"Setki ataków na banki w ciągu jednego dnia". Jak banki bronią się przed cyberprzestępcami?

- W ciągu jednego dnia są setki prób ataków na polski sektor bankowy. Najważniejsze jest to, ile z nich jest zakończonych sukcesem. Odpowiedź brzmi - zero, albo jest bliska zera, według mojej wiedzy - mówił Sławomir Soszyński, wiceprezes ING Banku Śląskiego podczas prezentacji online rekomendacji Europejskiego Kongresu Finansowego dla banków w zakresie wprowadzania nowych technologii.

Dlatego od lat w ankiecie EKF szefowie polskich banków od technologii wymieniają cyberbezpieczeństwo, którego zachowanie będzie miało największy wpływ na sektor w ciągu najbliższych lat. Ankieta przeprowadzana jest od kilku lat w dziewięciu bankach, a wypowiadają się w niej wiceprezesi odpowiedzialni za technologie informatyczne. Jak od lat (po przerwie w ubiegłym roku) cyberbepieczeństwo znowu było na pierwszym miejscu w tym roku.

Może nie wszystkie cyberataki na banki spełzają na niczym, bo czasem mamy komunikat, że apka albo strona jest niedostępna. Taka sytuacja bywa skutkiem ataków nazywanych DDos czyli distributed denial of service. O co w nich chodzi? O zajęcie wszystkich dostępnych zasobów pamięci i połączeń, żeby uniemożliwić usługi bankowości internetowej lub mobilnej. Czyli o to, żeby klient do banku nie mógł "wejść" i był z tego powodu wściekły.

Ataki DDoS polegają na równoczesnym, prowadzonym z wielu komputerów lub smartfonów wysyłaniu zapytań do systemu banku, żeby na bankowych serwerach stworzył się rodzaj informatycznego korka. Często ludzie nawet nie wiedzą, że w ich urządzenia zainstalowano specjalne oprogramowanie mające służyć wysyłaniu takich zapytań. Co z tego mają przestępcy? Żądają okupu za odstąpienie od ataku. Czy banki płacą okup? Nawet jeśli tak się zdarzy, to nikt się do tego nie przyzna.

Okazuje się jednak, że przestępcy biją raczej głową w mur, bo od kilku lat uznali, że dużo łatwiej niż banki atakować jest ich klientów wykorzystując narzędzia socjotechniki. Dla banków jednak zapewnienie ciągłości działania jest absolutnym priorytetem, dlatego muszą pozostać odporne cyberterroryzm i zapewniać fizyczne bezpieczeństwo danych. Bo a nuż okaże się, że jakaś przestępcza innowacja zakończy się sukcesem? Dlatego trwa wyścig.  

Czytaj rówież: Głos AI prosi przez telefon o pomoc. Cyberprzestępcy podrasowali metodę oszustwa

Eksperci EKF jak co roku pochylili się nad ankietą i wydali dla banków rekomendacje. Uważają oni, że instytucje powinny fizycznie rozproszyć przetwarzanie danych, co zwiększy odporność infrastruktury informatycznej banków. Banki powinny ze sobą jeszcze bardziej współpracować jeśli chodzi o identyfikowanie zagrożeń, ich kierunków i samych ataków. Centra usług wspólnych mogłyby się okazać tu skuteczne. Powinny też stale aktualizować procedury bezpieczeństwa oraz przeprowadzać testy odporności.

- Kreatywność cyberprzestępców jest duża (...) Musimy zabezpieczać bank na wszelkie możliwe sposoby - powiedział Sławomir Soszyński.

- Przestępcy wciąż sprawdzają, czy jesteśmy gotowi, i czy jakaś furtka nie pozostała otwarta - dodał. 

- Szukają pozostawionych albo może nieznanych dziur - stwierdził Piotr Alicki, prezes Krajowej Izby Rozliczeniowej.

Dostawcy chmury obliczeniowej mogą pomóc sektorowi finansowemu w ochronie danych, klientów i bezpieczeństwa operacji.

- Większość dostawców chmurowych przeznacza potężne środki na zabezpieczenie oferowanych rozwiązań (...) Część kompetencji trzeba jednak zachować po swojej stronie - mówił podczas dyskusji na rekomendacjami Karol Mazurek, dyrektor zarządzający firmy doradczej Accenture w Polsce.

Eksperci EKF rekomendują, żeby banki trwale umieściły korzystanie z chmury w swoich strategiach i zastanowiły się, w jakich obszarach przynosi ono najwięcej wartości dla organizacji. W tej chwili zbyt często korzystanie z chmury podporządkowane jest oszczędnościom - choćby dlatego, że zastępuje ona konieczność kupowania własnych serwerów. O takiego myślenia trzeba odejść. Zdaniem ekspertów banki mogą uzyskać efekty skali i synergii dzięki korzystaniu z chmury ale muszą dostosować do tego całą organizację, w tym kompetencje pracowników.

- Jeśli chodzi o chmurę, to w bankach znalazła już zastosowanie i w praktyce wszyscy już z niej korzystają. Chodzi o poszerzanie i pogłębianie jej zastosowania. To już nie jest nowinka technologiczna - powiedział Piotr Alicki.

Kiedy pod koniec zeszłego roku firma OpenAI zaprezentowała nową, całkiem już inteligentną wersję ChatGPT, na sztuczną inteligencję zrobił się wielki hype. Eksperci uważają, ze w bankach ma ona bardzo duży potencjał. Ponieważ jednak wykorzystanie sztucznej inteligencji nie jest jeszcze w żaden sposób regulowane, banki z wprowadzeniem używającej jej rozwiązań są bardzo ostrożne. Ale mają też kłopot z tym, żeby ustrukturyzować dane w taki sposób, by sztuczna inteligencja mogła z nich korzystać.

- Musimy mieć dane, żeby zwiększać sprzedaż i zarządzać ryzykiem. Sztuczna inteligencja bez bazy wiedzy i danych nie da właściwych odpowiedzi - mówił Karol Mazurek. 

Wprowadzenie sztucznej inteligencji przez sektor finansowy wymaga dialogu pomiędzy bankami i nadzorcami oraz skutecznych regulacji dotyczących jej zastosowania w bankowym biznesie - twierdzą eksperci EKF. Banki na pewno będą zwiększać nakłady na inwestycje związane z zastosowaniem sztucznej inteligencji w usługach i procesach biznesowych, ale powinno być to dobrze przemyślane.

- Nie chcemy nie doceniać nowinek technologicznych, ale wiele z nich budzi bardzo duże nadzieje, lecz w konsekwencji powstają bardzo niszowe rozwiązania - powiedział Piotr Alicki.

Sztuczna inteligencja - jest to już raczej pewne - nie jest tylko nowinką. Daje bardzo duże możliwości w wykorzystaniu w centrach usług wspólnych dla sektora finansowego, w obsłudze wystandaryzowanych, regulacyjnych zadań i może zmniejszyć indywidualne obciążenia banków takimi choćby obowiązkami, jak walka z praniem brudnych pieniędzy - twierdzą eksperci EKF.

Jacek Ramotowski