Trzeci stopień alarmowy, a KNF ostrzega przed hakerami
Rząd ogłosił nowy stopień alarmowy dotyczący bezpieczeństwa teleinformatycznego. Ryzyko ataków hakerskich podniesiono właśnie do III poziomu. W czterostopniowej skali mamy już trzeci stopień alarmowy Charlie-CRP, co z kolei oznacza, że służby mają wiarygodne informacje wskazujące wysokie prawdopodobieństwo ataku na systemy informacyjne.
Ogłoszenie alertu, co ciekawe, zbiegło się z komunikatem KNF właśnie, która oficjalnie przypomina instytucjom finansowym o ryzykach związanych właśnie z takimi atakami. W ostatnim czasie liczba takowych wzrosła znacznie, ponieważ w ostatnim roku było ich nawet… 500% więcej!
Czytaj też: Płatności Google Pay w PKO
Z kolei w piśmie sektorowym kierowanym do podmiotów nadzorowanych KNF wskazuje w międzyczasie, że powinny uwzględnić możliwość wystąpienia ataków DDoS. Głównym celem tych z kolei jest spowodowanie wyłączenia usług internetowych. Oznacza to więc, że w efekcie takich ataków może przestać działać na przykład bankowość elektroniczna.
Chociaż Komisja Nadzoru Finansowego nie wskazuje wprost, że pismo miałoby jakikolwiek związek z alertem Charlie-CRP czy jest efektem wydarzeń na Ukrainie.. Ten sam moment wydania oświadczeń raczej trudno uznać za całkowicie przypadkowy. Przede wszystkim jeśli chodzi o pismo KNF – tutaj podkreśla się, że ataki DDoS stają się teraz wykorzystywane coraz częściej przez grupy hakerskie poszczególnych państw.
Czytaj też: Apple i Google Pay już niedostępne dla rosyjskich klientów
Trzeci stopień alarmowy, a KNF ostrzega przed hakerami
Moment, w którym KNF ostrzega sektor finansowy trudno uznać za przypadkowy. W Polsce mamy bardzo rozbudowany sektor fintech, tj. pozabankowych usług płatniczych. Ataki typu DDoS na trzech – czterech kluczowych dostawców usług płatniczych mogą sprawić, że nie tylko nie zapłacimy za zakupy w internecie, ale też np. nie opłacimy biletu w parkomacie czy przejazdu autostradą. Usługi finansowe są integralną częścią współczesnego e-biznesu, często nawet ich nie dostrzegamy. Wyłączenie którejś z nich na kilka, kilkanaście godzin mogłoby spowodować znaczne straty dla rynku e-commerce.
– Tomasz Klecor, prawnik, partner w kancelarii Legal Geek, specjalizującej się w obsłudze rynku finansowego.
Czytaj też: Telbridge z licencją krajowej instytucji płatniczej
Komisja Nadzoru Finansowego, a zarządzanie ryzykiem
Tymczasem, eksperci wskazują, że podmioty rynku usług płatniczych często nie ustępują bankom, jeśli chodzi o cyberbezpieczeństwo. W efekcie, nadzorcy tacy jak KNF już od dawna muszą wymagać od instytucji płatniczych posiadania planów ciągłości działania czy systemów zarządzania ryzykiem. Nadzorcy europejscy, jeśli chodzi o bezpieczeństwo danych, przynajmniej od 2018 r. stawiają instytucje płatnicze w jednej linii z bankami.
W Unii Europejskiej na rynku płatności online banki już dawno przestały być monopolistą. W praktyce to instytucje płatnicze są kluczowym elementem łańcucha płatności internetowych. Dla przykładu w Polsce na kilkanaście banków krajowych mamy ponad 150 instytucji płatniczych. W tym prawie 130 tzw. małych instytucji płatniczych. To są podmioty bardzo świadome, tworzone przez ludzi, którzy doświadczenie zdobywali w bankach czy korporacjach internetowych. Tam ciągłość działania i odporność na ataki cybernetyczne od zawsze jest czymś, na co zwraca się szczególną uwagę. Wielu naszych klientów od początku wdraża „standardy bankowe”. Nie boję się zatem o bezpieczeństwo tego rynku.
– Tomasz Klecor z kancelarii Legal Geek, współpracującej z ponad 40 instytucjami płatniczymi w Polsce.