Przedstawione wydarzenia dowodzą, że w pewnych okolicznościach niektóre cyberataki mogą krótkotrwale zakłócić funkcjonowanie pojedynczych instytucji finansowych. Od wie-lu lat banki borykają się z problemem przestępczości komputerowej o podłożu finansowym i mają pewne doświadczenie w odpierania cyberataków w różnej formie38. Mimo to przypa-dek The Cyber Warriors of Izz al-Din al-Kassam z 2012 roku świadczy, że nawet jeśli ata-kujący zawczasu wskaże obiekt i termin agresji, zaatakowane instytucje mogą mieć trudno-ści z odparciem pewnego rodzaju cyberataków39.
Sprawne działanie sektora finansowego opiera się na zaufaniu publicznym. Klienci ban-ków muszą wierzyć, że ich poufne informacje finansowe oraz posiadane aktywa są bezpiecz-ne i w każdej chwili dostępbezpiecz-ne40. Wśród badaczy pojawiają się więc głosy, że utrata dostępu do usług finansowych, nagłe rozprzestrzenienie się fałszywych informacji biznesowych czy chociażby czasowa blokada komunikacji mogą spowodować duże straty w globalnej ekono-mii oraz mieć poważne konsekwencje w związku z zachwianą wiarą obywateli w stabilność i bezpieczeństwo sektora finansowego41. Firmy europejskie uważają naruszenia bezpieczeń-stwa komputerowego za główną przyczynę spadku cen ich akcji giełdowych, natomiast firmy amerykańskie umiejscawiają to zagrożenie na drugim miejscu42.
Z wnikliwej analizy negatywnych cyberzdarzeń w systemie finansowym wynika jed-nak, że raczej trudno jest wskazać realne straty pieniężne i materialne dla gospodarki w sytuacji czasowego zakłócenia działania pewnych usług finansowych43. Na podstawie najnowszych badań można stwierdzić, że pokonanie zabezpieczeń informatycznych
in-36 Ibidem, s. 1.
37 Cyber-Terrorism Activities. Report No. 4, „ICT Cyber-Desk – Review” [online], 21.10.2013, www.ict.org.il, s. 13;
M.J. Schwartz, Bank Attackers Restart Operation Ababil DDoS Disruptions, „Information Week” [online], 3.06.2013, www.informationweek.com [dostęp: 21.11.2016].
38 A. Samson, Cyber Warriors…, op.cit.
39 E. Messmer, DDoS attacks against banks raise question: Is this cyberwar?. „Computer World” [online], 24 October, 2012, www.computerworld.com.au [dostęp: 21.11.2016].
40 Cyber-Desk Review: Report #2…, op.cit., s. 13.
41 Cyberterrorism and other…, op.cit., s. 11; G. Butters, Expect terrorist attacks on Global Financial System. „The Register”
[online], 7th October 2003, www.theregister.co.uk [dostęp: 21.11.2016]; G. Jarvis, Comprehensive Survey of Cyber-Terrorism, Student Survey Papers, prof. Rai Jain, CSE571S: Network Security (Fall 2011), www.cse.wustl.edu [dostęp: 21.11.2016];
M. Gercke: Understanding Cybercrime…, op.cit., s. 36.
42 M.P. Rajakumar, V. Shanthi, Security Breach in Trading System – Countermeasure using IPtraceback. „American Journal of Applied Sciences” 2014 Vol. 11, Issue 3, s. 493.
43 J.A. Lewis, Assessing the Risk of Cyber Terrorism, Cyber War and Other Cyber Threats, Center for Strategic and International Studies [online], December 2002, http://csis.org [dostęp: 21.11.2016], s. 10.
stytucji finansowej i podanie tego faktu do publicznej wiadomości powoduje spadek cen akcji firmy od 1% do 5% w ciągu kilku dni następujących po ataku44, natomiast zmniej-szona sprzedaż i spadek dochodów firmy może trwać ponad rok45. W skali globalnej nie można jednak mówić o jakimś znacznym uszczerbku dla państwowej ekonomii. W przy-padku robaka komputerowego Slammer, który zakłócił pracę tysięcy bankomatów Bank of America, zaatakowana firma doznała uszczerbku na reputacji oraz utraciła część zy-sków (bezpośrednio z powodu niefunkcjonujących bankomatów, pośrednio – z powodu odejścia rozczarowanych klientów oraz spadku ceny swoich akcji), jednakże konkuren-cyjne banki zostały w pewien sposób nagrodzone za posiadanie skuteczniejszej ochrony teleinformatycznej. Część operacji finansowych, które byłyby przeprowadzone na unie-ruchomionych bankomatach, została bowiem zrealizowana za pomocą urządzeń konku-rencji46.
