Cyberbezpieczeństwo
Rząd ogłasza trzeci stopień alarmowy, a KNF ostrzega instytucje finansowe przed cyberatakami
Rząd ogłosił nowy stopień alarmowy dotyczący bezpieczeństwa teleinformatycznego. Ryzyko wystąpienia ataków cybernetycznych zostało podniesione do trzeciego poziomu w 4-stopniowej skali. Trzeci stopień Charlie-CRP oznacza, że właściwe służby mają wiarygodne informacje wskazujące wysokie prawdopodobieństwo ataku na systemy informatyczne. Ogłoszenie wspomnianego alertu zbiegło się z komunikatem Komisji Nadzoru Finansowego (KNF), która przypomina instytucjom finansowym o ryzykach związanych z atakami hakerskimi wskazując, że w ostatnim czasie ich liczba znacznie wzrosła. Według statystyk KNF, w ostatnim roku było nawet 500% więcej takich ataków.
W piśmie sektorowym, kierowanym do podmiotów nadzorowanych, KNF wskazuje, że powinny one niezwłocznie uwzględnić w swojej działalności możliwość wystąpienia tzw. ataków DDoS, których głównym celem jest spowodowanie wyłączenia usług internetowych. Oznacza to, że w wyniku ataków może przestać działać np. bankowość elektroniczna czy tzw. bramki płatnicze (systemy płatności online).
Choć KNF nie wskazuje wprost, że pismo sektorowe ma związek z alertem Charlie-CRP czy jest następstwem wydarzeń na Ukrainie – gdzie rosyjscy hakerzy spowodowali liczne szkody – to sam moment, w którym pismo trafiło do instytucji finansowych trudno uznać za przypadkowy. Zwłaszcza, że w swym piśmie KNF wprost podkreśla, że ataki DDoS wykorzystywane są przez tzw. state sponsored hackers, tj. grupy hakerskie działające w strukturze lub na zlecenie poszczególnych państw. Tajemnicą poliszynela jest, że Rosja utrzymuje potężną „cyber armię”, która od prawie dwóch dekad regularnie doprowadza do ataków cybernetycznych na państwa członkowskie NATO czy ich sojuszników.
“W Polsce mamy bardzo rozbudowany sektor fintech, tj. pozabankowych usług płatniczych. Ataki typu DDoS na trzech, czterech kluczowych dostawców usług płatniczych mogą sprawić, że nie tylko nie zapłacimy za zakupy w internecie, ale też np. nie opłacimy biletu w parkomacie czy przejazdu autostradą. Usługi finansowe są integralną częścią współczesnego e-biznesu, często nawet ich nie dostrzegamy. Wyłączenie którejś z nich na kilka, kilkanaście godzin mogłoby spowodować znaczne straty dla rynku e-commerce” – komentuje Tomasz Klecor, prawnik, partner w kancelarii Legal Geek.
UE finalizuje prace nad Rozporządzeniem DORA
Problem ataków hakerskich na usługi finansowe został dostrzeżony już dawno. Od kilku lat regulacje wymuszające na bankach wdrożenie odpowiednich rozwiązań funkcjonują w całej Unii Europejskiej. W Polsce wdrożyła je m.in. ustawa o krajowym systemie cyberbezpieczeństwa. Jednak przez ostatnie lata rzeczywistość rynkowa się zmieniła i rynek finansowy został zdominowany przez pozabankowych dostawców. Dlatego Unia Europejska finalizuje właśnie prace nad tzw. Rozporządzeniem DORA, które obejmie cały sektor finansowy – w tym usługi fintechów.
Eksperci wskazują, że podmioty rynku usług płatniczych często nie ustępują bankom, jeśli chodzi o cyberbezpieczeństwo. Co więcej, nadzorcy tacy jak KNF już od dawna muszą wymagać od instytucji płatniczych posiadania planów ciągłości działania czy systemów zarządzania ryzykiem. Jeśli chodzi o bezpieczeństwo danych, nadzorcy europejscy przynajmniej od 2018 roku stawiają instytucje płatnicze w jednej linii z bankami.
“W Unii Europejskiej na rynku płatności online banki już dawno przestały być monopolistą. W praktyce to instytucje płatnicze są kluczowym elementem łańcucha płatności internetowych. Dla przykładu w Polsce na kilkanaście banków krajowych mamy ponad 150 instytucji płatniczych, w tym prawie 130 tzw. małych instytucji płatniczych. To są podmioty bardzo świadome, tworzone przez ludzi, którzy doświadczenie zdobywali w bankach czy korporacjach internetowych. Tam ciągłość działania i odporność na ataki cybernetyczne od zawsze jest czymś, na co zwraca się szczególną uwagę. Wielu naszych klientów od początku wdraża „standardy bankowe”. Nie boję się zatem o bezpieczeństwo tego rynku” – podsumowuje Tomasz Klecor.