W ciągu ostatnich lat systematycznie rośnie zagrożenie atakami cybernetycznymi w systemie finansowym. Banki centralne jako kluczowe ogniwo w infrastrukturze krytycznej systemu finansowego są szczególnie „łakomym kąskiem” dla hakerów. W jaki sposób hakerzy najczęściej atakują banki centralne i czy są one odporne na ataki?

Wzrastająca częstotliwość ataków cybernetycznych wynika m.in. z coraz większej digitalizacji usług finansowych (np. korzystania z tzw. „chmury”), popularyzacji pracy zdalnej, pandemii i konfliktów w Ukrainie i na Bliskim Wschodzie (których nieodzowną częścią jest wojna także w cyberprzestrzeni).

Dlaczego hakerzy atakują banki centralne?

Zgodnie z raportem „ENISA Threat Landscape 2024”, najczęściej atakowane sektory gospodarki to administracja publiczna, transport i sektor bankowy/finansowy. Zatem nie tylko instytucje finansowe, ale i banki centralne są przedmiotem ataku. Wynika to z wielu powodów.

Banki centralne odgrywają kluczową rolę w gospodarce. Są „łakomym kąskiem” dla hakerów, ponieważ są istotnym elementem krytycznej infrastruktury finansowej. To wyjątkowe instytucje publiczne, a ich funkcji w większości nie da się zastąpić. Mają monopol na emisję pieniądza, odpowiadają za politykę pieniężną, stabilność finansową (nadzór mikro- i makroostrożnościowy), nadzór nad systemami płatności i rozrachunku papierów wartościowych, przeprowadzają operacje walutowe i zarządzają oficjalnymi rezerwami, a także wspierają zarządzanie finansami państwa. Banki centralne są tzw. centralnym węzłem w sieci połączeń z bankami komercyjnymi. Dysponują także ogromnymi ilościami poufnych danych finansowych, co czyni je atrakcyjnymi celami dla hakerów. Mogą oni obrać za cel określone obszary działalności banku centralnego, a samo istotne zakłócenie codziennych operacji banku centralnego (i ich publiczne ujawnienie) może być przez hakerów postrzegane jako miara sukcesu ataku.

Jakie potencjalnie skutki miałby skuteczny atak?

Wstępnej oceny wpływu cyberataków na banki centralne można dokonać przez pryzmat triady bezpieczeństwa informacji CIA:

• poufność (ujawnienie poufnych dokumentów w wyniku naruszenia danych, np. wewnętrznych szczegółów dotyczących przyszłej polityki banku centralnego lub wyciek dokumentów technicznych za pośrednictwem chmury),
• integralność (niewłaściwe wykorzystanie wewnętrznych systemów w przypadku oszustwa zewnętrznego),
• dostępność (tymczasowa niedostępność usługi z powodu jej zakłócenia, jak np. w przypadku systemu płatności międzybankowych).

Naruszenie dostępności i zaburzenie działania systemów banku centralnego, bądź wyciek poufnych danych mogą potencjalnie prowadzić nie tylko do strat finansowych, poważnej erozji zaufania publicznego, ale także – w skrajnym przypadku – nawet do destabilizacji systemu finansowego. Niewątpliwie na to liczą hakerzy, kierujący się zarówno przesłankami politycznymi, jak i chęcią zysku.

