Cyberbezpieczeństwo w obszarze płatności jest kluczowym elementem ochrony danych i systemów wewnętrznych przed zagrożeniem cyberatakami. Wraz z rosnącą liczbą transakcji online wyzwaniem staje się zapewnienie bezpieczeństwa nie tylko systemów informatycznych, ale również danych osobowych i finansowych użytkowników. W artykule, który powstał na podstawie webinarium poprowadzonego przez radcę prawnego Monikę Macurę 21 października 2024 r., omawiamy podstawowe zagrożenia, regulacje oraz dobre praktyki w zakresie cyberbezpieczeństwa dla instytucji finansowych. Pełne nagranie webinarium „Cyberbezpieczeństwo w rozwiązaniach płatniczych” jest dostępne na kanale youtube.

Najistotniejsze zagrożenia w obszarze płatności

Systemy płatnicze są narażone na różnorodne zagrożenia, z których najczęstsze to:

• złośliwe oprogramowanie (malware), obejmujące wirusy, trojany oraz oprogramowanie ransomware, które szyfruje dane i wymaga okupu za ich odszyfrowanie; ataki ransomware często wykorzystują techniki socjotechniczne, jak phishing lub vishing;
• wyłudzanie informacji (phishing), w ramach którego cyberprzestępcy podszywają się pod pracowników instytucji finansowych, aby uzyskać dostęp do poufnych danych, takich jak hasła czy numery kart płatniczych;
• inżynieria społeczna, czyli manipulowanie ludźmi w celu uzyskania nieuprawnionego dostępu do chronionych informacji;
• ataki typu DDoS (Distributed Denial of Service), które powodują przeciążenie serwerów, co skutkuje utratą dostępności usług;
• spoofing, obejmujący podszywanie się pod inny podmiot, np. dostawcę usług płatniczych, aby oszukać użytkownika i wyłudzić środki.

Zagrożenia te mogą prowadzić do poważnych strat finansowych, naruszenia prywatności oraz utraty reputacji przez instytucje finansowe.

Ransomware – specyfika i prewencja

Ransomware to jeden z najgroźniejszych rodzajów złośliwego oprogramowania, którego działanie polega na zaszyfrowaniu danych ofiary i żądaniu okupu za ich odblokowanie. Często takie ataki wykorzystują inżynierię społeczną. Ich przykładami są phishing i vishing, niepoprawnie zabezpieczone dostępy zdalne czy spoofing (w tym caller ID spoofing).

W maju 2024 r. Komisja Nadzoru Finansowego (KNF) wydała wytyczne dotyczące ochrony przed ransomware, których schemat obejmuje następujące etapy:

1. przygotowanie – zabezpieczenie systemów oraz szkolenie pracowników;
2. identyfikacja i szybkie wykrywanie prób ataków;
3. ograniczanie i minimalizowanie skutków ataku poprzez natychmiastowe działania;
4. komunikacja zewnętrzna i raportowanie;
5. odzyskiwanie i przywracanie danych z kopii zapasowych;
6. analiza incydentu i wdrożenie wniosków.

Nowe zasady odpowiedzialności dostawcy usług płatniczych za spoofing

Określa je Rozporządzenie w sprawie usług płatniczych w ramach rynku wewnętrznego PSR (Payment Service Regulation), określając spoofing jako podszywanie się przez oszustów pod pracownika dostawcy usług płatniczych.

Płatnik – ofiara spoofingu – uprawniony będzie do otrzymania od dostawcy usług płatniczych zwrotu pełnej kwoty nieuczciwej transakcji płatniczej, pod warunkiem zgłoszenia tego oszustwa organom ścigania, za wyjątkiem sytuacji, w których płatnik dopuścił się „nieuczciwego działania” lub „rażącego niedbalstwa”.

Unijne regulacje w zakresie cyberbezpieczeństwa – DORA

W Unii Europejskiej kwestie związane z bezpieczeństwem cyfrowym w sektorze finansowym reguluje m.in. tzw. rozporządzenie DORA (Digital Operational Resilience Act), które wchodzi w życie 17 stycznia 2025 r.

DORA, która obok rozporządzeń MICA i DLT, stanowi część pakietu regulacji finansów cyfrowych, ma na celu:

• wzmocnienie odporności cyfrowej instytucji finansowych przez wprowadzenie jednolitych zasad bezpieczeństwa sieci i systemów;
• zobowiązanie podmiotów do raportowania poważnych incydentów związanych z technologią informacyjną;
• zapewnienie odpowiedniego zarządzania ryzykiem związanym z zewnętrznymi dostawcami usług ICT;
• nałożenie obowiązku przeprowadzania regularnych testów operacyjnej odporności cyfrowej, w tym testów penetracyjnych.

Rozporządzenie obejmuje różnorodne podmioty, od banków i instytucji płatniczych po dostawców usług kryptowalutowych.

Rozporządzenie DORA przewiduje też w pewnym zakresie odmienne, uproszczone zasady, mające zastosowanie do niektórych podmiotów:

• tzw. uproszczone ramy zarządzania ryzykiem związanym z ICT;
• uproszczone zasady przewidziane w przypadku niektórych wymogów i obowiązków dla mikroprzedsiębiorców (mikroprzedsiębiorcą będzie podmiot, który to zatrudnia mniej niż 10 osób i której roczny obrót lub bilans roczny nie przekracza 2 mln EUR).

Podstawowe wymogi DORA

Aby skutecznie chronić rozwiązania płatnicze przed cyberzagrożeniami, organizacje powinny stosować szereg dobrych praktyk, w tym:

• zarządzania ryzykiem ICT;
• zgłaszania poważnych incydentów związanych z ICT właściwym organom oraz dobrowolnego informowania ich o znaczących cyberzagrożeniach;
• zgłaszania właściwym organom poważnych incydentów operacyjnych lub poważnych incydentów bezpieczeństwa związanych z płatnościami;
• testowania operacyjnej odporności cyfrowej;
• wymiany informacji i analiz w związku z cyberzagrożeniami i podatnościami w tym obszarze;
• środków na rzecz należytego zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT;
• wymogów co do umów zawartych między zewnętrznymi dostawcami usług ICT a podmiotami finansowymi;
• zasad wprowadzania nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT świadczącymi usługi na rzecz podmiotów finansowych;
• zasad współpracy między właściwymi organami oraz zasad nadzoru i egzekwowania przepisów przez właściwe organy w odniesieniu do wszystkich kwestii objętych rozporządzeniem.

Wnioski

W obliczu dynamicznego rozwoju technologii cyfrowych i wzrostu liczby zagrożeń cybernetycznych, instytucje finansowe muszą stale doskonalić swoje strategie zarządzania ryzykiem i bezpieczeństwem. Wprowadzenie regulacji takiej jak DORA jest krokiem w stronę zwiększenia odporności sektora finansowego na cyberzagrożenia. Jednakże kluczowym elementem skutecznej ochrony pozostaje ścisła współpraca pomiędzy instytucjami finansowymi, regulatorami oraz dostawcami technologii.

Cyberbezpieczeństwo to nie tylko technologia, ale także odpowiednie procedury i świadomość użytkowników oraz pracowników, które razem mogą skutecznie przeciwdziałać zagrożeniom.

Artykuł powstał na podstawie webinarium, które 21 października 2024 r. prowadziła radca prawny Monika Macura, na temat podstawowych zagrożeń, regulacji oraz dobrych praktyk w zakresie cyberbezpieczeństwa dla instytucji finansowych. Pełne nagranie webinarium „Cyberbezpieczeństwo w rozwiązaniach płatniczych” jest dostępne na kanale youtube.