Sektor FinTech stał się integralną częścią współczesnego świata. Branża innowacyjnych usług finansowych opartych na nowych technologiach rozwija się niezwykle dynamicznie i rewolucjonizuje sposób, w jaki konsumenci i firmy zarządzają swoimi finansami. Wygoda i dostępność z dowolnego miejsca i urządzenia rodzi jednocześnie nowe wyzwania w zakresie cyberbezpieczeństwa. W końcu fintechy posiadają nasze dane finansowe, a często również dostęp do naszych pieniędzy.

Inwestycje w bezpieczeństwo to nie wszystko

Ilość ataków hakerskich wzrasta z roku na rok. W 2022 roku instytucje finansowe znalazły się na drugim miejscu wśród sektorów najbardziej dotkniętych różnymi naruszeniami danych. Według raportu firmy Sophos, dostarczającej oprogramowanie cybersecurity, odsetek instytucji finansowych, wobec których przeprowadzono ataki typu ransomware, wzrósł z 55% w 2022 r. do 64% w 2023 r. Oznacza to prawie dwukrotny wzrost względem 2021 roku, kiedy odsetek zaatakowanych instytucji finansowych wyniósł 34%. Tylko 1 na 10 ataków został powstrzymany przed etapem szyfrowania danych, a w około ¼ tych przypadków, w których dane zostały już zaszyfrowane, doszło również do ich kradzieży.

– Cyberprzestępczość to wyzwanie dla całego sektora. Z szacunków sporządzonych przez Statista Market Insights wynika, że globalne koszty cyberprzestępczości wzrosną z 9,22 biliona dolarów w 2024 r. do 13,82 biliona dolarów do 2028 r. – mówi Przemysław Koch, członek zarządu ds. operacji IT w VeloBank. – Rośnie skala, a jednocześnie różnorodność prób oszustw. Musimy działać wielopłaszczyznowo, żeby przeciwdziałać cyberprzestępczości. Przede wszystkim doskonalimy na bieżąco nasze wewnętrzne systemy, w celu ciągłego zwiększania odporności banku na coraz to bardziej wyszukane wektory ataków. Na pierwszej linii frontu mamy rozwiązania IT opierające się na algorytmach wykrywania nieprawidłowości, czy anomalii w realizacji dostępu do kanałów banku. Dzięki analityce, uczeniu maszynowemu czy algorytmom AI wykrywamy i udaremniamy działania oszustów – tłumaczy Przemysław Koch.

Cyberbezpieczeństwo kosztuje

Cyberataki oznaczają oczywiście ogromne koszta. Według raportu IBM Cost of a Data Breach 2023, sektor finansowy plasuje się na drugim miejscu w globalnych statystykach dotyczących szkód spowodowanych cyberatakami, tuż po branży opieki zdrowotnej. Szacuje się, że w przypadku każdego tego typu incydentu straty poniesione przez organizacje finansowe wyniosły średnio około 5,9 miliona dolarów. Dlatego fintechy i banki inwestują znaczne środki w zaawansowane systemy cyberbezpieczeństwa, rozwiązania antyfraudowe i szyfrowanie danych. Często stosują również autoryzację dwuetapową, która utrudnia nieuprawniony dostęp do kont użytkowników. Takie zabezpieczenia są też wymogiem prawnym – między innymi na mocy ustawy o krajowym systemie cyberbezpieczeństwa (UKSC). Akt ten określa role i obowiązki poszczególnych podmiotów. Zobowiązuje on między innymi operatorów kluczowych (firmy i instytucje świadczące usługi o istotnym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej) do wdrożenia systemu zarządzania bezpieczeństwem w systemie informatycznym wykorzystywanym do świadczenia danej usługi. Celem tej ustawy, jak i innych krajowych i unijnych regulacji w tym zakresie, jest zwiększenie i zagwarantowanie odpowiedniego poziomu bezpieczeństwa zarówno użytkowników, jak i samych podmiotów.

Niestety, pomimo tych zabezpieczeń, to właśnie klienci często są najsłabszym ogniwem łańcucha. Brak wiedzy o zagrożeniach czy nieumiejętność rozpoznawania fałszywych wiadomości i telefonów mogą prowadzić do poważnych strat finansowych lub kradzieży danych.