W wymiarze oddziaływania politycznego przydatność tego typu akcji dla ugrupowań ter-rorystycznych należy uznać za ograniczoną. W przypadku takich cyberataków potencjał wy-woływania strachu i przerażenia w społeczeństwie nie jest zbyt wielki: nie generują one ofiar w ludziach, a klienci rynku finansowego są przyzwyczajeni do chwilowych przerw w świad-czeniu usług. Podobnie jak w przypadku sektora komunikacyjnego (zwłaszcza Internetu), beneficjentem usług dostarczanych przez sektor usług finansowych jest cały świat, więc teo-retyczny cyberatak paraliżujący ten sektor infrastruktury byłby negatywnie postrzegany przez liczne grupy społeczne.
Nie wydaje się, żeby konsumenci, którzy stali się ofiarami cyberataków, nagle przestali korzystać z globalnego sektora usług finansowych, co groziłoby jego paraliżem. Zarówno powszechne przeświadczenie, jak i badania empiryczne wskazują47, że klienci banków do-tkniętych cyberatakami po prostu przelewają swoje pieniądze do innego banku, który w ich przeświadczeniu zapewni odpowiednią ochronę. W taki sposób dyslokuje środki już po pierw-szym negatywnym incydencie większość konsumentów48. Z pewnością jednak nie są taki-mi cyberatakataki-mi przerażeni ani nie rezygnują z usług sektora finansowego. Nie dziwi fakt, że instytucje finansowe przeznaczają znaczną część własnych zasobów na nieustanne
pod-44 M.P. Rajakumar, V. Shanthi: Security Breach…, op.cit.
45 M. Ko, C. Dorantes: The impact of information security breaches on financial performance of the breached firms: An empirical investigation. „Journal of Information Technology Management” 2006 Vol. XVII No. 2, s. 13–22; H. Zafar et al., Financial Impact of Information Security Breaches on Breached Firms and their Non-Breached Competitors. „Information Resources Management Journal” January 2012 Vol. 25 Issue. 1, s. 21–37.
46 J.A. Lewis: Cybersecurity and Critical…, op.cit., s. 7, 8. J.A. Lewis dowodzi, że w przypadku innych firm finansowych występuje podobna zależność jak w przypadku Bank of America. Jeżeli jeden z usługodawców zostaje odłączony od sieci, a jego konkurenci działają nadal, ostateczny konsument najprawdopodobniej skorzysta z usług tych drugich.
W takim przypadku ofiara cyberataku utraciła część wpływów, jednak globalny poziom konsumpcji i przepływ środków nie ulegnie większej zmianie. Część klientów może także przeczekać utrudnienia i dokonać planowanych zakupów lub transakcji w późniejszym terminie. I w takiej sytuacji nie powinno dojść do poważniejszych wahań ogólnego bilansu narodowego.
47 Vide: sondaż z 2012 r. przeprowadzony wśród małych i średnich firm. 2012 Business Banking Trust Study: Executive Summary. Guardian Analytics & Pokemon Institute [online], May 2012, http://info.guardiananalytics.com [dostęp:
21.11.2016].
48 Cyber-Desk Review: Report #2…, op.cit., s. 13.
Cyberterroryzm...
noszenie poziomu swojego bezpieczeństwa teleinformatycznego. Jest to fundament ich biz-nesowej aktywności49.
Do zakłóceń bankowości online przeznaczonej dla indywidualnych konsumentów do-chodziło już wielokrotnie, jednak nie wpływają one na pracę globalnych systemów rozli-czeniowych klasy RTGS50, za pomocą których są dokonywane wszelkie transakcje finan-sowe między bankami w czasie rzeczywistym. Powszechne cyberataki na serwery bankowe i ich oficjalne strony internetowe mają raczej charakter przejściowych niedogod-ności i bolesnych strat wizerunkowych. Nawet jeśli prowadzą do krótkotrwałego braku do-stępu klientów banku do swoich kont (a więc zakłóceń na linii konsument–bank), to nie unieruchamiają elektronicznych systemów rozliczeń międzybankowych. A współcześnie to właśnie na systemach RTGS opiera się globalny przepływ wirtualnego pieniądza oraz funkcjonowanie całego sektora finansowego. Systemy RTGS mają wiele zróżnicowanych mechanizmów bezpieczeństwa, a ich ewentualne przezwyciężenie jest skomplikowane i czasochłonne51. Do tej pory nie odnotowano żadnego poważniejszego cyberzdarzenia, które zakłóciłoby stabilność funkcjonowania systemów RTGS w jakimkolwiek państwie na świecie52.
