Ile kosztuje godzina przestoju bankowości elektronicznej?

Średnio 100 000-500 000 USD na godzinę, wliczając utracone transakcje, kary regulacyjne, odszkodowania klientów i koszty obsługi awaryjnej.

Czy ataki DDoS na banki są karalne?

Tak. W Polsce art. 268a i 269a Kodeksu Karnego przewidują kary do 8 lat pozbawienia wolności. Na poziomie UE stosuje się Dyrektywę o atakach na systemy informatyczne.

Jak DORA odnosi się do ataków DDoS?

DORA wymaga testowania odporności operacyjnej, w tym zdolności do odpierania ataków DDoS. Instytucje muszą mieć plany ciągłości działania i mechanizmy failover.

Czy CDN wystarczy do ochrony przed DDoS?

CDN pomaga przy atakach wolumetrycznych, ale nie chroni przed atakami aplikacyjnymi (Layer 7). Potrzebna jest wielowarstwowa ochrona: CDN + WAF + rate limiting + SOC.

Ataki DDoS na bankowość elektroniczną

Dlaczego bankowość elektroniczna jest celem ataków DDoS

Bankowość elektroniczna to krytyczna usługa, z której korzystają miliony klientów 24/7. Atak DDoS paraliżujący systemy bankowe natychmiast generuje straty finansowe, skargi klientów i zainteresowanie regulatorów. Przestępcy wykorzystują ataki DDoS jako narzędzie wymuszenia okupu (RDDoS), odwrócenia uwagi od włamania lub realizacji celów geopolitycznych.

W 2025 roku sektor finansowy był drugim najczęściej atakowanym sektorem pod względem ataków DDoS. Średni czas trwania ataku na instytucję finansową wzrósł do 4,2 godziny, a szczytowa przepustowość przekroczyła 1 Tbps.

Rodzaje ataków DDoS celujących w banki

Ataki wolumetryczne (Layer 3/4)

Zalewanie infrastruktury sieciowej banku ogromną ilością ruchu — UDP flood, SYN flood, amplification attacks. Celem jest wyczerpanie przepustowości łącza i zasobów firewalla.

Ataki aplikacyjne (Layer 7)

Celowanie w konkretne funkcje bankowości online: logowanie, przelewy, sprawdzanie salda. Ataki HTTP flood i Slowloris generują pozornie legitymy ruch, trudny do odfiltrowania bez zaawansowanej analizy.

Ataki na API bankowe

Exploitowanie endpointów API Open Banking i mobilnych aplikacji bankowych. Rate limiting i uwierzytelnianie API są krytyczne do obrony.

Carpet bombing

Rozproszony atak na wiele adresów IP banku jednocześnie, utrudniający detekcję i filtrowanie. Każdy adres otrzymuje ruch poniżej progu detekcji, ale suma paraliżuje infrastrukturę.

Koszty przestojów bankowości elektronicznej

Utracone transakcje: Każda godzina niedostępności to setki tysięcy niezrealizowanych przelewów, płatności kartowych i operacji na rachunkach.

Kary regulacyjne: DORA i KNF wymagają zapewnienia ciągłości działania. Powtarzające się przestoje mogą skutkować sankcjami i nakazami naprawczymi.

Odszkodowania: Klienci korporacyjni z SLA mogą dochodzić odszkodowań za niedotrzymanie umowy o dostępność usług.

Koszty reputacyjne: Media natychmiast informują o niedostępności bankowości online, co podważa zaufanie klientów i przekłada się na odpływ depozytów.

Wielowarstwowa ochrona przed DDoS

Warstwa 1: Ochrona na brzegu sieci

Współpraca z dostawcą usług anty-DDoS (scrubbing center) zdolnym absorbować ataki >1 Tbps. Automatyczne przekierowanie ruchu podczas ataku.

Warstwa 2: WAF i rate limiting

Web Application Firewall z regułami specyficznymi dla bankowości: ochrona formularzy logowania, API transakcyjnych, procesów uwierzytelniania. Rate limiting na poziomie sesji i IP.

Warstwa 3: Architektura odporna na ataki

Redundancja geograficzna, CDN dla zasobów statycznych, autoskalowanie infrastruktury chmurowej, separacja systemów krytycznych od publicznych interfejsów.

Warstwa 4: Monitoring i SOC

SOC as a Service z monitoringiem ruchu sieciowego w czasie rzeczywistym. Automatyczne wykrywanie anomalii, eskalacja i uruchamianie procedur mitygacji. Korelacja alertów DDoS z innymi wskaźnikami ataku.

Plan reakcji na atak DDoS

Detekcja (< 2 min) — automatyczne wykrycie anomalii w ruchu sieciowym przez systemy monitoringu
Klasyfikacja (< 5 min) — identyfikacja typu ataku i wektora, ocena wpływu na usługi
Mitygacja (< 15 min) — aktywacja ochrony: przekierowanie do scrubbing center, filtrowanie ruchu, blokowanie wektorów
Komunikacja — powiadomienie klientów, regulatorów (zgodnie z DORA), zarządu i zespołów IT
Eskalacja — jeśli mitygacja nieskuteczna: przełączenie na infrastrukturę zapasową, aktywacja BCP
Post-mortem — analiza ataku, aktualizacja reguł filtrowania, raport dla KNF i audytorów

Wymagania DORA dotyczące odporności na DDoS

DORA wymaga od instytucji finansowych regularnego testowania odporności operacyjnej, w tym zdolności do odpierania ataków DDoS. Obowiązkowe elementy: scenariusze testowe DDoS, plany ciągłości działania, mechanizmy przełączania na infrastrukturę zapasową i raporty z testów.

Testy penetracyjne obejmujące symulację ataków DDoS pozwalają ocenić skuteczność ochrony i zgodność z wymaganiami regulatorów. Audyt bezpieczeństwa identyfikuje luki w architekturze anty-DDoS.

Cyberbezpieczeństwo w Twojej branży

Dowiedz się więcej o cyberbezpieczeństwie w Twojej branży:

Cyberbezpieczeństwo dla branży: Finanse i bankowość

Ataki DDoS na bankowość elektroniczną: Jak chronić usługi finansowe