Materializacja ryzyka cybernetycznego w systemie finansowym może przerodzić się w kryzys płynnościowy, gdy pierwotnie zaatakowana instytucja nie będzie w stanie zaabsorbować szoku i w efekcie rozprzestrzeni się on na szeroką skalę, stając się źródłem efektu zarażania innych instytucji, zagrażając stabilności finansowej (ESRB, 2020; ESRB, 2023). Z ankiety przeprowadzonej przez BIS w 2022 r. wśród banków centralnych wynika, że szacują one straty z tytułu ataku o skutkach systemowych na instytucję finansową maksymalnie aż na 5 proc. PKB lub mniej. Potencjalnie największe zaburzenie stabilności finansowej może wystąpić w przypadku ataku na infrastrukturę rynku finansowego, tzn. systemy płatności i rozliczeń nadzorowane (a i częściowo prowadzone) przez bank centralny. W przypadku przedłużającej się niedostępności systemów rozliczeniowych, znacząco negatywnie wpłynęłoby to na ryzyko płynności banków komercyjnych, zważywszy na istotne współpowiązania między nimi. Istnieją badania, które (nawet z wykorzystaniem danych transakcyjnych) symulują takie zdarzenia (np. Eisenbach et al., 2022; Koo et al., 2022; Kosse i Lu, 2022; Heijmans i Wendt, 2023). Ich zasadniczą wadą jest jednak zakładanie możliwej upadłości jedynie uczestnika(ków) systemu, a nie systemu jako całości. Eisenbach et al. (2025) ocenił, że skutki udanego ataku cybernetycznego na system płatności byłyby zwielokrotnione w okresie podwyższonej zmienności na rynkach finansowych oraz w sytuacji, gdyby przywrócenie dostępności systemu trwałoby długo.

A jak w praktyce hakerzy atakowali banki centralne?

Warto popatrzeć jak w praktyce przebiegały ataki hakerskie na banki centralne. Niestety same banki centralne bardzo rzadko publicznie o tym informują. Szczątkowe informacje o charakterystyce i wektorze danego ataku można znaleźć głównie na blogach internetowych czy publicznie dostępnych bazach instytucji badawczych. Połączenie informacji tam zawartych pozwoliło na zidentyfikowanie 81 przypadków publicznie ujawnionych ataków hakerskich na 60 banków centralnych na świecie w latach 2010–2024. Wartość ta jest najprawdopodobniej istotnie niedoszacowana ze względu na znaczne ograniczenia w dostępności kompletnych danych na temat ataków. Wyraźnie jednak widać, że na przestrzeni lat liczba ataków wykazuje tendencję rosnącą (wykres poniższy), w szczególności po wybuchu wojny w Ukrainie w 2022 r.

Często banki centralnie nie były atakowane same w sobie, lecz padały ofiarą zmasowanych ataków na większość instytucji finansowych danego kraju, głównie przeprowadzanych przez haktywistów, którzy w ten sposób chcieli osiągnąć swoje cele polityczne i wyrazić niezadowolenie z działań władz publicznych. Najczęściej stosowanym przez nich narzędziem były ataki typu DDoS (Distributed Denial of Service – red.), kierowane na witryny internetowe i serwery banków centralnych poprzez zakłócanie działania usług sieciowych. Tego typu ataki są relatywnie mniej skomplikowane i łatwo je przeprowadzić, choć nie przynoszą istotnych strat. Warto przypomnieć, że ataki DDoS przeprowadzono na takie banki, jak Riksbank, Bank Izraela, Bank Norwegii, Bank Belgii, Bank Czech, Bank Słowenii i Bank Rosji. Najbardziej znanym przykładem jest kumulacja ataków DDoS w ramach niesławnej Operation Icarus w pierwszej połowie 2016 r., gdy grupa Anonymous (kolektyw haktywistów) przeprowadziła masową kampanię ataków DDoS na banki komercyjne i centralne na całym świecie, oskarżając największe z nich o korupcję, finansowanie terroryzmu i z zamiarem zaburzenia globalnego system finansowego, co szczęśliwie nie nastąpiło. To właśnie ataki DDoS najczęściej występowały (około połowa przypadków) w analizowanej próbie i były wycelowane w ograniczenie dostępności głównej strony internetowej banku centralnego, co powodowało zazwyczaj jedynie kilkugodzinną przerwą w jej działaniu.

Mimo to, banki centralne padały też ofiarą cyberprzestępców motywowanych finansowo (wykres poniżej), których wachlarz narzędzi jest już o wiele bardziej zróżnicowany i niebezpieczny (niż ataki DDoS haktywistów). Często ataki cyberprzestępców doprowadzały do wycieku danych, miały charakter ransomware (wyłudzenie okupu po zaszyfrowaniu wykradzionych danych z systemów wewnętrznych) oraz służyły uzyskaniu nieautoryzowanego dostępu do poufnych informacji (np. poprzez malware) i wytransferowanie środków pieniężnych na konta hakerów. Czasem ukradzione dokumenty i informacje były upubliczniane, aby „uderzyć” w wizerunek i wiarygodność banku centralnego (np. ataki na Bank Azerbejdżanu i Bank Rosji). Banki centralne były atakowane przez różne grupy hakerów i cyberprzestępców, te same, które atakują jednocześnie banki komercyjne i inne instytucje finansowe. W prawie trzech czwartych przypadków bank centralny był przez daną grupę zaatakowany tylko raz. Najczęściej na przestrzeni lat atakowano Bank Rosji oraz banki Rezerwy Federalnej.

