Hakerzy atakują polskie banki i instytucje finansowe, Prof. Przemysław Skulski dla Radia Szczecin

Czy cyberprzestrzeń jest niebezpieczna, a my bezradni? Uniwersyteccy eksperci odpowiadają: banki są dobrze chronione, ale o skutkach ataków przesądzają nasze codzienne nawyki. 

Czy cyberprzestrzeń jest niebezpieczna 

To fundamentalne pytanie padło na antenie Radia Szczecin i dobrze ustawia całą rozmowę. Odpowiedź ekspertów jest jednocześnie uspokajająca i wymagająca. Ataków hakerskich jest więcej i są głośniejsze, ale sektor bankowy w Polsce ma wysokie standardy ochrony. Prawdziwym „wąskim gardłem” bywa człowiek i jego codzienne nawyki i decyzje. 

Bank bezpieczniejszy niż skarpeta  

Dr hab. Przemysław Skulski, Prof. Uniwersytetu Ekonomicznego we Wrocławiu przypomina, że żyjemy w rzeczywistości cyfrowej, w której łatwo zapominamy o elementarnych zasadach bezpieczeństwa. Gotówka ma sens awaryjny, lecz „dobry bank jest bezpieczniejszy na pewno”. To ważne w kontekście dyskusji o odchodzeniu od gotówki: odporność systemu to jedno, ale odporność naszych nawyków – drugie. 

Dr Rajba z Uniwersytetu Wrocławskiego dodaje perspektywę techniczną: banki działają pod ścisłymi regulacjami i inwestują dużo pieniędzy w bezpieczeństwo, dlatego bezpośrednia kradzież środków nie jest dla przestępców prosta. Częściej działają więc tam, gdzie mają szansę wyciągnąć użytkownika z rutyny: w phishingu, socjotechnice, na styku człowiek-urządzenie. Jak podkreśla: „To nie jest ktoś, kto ma przysłowiowy przycisk ‘kradnę’ – za atakami stoją zorganizowane grupy, duże przygotowanie i koszty.” 

Awarie a ataki: dlaczego z poziomu użytkownika to bywa nieodróżnialne 

Czy da się na pierwszy rzut oka odróżnić atak od awarii (jak w głośnych problemach z BLIKIEM)? W praktyce – nie. Dopiero analiza logów (historii działania systemu) pozwala z większym prawdopodobieństwem ustalić przyczynę. To żmudne i czasochłonne, dlatego jako użytkownicy powinniśmy raczej skupić się na procedurach: nie powtarzać błędnie zakończonej transakcji „na siłę”, poczekać na komunikaty operatora, a w razie wątpliwości monitorować konto i reagować. 

Ten sam mechanizm dotyczy bankomatów. Narracja „rozpoznaj nakładkę” brzmi rozsądnie, ale – jak tłumaczy ekspert – dobrze przygotowanego skimmingu zwyczajnie nie widać. Co wtedy? Minimalizować ryzyko: korzystać z wypłat zbliżeniowych lub BLIKA, wybierać bankomaty w placówkach, w miejscach monitorowanych, a jeśli trzeba użyć karty – zakrywać klawiaturę i trzymać limity transakcyjne na rozsądnym poziomie. 

Silne hasła, frazy hasłowe i 2FA 

Eksperci mocno akcentują higienę haseł. Największy grzech? Ponowne używanie tego samego hasła w wielu serwisach. Receptą jest menedżer haseł – nie tylko przechowuje, ale i generuje unikalne, silne hasła. A gdy musimy wymyślić je sami, lepsza od „karkołomnych” zlepków jest fraza hasłowa (kilka niepowiązanych słów, długość to siła). Zmieniać hasła? Wbrew starej „szkole” – nie wymieniamy ich cyklicznie bez powodu; zmiana jest uzasadniona po wycieku lub przy realnym podejrzeniu naruszenia. 

Drugą nogą ochrony jest uwierzytelnianie wieloskładnikowe (2FA). Kody SMS czy aplikacje to już standard, a „złotym standardem+” bywa fizyczny klucz U2F/FIDO – mniej wygodny, ale bardzo skuteczny przeciw przejęciom kont. Prof. Skulski zwraca też uwagę na rozsądny podział środków (konto bieżące ≠ oszczędnościowe) i limity transakcyjne:  na co dzień ich zauważamy, ale przy incydencie działają jak bezpiecznik, ograniczając skalę potencjalnej szkody. 

„Może być super wszystko pozabezpieczane, a jeżeli przestępca do nas zadzwoni, a my podamy kody i hasła – nic już nie pomoże.” 

— prof. Przemysław Skulski

Wojna hybrydowa i rachunek strat 

Skala zjawiska rośnie, także w kontekście wojny hybrydowej. Prof. Skulski przypomina, że koszty dla gospodarek są gigantyczne; to nie tylko problem bankowości, lecz całego ekosystemu przedsiębiorstw i obywateli. Dlatego potrzebujemy dwóch równoległych filarów: technologii (standardy, procedury, narzędzia) oraz zdrowego rozsądku (świadomość socjotechniki, czujność, konsekwencja w nawykach). 

Rekomendacje dla społeczeństwa i biznesu 

• Dla biznesu: budujcie polityki haseł oparte na frazach i menedżerach, wdrażajcie 2FA „wszędzie, gdzie się da”, prowadźcie szkolenia z socjotechniki i ćwiczenia reakcji (runbooki, playbooki incydentowe).  
• Dla szkół i uczelni: włączcie edukację cyberhigieny do programów podstawowych.  
• Dla administracji i instytucji: upraszczajcie język komunikatów, testujcie systemy alertów o transakcjach i wyciekach.  
• Dla nas wszystkich: nie klikajmy „z przyzwyczajenia”, nie „odsyłajmy” kodów i nie odpowiadajmy na presję czasu. 

Całego wywiadu posłuchasz na stronie Radia Szczecin: https://radioszczecin.pl/276,14696,hakerzy-atakuja-polskie-banki-i-instytucje-finan 

badania.uew.pl – bo w epoce informacyjnego zgiełku najbardziej potrzebne są kompetentne, spokojne głosy. 

Autor tekstu: Barbara Grzelczak