W krajach nordyckich i bałtyckich rośnie niepokój przed rosyjską „wojną hybrydową” – serią działań o niewielkiej skali, lecz dużych skutkach, takich jak sabotaż czy cyberataki na infrastrukturę krytyczną. W ostatnich latach celem takich operacji coraz częściej stają się prywatne firmy, a w szczególności banki.
– System bankowy to dla Rosjan priorytetowy cel. Doskonale wiedzą, jak wielkie spustoszenie może spowodować jego sparaliżowanie – powiedział Marcus Murray.
Szwecja najbardziej uzależniona od płatności cyfrowych
Szwecja, gdzie blisko 90 proc. transakcji odbywa się elektronicznie, należy do najbardziej uzależnionych od płatności bezgotówkowych społeczeństw na świecie. To sprawia, że system finansowy kraju jest szczególnie wrażliwy na cyberzagrożenia.
Rząd w Sztokholmie zwiększa wydatki na obronność i apeluje do obywateli, by przygotowali się na ewentualne kryzysy. Jednocześnie bank centralny – Riksbank – współpracuje z sektorem komercyjnym, by wzmocnić odporność systemów płatniczych i zapewnić dostęp do gotówki nawet w razie awarii sieci.
– Szwedzi traktują możliwość płacenia kartą czy przez internet jako coś oczywistego. Ale jeśli system przestanie działać, skutki będą natychmiastowe i poważne – od braku dostępu do żywności po problemy z wypłatą pensji i świadczeń – powiedziała Maria Lundström, szefowa departamentu ds. gotowości w Riksbanku.
Bank centralny przeanalizował newralgiczne punkty krajowego systemu płatności i opracował plany działania na wypadek dwóch głównych scenariuszy: szeroko zakrojonych cyberataków oraz długotrwałych przerw w dostawach prądu i komunikacji danych.
Cyberataki połączone z dezinformacją podważają zaufanie do banków
Nie trzeba wyrafinowanych włamań, by wywołać chaos. W kwietniu cyfrowy system uwierzytelniania BankID – kluczowy element szwedzkich płatności – został sparaliżowany przez atak typu DDoS. Przez kilka godzin miliony mieszkańców nie mogły korzystać z aplikacji Swish, płacić rachunków ani logować się do banków.
– To jak sytuacja, gdy przed sklepem stoi tłum ludzi i nikt nie może wejść do środka, choć sam budynek jest nienaruszony – tłumaczyła Maria Lundström.
Ataki tego typu mogą być połączone z dezinformacją. Marcus Murray przypomniał wydarzenia z Ukrainy tuż przed rosyjską inwazją: klienci tamtejszych banków otrzymywali SMS-y o rzekomym zniknięciu ich oszczędności, a równocześnie cyberataki uniemożliwiały logowanie do kont. – To sposób na sianie strachu i podważenie zaufania, bez którego banki nie mogą istnieć – stwierdził ekspert.
Szwecja sprawdza, jak banki poradzą sobie z realnym atakiem
Europejskie instytucje finansowe regularnie przechodzą testy odporności typu TIBER, oparte na symulacjach realnych ataków. W Szwecji każdy taki test obejmuje współpracę między danym bankiem komercyjnym, Riksbankiem – czyli bankiem centralnym – oraz niezależnym zespołem ekspertów, często z firmy Truesec, który symuluje atak hakerski.
Największe banki są badane częściej, a ich wyniki z roku na rok się poprawiają. – Postęp jest ogromny, ale dopóki nie dojdzie do prawdziwego ataku, nie sposób w pełni zweryfikować gotowości – przyznał Marcus Murray.
W odpowiedzi na zalecenia władz banki wzmacniają struktury odpowiedzialne za bezpieczeństwo. Skandynawski gigant finansowy SEB utworzył w 2024 roku specjalną jednostkę obrony cywilnej, na czele której stanęła była urzędniczka Riksbanku Lisa Leirnes. – Naszym celem jest utrzymanie ciągłości usług nawet w warunkach wojny – podkreśliła ekspertka.
Riksbank buduje centralny system zarządzania kryzysowego
Podobne działania prowadzi Nordea, która – jak informuje jej przedstawicielka Sara Bengtsson – od lat uwzględnia scenariusze kryzysowe w planowaniu strategicznym i współpracuje z regulatorami, by zapewnić funkcjonowanie kluczowych usług finansowych „nawet w najbardziej ekstremalnych warunkach”.
Swedbank i Handelsbanken również deklarują prace nad wzmocnieniem gotowości operacyjnej. Riksbank popiera też projekt ustawy, który przyznałby mu formalną odpowiedzialność za zarządzanie kryzysami operacyjnymi w sektorze finansowym.
Kolejnym dużym przedsięwzięciem Riksbanku jest stworzenie systemu umożliwiającego realizację płatności kartą bez dostępu do internetu. Jak wyjaśniła Maria Lundström, chodzi o tzw. „łagodne przejście w tryb awaryjny” – czyli utrzymanie działania podstawowych usług mimo awarii sieci.
Nowy system ma pozwolić na lokalne przetwarzanie płatności nawet przez tydzień, ograniczając ich użycie do najpotrzebniejszych zakupów – w supermarketach, aptekach i na stacjach paliw.