CERT w 2023 roku odnotował i obsłużył 18 943 cyberincydenty w sektorze finansowym w Polsce – odnotowuje Palo Alto Networks.
– Przypadki naruszeń wymierzone w podmioty finansowe zdarzają się w Polsce niemal codziennie. Dane z różnych raportów wskazują, że już ponad połowa Polaków korzysta z bankowości elektronicznej. Oznacza to, że systematycznie rośnie liczba konsumentów narażonych na skutki cyberataków. Opracowaliśmy ten raport, aby zwrócić uwagę sektora i konsumentów na to, że choć branża finansowa jest dobrze zabezpieczona przed cyberatakami, to cyberprzestępcy wciąż rozwijają nowe metody prowadzenia ataków. Przykładem może być stosowanie generatywnej sztucznej inteligencji do przeprowadzania ataków phishingowych – mówi Wojciech Gołębiowski, wiceprezes i dyrektor zarządzający w Europie Wschodniej, Palo Alto Networks.
Raport CSIRT KNF wskazuje, że do najczęściej stosowanych metod cyberataków należą fałszywe oferty inwestowania w znane i wiarygodne firmy (np. spółki Skarbu Państwa), pod które podszywają się oszuści, spreparowane wiadomości SMS i maile służące do wyłudzania danych konta bankowego lub podpięcia się do wewnętrznej sieci przedsiębiorstwa. W dobie szybko rozwijających się technologii AI coraz częściej przestępcy stosują deep fake lub spoofing, aby jeszcze łatwiej zmylić potencjalne ofiary ataków.
Organizacje zajmujące się usługami finansowymi w Polsce przechowują, przesyłają i przetwarzają duże ilości wrażliwych informacji, co nieustannie przyciąga cyberprzestępców.
Palo Alto Networks zwraca uwagę, że światowe dane wskazują, że budżety przeznaczane przez firmy na cyberbezpieczeństwo spadają, a w latach 2021-2023 największy spadek wydatków na ten cel zanotowała branża ubezpieczeniowa, bankowość i rynki kapitałowe. Mimo to polskie organizacje z sektora finansowego są dobrze zabezpieczone przed cyberzagrożeniami. Wynika to między innymi z sytuacji geopolitycznej.
W 2023 r. obsłużono w Polsce łącznie aż 80 ty. incydentów cyberbezpieczeństwa, co oznacza wzrost o ponad 100 proc. względem 2022 r. CERT odnotował i przeprocesował aż 18 943 (23,61 proc.) przypadków ataków w samym sektorze finansowym. Najczęściej ataki tego rodzaju polegają na wysyłce maili phishingowych lub fałszywych komunikatów telefonicznych.
Na początku sierpnia 2024 r. Państwowy Instytut Badawczy NASK poinformował, że na celowniku cyberprzestępców znaleźli się klienci banku Santander Polska. CERT obsłużył aż 1599 zgłoszeń oszustwa polegającego na informowaniu klientów o konieczności zaktualizowania numeru telefonu w aplikacji mobilnej banku, co było zaplanowaną akcją cyberprzestępców mającą na celu przeniesienie użytkownika na fałszywą stronę i wyłudzenie danych logowania do konta.
– Jednym ze szczególnych wyzwań związanych z cyberbezpieczeństwem sektora finansowego jest sztuczna inteligencja. Chociaż AI ma ogromny potencjał do usprawnienia procesów, wiele firm wciąż stoi przed wyzwaniem związanym z jej bezpiecznym wdrożeniem. Obecnie nie ma jeszcze jednego, uniwersalnego podejścia do tego, jak skutecznie i bezpiecznie wprowadzić sztuczną inteligencję w tak skomplikowane środowiska jak np. bankowość – mówi Marcin Łukaszewski, Enterprise Director w Polsce, Palo Alto Networks.
Do niedawna, aby uchronić się przed skutkami naruszeń, firmy korzystały z polis ubezpieczenia cybernetycznego, ale obecnie składki są droższe i oferują mniejszy zakres ochrony, dlatego spadła wartość tego produktu finansowego jako sposobu zarządzania ryzykiem.
Większe firmy wdrażają już strategię „security awareness” i przeprowadzają regularne szkolenia dla pracowników. Polegają one na systematycznym symulowaniu różnego rodzaju ataków phishingowych lub weryfikowaniu zgodności pracy z procedurami bezpieczeństwa.
Rozwiązaniem na przyszłość jest automatyzacja procesów bezpieczeństwa oraz przyjęcie strategii "Zero Trust" przy wsparciu rozwiązań opartych na AI, która polega na całkowitym ograniczeniu zaufania w każdej interakcji. Nowe regulacje Unii Europejskiej, takie jak DORA (Digital Operational Resilience Act), będą zmuszać firmy do szybszego reagowania na zagrożenia i lepszego zarządzania danymi.
