Tylko w ciągu ostatniego roku dwukrotnie zwiększyła się liczba ataków hakerskich na polskie banki i inne instytucje finansowe. Zaledwie kilka dni temu przeprowadzono próbę sparaliżowania internetu w USA, a na całym świecie w każdej sekundzie 18 osób pada ofiarą cyberataku.
To, że ktoś z nas będzie jedną z tych ofiar jest bardziej prawdopodobne niż to, że padnie ofiarą pobicia czy innego tradycyjnego przestępstwa. Nic dziwnego, dziś na świecie więcej osób ma telefony komórkowe niż szczoteczki do zębów.
Zaledwie kilka dni temu w Stanach Zjednoczonych miał miejsce największy atak hakerski w historii. Przestępcy wykorzystali sprzęt zwany "internetem rzeczy", a więc kamery czy lodówki podłączone do sieci, żeby zrobić z nich botnet, czyli maszyny-zombie. Lodówki? To brzmi niegroźnie, ale jeśli było ich 1,5 mln, wystarczyło, żeby zaszkodzić i zablokować serwery.
W konsekwencji przestały działać takie serwisy jak Amazon, Netflix, Twitter, ale również finansowy PayPal. Zdaniem ekspertów, ktoś testuje, jak zupełnie wyłączyć internet na całym świecie, sparaliżować go. To byłaby katastrofa. Dlaczego więc w Polsce nie odbiło się to szerokim echem?
Bo tym razem Polscy konsumenci nie odczuli skutków. Ale następnym razem może być inaczej. I pewnie będzie, bo w Polsce cyberprzestępstwa również mnożą się w zastraszającym tempie.
Dwa razy więcej ataków na banki
Jeszcze w 2015 roku liczba banków i innych instytucji finansowych, w tym firm pożyczkowych i ubezpieczycieli, które padły ofiarą ataku hakerskiego albo przynajmniej próby przeprowadzenia takiego ataku, wynosiła 19 proc. Od tamtej pory, tylko w ciągu jednego roku odsetek ten wzrósł do 37 proc., a więc niemal dwukrotnie – wynika z najnowszego badania foirmy doradczej EY i Konferencji Przedsiębiorstw Finansowych w Polsce.
Skimming oraz inne techniki wyłudzeń związane z kartami kredytowymi to kolejne 34 proc. Nadużycia związane z przejęciem rachunku bankowego lub dostępu do niego – tyle samo.
Jedynym pocieszeniem jest fakt, że skimming, który jest co trzecim przestępstwem wykrytym przez instytucje finansowe, nie powoduje utraty wielkich kwot. Jak wynika z danych Europejskiego Banku Centralnego, Polska jest czwartym w kolejności krajem o najniższym stosunku sumy wyłudzeń do całkowitej wartości transakcji dokonywanych przy użyciu kart. Lepszym wynikiem mogą się pochwalić tylko Rumunia, Litwa i Węgry.
Ile banki i inne instytucje finansowe tracą na różnego rodzaju przestępstwach i nadużyciach? Z danych EY wynika, że łączne straty poniesione w ciągu ostatnich 12 miesięcy wynoszą do 500 tys. zł w przypadku 60 proc. badanych. Ale w ponad 31 proc. przypadków przekraczają 1 mln zł.
Nie wiadomo jednak, jaka część to efekt cyberataków, bowiem w kwotach tych zawierają się również wyłudzenia z użyciem skradzionych lub fałszywych dokumentów. W gruncie rzeczy to one wciąż są największym problemem.
Zorganizowane grupy przestępcze rekrutują słupy
Aż 74 proc. instytucji finansowych spotkało się w ostatnim roku z próbą wyłudzenia przy wykorzystaniu skradzionych lub fałszywych dokumentów. A skala wciąż rośnie. W ubiegłym roku odsetek był mniejszy i wynosił 63 proc. Należy przy tym pamiętać, że dokumenty wcale nie musiały nam zostać wyjęte z kieszeni. Jeśli nie pilnujemy swoich danych w świecie cyfrowym, mogą one posłużyć do sfabrykowania fałszywego dowodu osobistego.
Często są to działania świetnie zorganizowane z wykorzystaniem podstawionych osób, tzw. słupów. "Przygotowanie i selekcja kandydatów na słupów coraz częściej przyjmuje formę zorganizowaną i jest na dużą skalę prowadzona przez zorganizowane grupy przestępcze." - czytamy w najnowszym raporcie EY.
Pojawiło się już w branży nawet pojęcie tzw. słupów kwalifikowanych. To osoby, które mają już na koncie zarzuty popełnienia innych przestępstw. "Powodem, dla którego zorganizowane grupy przestępcze inwestują w tego rodzaju kandydatów jest to, że osoby te najczęściej odmawiają współpracy z organami ścigania. Słupy z przestępczą przeszłością, jako doświadczone w kontaktach ze śledczymi, mogą także łatwiej wprowadzać w błąd organy prowadzące postępowanie."
Polacy nie doceniają ryzyka
Tak jak wciąż niewystarczająco chronimy swoje dane osobowe, tak najwyraźniej nie doceniamy też zagrożeń płynących ze strony cyberprzestępstw. Mimo że w ciągu ostatniego roku liczba ataków hakerskich na instytucje finansowe w Polsce się podwoiła, tylko 30 proc. badanych firm uznało, że ryzyko ze strony cyberprzestepców wzrosło. Na świecie dostrzega to ponad 60 proc. badanych.
- W Wielkiej Brytanii 27 proc. dorosłych osób padło już ofiarą kradzieży tożsamości – wskazuje Marcin Nadolny, SAS Institute, firmy zajmującej się zarządzaniem ryzykiem cyberprzestępczością i ochroną systemów w firmach. W Polsce ciągle jeszcze nie jest to tak powszechne, być może dlatego nie potrafimy docenić tego zagrożenia.
Prokuratura sobie nie radzi?
Niestety nie docenia go wystarczająco prokuratura. Mamy w Polsce problem przede wszystkim ze zbyt niskim wymiarem kary, kiedy usiłowano popełnić tego typu przestępstwo, ale udało się mu zapobiec.
– Kara za cyberprzestepstwo wynosi w Polsce od sześciu miesięcy do ośmiu lat więzienia, podczas gdy za zwykłą kradzież z włamaniem do dziesięciu lat – wskazuje komisarz Aneta Trojanowska, p.o. Naczelnika Wydziału do walki z Cyberprzestępczością Biura Kryminalnego Komendy Głównej Policji.
Do tego przewlekłe postępowania, łagodne wyroki i częste umarzanie postępowań z powodu niewykrycia sprawcy.
- Od 2009 roku organizujemy regularne spotkania z policją i ta współpraca już się nieźle układa, ale ciągle pracujemy nad poprawą działania z prokuraturą. Zderzamy się z nią, słysząc o niezależności prokuratora. W efekcie niestety często prokuratorzy umarzają postępowania, kiedy nastąpi jedynie próba wyłudzenia, ale udało się jej zapobiec – mówił podczas Kongresu Antyfraudowego Dariusz Polarczyk, przewodniczący Rady Bezpieczeństwa Banków przy Związku Banków Polskich oraz dyrektor Departamentu Bezpieczeństwa w Alior Banku.