– Kluczowym ogniwem są klienci i ich świadomość cyberzagrożeń, dlatego też stawiamy na edukację. Przypominamy na bieżąco, jakich metod socjotechnicznych używają oszuści, aby uzyskać dane dostępowe do bankowości elektronicznej i dlaczego nie można podawać nikomu danych logowania. Uczulamy też o konieczności sprawdzania poprawności stron do logowania, certyfikatu bezpieczeństwa przed zalogowaniem się lub przed realizacją płatności online w sklepach – tłumaczy Przemysław Koch. – W VeloBanku uruchamiamy właśnie dla naszych klientów usługę biometrii behawioralnej, która pozwoli na wykrycie oszustów próbujących podszyć się w bankowości elektronicznej pod klienta. Bazujemy na tym, że każdy z nas zostawia w Internecie tzw. odcisk cyfrowy sposobu bankowania, który chcemy za zgodą klienta przechowywać i weryfikować podczas kolejnych sesji. To pozwoli nam na weryfikację, czy dane zachowanie zgadza się z dotychczasową aktywnością klienta w kanałach cyfrowych banku.

Edukacja kluczem do bezpieczeństwa

Uświadamianie użytkowników o istniejących zagrożeniach i formach radzenia sobie z nimi to kluczowe elementy budowania bezpieczeństwa i odporności na cyberataki, a niestety z biegiem czasu przybierają one coraz to trudniejsze w identyfikacji formy. Najczęstszym rodzajem oszustw jest phishing, czyli podszywanie się pod inną osobę lub instytucję celem wyłudzenia poufnych informacji. Tego typu ataki zwykle są ukierunkowane na kradzież haseł i loginów, numerów kart kredytowych czy numerów PESEL.

Według dorocznego raportu CERT Polska incydenty dotyczące phishingu stanowiły 64% wszystkich zgłoszeń obsłużonych w 2022 r. Najczęściej zgłaszano oszustwa na platformach takich jak Vinted, InPost i Facebook. W czołówce rodzajów zgłaszanych incydentów znalazły się również szkodliwe oprogramowania (8,59%), włamania m.in. do systemów informatycznych oraz kont pocztowych (0,89%) oraz obraźliwe i nielegalne treści, w tym spam (0,78%). Coraz bardziej popularny staje się również spoofing, czyli rodzaj ataku, w którym przestępcy fałszują lub modyfikują informacje identyfikacyjne (np. adresy e-mail, IP lub numery telefonów) celem wprowadzenia w błąd odbiorcy i zdobycia dostępu do poufnych danych lub systemów.

Banki i inne instytucje finansowe nieustannie ostrzegają swoich klientów przed atakami i podpowiadają, jak można się przed nimi chronić i jak reagować w przypadku, kiedy dojdzie do próby oszustwa czy wyłudzenia. W razie zauważenia wzmożonej liczby ataków, od razu na stronach internetowych czy interfejsach aplikacji pojawia się alarmujący komunikat. Na ulicach czy w autobusach można zauważyć plakaty ostrzegające przed atakami, często skierowane do seniorów.

Wyścig w innowacjach

– Obecnie najwyższe zapotrzebowanie na innowacje z zakresu cyberbezpieczeństwa obserwuje się głównie w sektorach finansowym, zdrowotnym, administracji publicznej oraz technologicznym. Szczególnie poszukiwane są rozwiązania, które skutecznie chronią przed atakami typu ransomware i phishing, a także narzędzia wspierające bezpieczne praktyki pracy zdalnej oraz zarządzanie tożsamością cyfrową (IAM). Z uwagi na znaczną wartość i ilość przechowywanych danych wrażliwych, firmy z tych sektorów poszukują także zaawansowanych systemów wczesnego wykrywania i reagowania na zagrożenia (XDR) – mówi Mateusz Podoba, ekspert ds. oprogramowania VSoft, dostawcy oprogramowania dla biznesu działającego na rynku od blisko 30 lat.

Popyt na usługi zabezpieczające przed oszustwami systematycznie rośnie. – Zauważalny jest stały wzrost zainteresowania ze strony rynku, co jest napędzane zarówno przez rosnącą liczbę cyberataków, jak i dynamiczny rozwój technologii m.in. sztucznej inteligencji. Firmy coraz bardziej zdają sobie sprawę z potencjalnych zagrożeń i aktywnie inwestują w technologie mające na celu zabezpieczenie swoich danych i infrastruktury – tłumaczy ekspert VSoft.

W dynamicznym świecie FinTechu, w którym innowacje technologiczne rozwijają się w zawrotnym tempie, cyberbezpieczeństwo musi być traktowane jako priorytetowy obszar. Firmy chcąc uniknąć gigantycznych kosztów ciągle pracują nad doskonaleniem swoich systemów. Mimo to, dużym wyzwaniem pozostaje klient – nawet jeśli banki i firmy są wyposażone w najnowocześniejsze zabezpieczenia, to jednak użytkownicy nie mając wystarczającej wiedzy na temat zagrożeń związanych z cyberprzestępczością, dalej będą narażeni na ataki. Dlatego kluczowe jest nie tylko ciągłe udoskonalanie systemów bezpieczeństwa, ale również odpowiednia edukacja klientów.