Podsumowując, prawdopodobieństwo niszczącego cyberataku terrorystycznego na sys-tem finansowy jako całości jest marginalne. Sektor finansowy najprawdopodobniej pozo-stanie jednym z najczęściej atakowanych elementów gospodarki, jednak będą to z reguły typowe przestępstwa komputerowe o podłożu finansowym lub o charakterze propagando-wym53. W ocenie badaczki Marty Lyons, ambitniejsze cyberataki ukierunkowane na
za-49 Financial services on Al Qaeda…, op.cit.; Cyber-Desk Review: Report #2…, op.cit., s. 13; M.P. Rajakumar, V. Shanthi:
Security Breach…, op.cit., s. 429.
50 RTGS (Real Time Gross Settlement) – rozrachunek brutto w czasie rzeczywistym. Transfer środków pieniężnych między rachunkami bankowymi realizowany niezwłocznie, w ciągu całego dnia operacyjnego. Mianem RTGS określa się również klasę systemów rozliczeniowych umożliwiających dokonywanie takich transakcji. Uczestnikami systemów RTGS są centrale banków oraz instytucje rozliczeniowe na całym świecie. Wymiana danych o płatnościach między uczestnikami systemu odbywa się z reguły za pośrednictwem szyfrowanej i podpisanej poczty elektronicznej. W ramach RTGS działają mniejsze, państwowe systemy rozliczeniowe do rozliczeń wysokokwotowych, np. w Polsce są to systemy ELIXIR i SORBNET, w Wielkiej Brytanii system CHAPS, a w Stanach Zjednoczonych Ameryki Północnej – Fedwire. P. Lotlikar, Myths of Online RTGS and NEFT Transfers. Banking Simplified [online], September 6, 2009, http://simplybank.blogspot.com [dostęp: 21.11.2016];
SORBNET, http://pl.wikipedia.org/wiki/SORBNET, [dostęp: 21 21.11.2016]; Wikipedia: Rozrachunek brutto w czasie rzeczywistym. http://pl.wikipedia.org/wiki/Rozrachunek_ brutto_w_czasie_ rzeczywistym [dostęp: 21.11.2016].
51 P. Lotlikar: Myths of Online…, op.cit.
52 Zarejestrowano drobne kradzieże i oszustwa finansowe dokonane przez systemy RTGS, zwłaszcza w państwach o słabiej zabezpieczonych systemach rozliczeniowych (Indie, państwa afrykańskie). Ich liczba i skala są nieporównywalnie mniejsze niż skala typowych przestępstw komputerowych skierowanych przeciwko powszechnej bankowości internetowej oraz ich klientom. Vide: przykłady kradzieży w systemach RTGS: H. Joshi: Businessman’s account hacked, Rs 18.5 lakh lost. „The Times of India”, [online], Oct 11, 2013, http://articles.timesofindia.indiatimes.com [dostęp: 21.11.2016];
V. Narayan: Mumbai bank hacked, Rs 2.4 crore siphoned off in 3 hours. „The Times of India” [online], May 18, 2013, http://articles.timesofindia. indiatimes.com [dostęp: 21.11.2016].
53 Np. powszechne cyberataki na oficjalne strony internetowe banków lub giełd papierów własnościowych umiejscowionych w strefach lokalnych konfliktów (Izrael–Bliski Wschód, Korea Południowa–Korea Północna, Pakistan–Indie itp.) mają swoje znaczenie propagandowe i wizerunkowe, jednak nie prowadzą do niebezpiecznych zakłóceń w funkcjonowaniu systemu finansowego. M. Castillo, Israeli group hacks Saudi stock exchange sites. CBS News [online], January 17, 2012, www. bsnews.com [dostęp: 21.11.2016].
kłócenie działania systemu finansowego mają znikomą szansę powodzenia. Robert Albertyn, ekspert z firmy specjalizującej się w kompleksowej obsłudze bankowości inwestycyjnej, za nieprawdopodobne uznaje wyrządzenie, na przykład przez Al-Kaidę, poważniejszych szkód drogą zwykłego atakowania bankowych stron internetowych: Nie twierdzę, że nale-ży ignorować sygnały o planowanych atakach i nie podejmować pewnych środków ostroż-ności, jednak nie potrafię pojąć, w jaki sposób terroryści mieliby dokonać większych spu-stoszeń [w systemie finansowym – przyp. R.H.]54.
Jakkolwiek nieprawdopodobne wydaje się sparaliżowanie sektora jako całości, to lokal-ne ataki na pojedyncze instytucje mogą zakończyć się sukcesem. Obecnie nie stwierdzo-no, żeby takie incydenty komputerowe miały jakieś poważne konsekwencje, jednakże se-ria powtarzanych, udanych cyberataków na mniejszą skalę może zachwiać publicznym zaufaniem w bezpieczeństwo sektora finansowego i zmusić inwestorów do krótkotrwałe-go wycofania swoich funduszy55.
54 Financial services on Al Qaeda…, op.cit.
55 M. Lyons, Threat Assessment…, op.cit., s. 34.
Cyberterroryzm...
n