Na szczęście w prawie wszystkich analizowanych przypadkach atak hakerski na bank centralny nie przyniósł negatywnych skutków systemowych i nie zaburzył istotnie jego codziennego funkcjonowania. Do wyjątków można jednak zaliczyć skuteczne wyłudzenie prawie 1 mld dol. z Banku Bangladeszu, wyprowadzenie 13 mln dol. z Banku Ekwadoru, wyciek ponad 2TB wrażliwych danych z Banku Gambii i 14GB danych z Banku Indonezji. Z powodu braku pełnych informacji co do działań interwencyjnych podejmowanych przez banki centralne dotknięte atakami, bardzo trudno jednak szacować rodzaj i wysokość kosztów jakie zostały ostatecznie poniesione na skutek ataku.

Jeśli chodzi o komunikację zewnętrzną, to jedynie w około jednej trzeciej przypadków banki centralne informowały o tym, że padły ofiarą ataku poprzez komunikat prasowy na swojej stronie, a w jednej czwartej przypadków rzecznik prasowy banku przekazywał dodatkowe, najczęściej uspokajające wyjaśnienia w prasie. Powściągliwość w zakresie komunikacji zewnętrznej może być częściowo uzasadniona chęcią nieujawniania szczegółowych słabości w infrastrukturze IT, które wykorzystali hakerzy oraz braku prawnego uregulowania ew. obowiązku publicznego raportowania w tym zakresie. Można jednak zaobserwować zależność, że banki centralne, które notują wysokie miejsca w rankingach przejrzystości i niezależności, przeciętnie częściej informowały o takich atakach.

Jak banki centralne mogą się bronić przed atakami?

Można wnioskować, że odporność banków centralnych na ataki cybernetyczne jest relatywnie wysoka. Potwierdzają to obliczenia Birindelli and Iannuzzi (2025), których oszacowania rankingu cyberbezpieczeństwa dla większości banków centralnych wskazują na średni lub wysoki poziom, co świadczy o ich skutecznym zarządzaniu tym ryzykiem. Szczególną uwagę banki centralne przywiązują do zapewnienia ciągłości działania i stabilności infrastruktury krytycznej (systemów płatności i rozrachunku papierów wartościowych) poprzez przestrzeganie najwyższych standardów i wytycznych publikowanych przez instytucje międzynarodowe (m.in. G7, FSB, BCBS, CPSS-IOSCO, BIS, EBC). Wyniki ankiety BIS sugerują zatem, że banki centralne istotnie zwiększyły swoje inwestycje w bezpieczeństwo cybernetyczne po 2020 r. Mimo to, wciąż jest dużo do zrobienia i banki centralne powinny m.in. nadal monitorować geopolityczne zagrożenia, współpracować ze sobą w zakresie wymiany informacji o incydentach cybernetycznych, regularnie skanować infrastrukturę pod kątem niewykrytych słabości i przeprowadzać testy penetracyjne (symulujące ataki hakerów), jak również cyklicznie szkolić swoich pracowników z zakresu cyberbezpieczeństwa.

Ataki cybernetyczne to globalne zagrożenie, a dynamiczny rozwój sztucznej inteligencji to tylko jeden z czynników, który będzie wpływał na spodziewaną rosnącą skalę, stopień skomplikowania i częstotliwość ataków w przyszłości (Global Cybersecurity Outlook 2025).

Paweł Smaga
Doradca w Departamencie Stabilności Finansowej NBP, profesor Szkoły Głównej Handlowej w Warszawie
Autor wyraża własne opinie, a nie oficjalne stanowisko NBP.