nowymi przepisami dotyczącymi odporności usług finansowych na cyberataki

Problem ataków hakerskich na usługi finansowe został dostrzeżony już dawno. Od kilku lat regulacje wymuszające na bankach wdrożenie odpowiednich rozwiązań funkcjonują w całej Unii Europejskiej. W Polsce wdrożyła je m.in. ustawa o krajowym systemie cyberbezpieczeństwa. Przez ostatnie lata rzeczywistość rynkowa się jednak zmieniła i rynek finansowy został zdominowany przez pozabankowych dostawców. Dlatego Unia Europejska finalizuje właśnie prace nad tzw. Rozporządzeniem DORA, które obejmie cały sektor finansowy – w tym usługi fintechów.

Eksperci wskazują, że podmioty rynku usług płatniczych często nie ustępują bankom, jeśli chodzi o cyberbezpieczeństwo. Co więcej, nadzorcy tacy jak KNF już od dawna muszą wymagać od instytucji płatniczych posiadania planów ciągłości działania czy systemów zarządzania ryzykiem. Nadzorcy europejscy, jeśli chodzi o bezpieczeństwo danych, przynajmniej od 2018 r. stawiają instytucje płatnicze w jednej linii z bankami.

– W Unii Europejskiej na rynku płatności online banki już dawno przestały być monopolistą. W praktyce to instytucje płatnicze są kluczowym elementem łańcucha płatności internetowych. Dla przykładu w Polsce na kilkanaście banków krajowych mamy ponad 150 instytucji płatniczych, w tym prawie 130 tzw. małych instytucji płatniczych. To są podmioty bardzo świadome, tworzone przez ludzi, którzy doświadczenie zdobywali w bankach czy korporacjach internetowych. Tam ciągłość działania i odporność na ataki cybernetyczne od zawsze jest czymś, na co zwraca się szczególną uwagę. Wielu naszych klientów od początku wdraża „standardy bankowe”. Nie boję się zatem o bezpieczeństwo tego rynku – mówi Tomasz Klecor z kancelarii Legal Geek, współpracującej z ponad 40 instytucjami płatniczymi w Polsce.