7 godzin temu
Międzynarodowy Fundusz Walutowy w opublikowanym wczoraj (7 maja) raporcie alarmuje – zaawansowane modele AI radykalnie obniżają próg wejścia dla cyberprzestępców atakujących instytucje finansowe. Ryzyko ma charakter systemowy i może przerodzić się w szok makrofinansowy.
Fundusz nie mówi o odległej przyszłości. Jak wynika z danych MFW opublikowanych w osobnym working paper w marcu br., liczba cyberataków na sektor finansowy niemal podwoiła się w porównaniu z okresem sprzed pandemii COVID-19. Już w raporcie o stabilności finansowej z kwietnia 2024 r. MFW wskazywał, iż blisko jedna piąta wszystkich zgłoszonych incydentów cybernetycznych dotyczy firm finansowych, a skumulowane bezpośrednie straty sektora w ciągu dwóch dekad sięgnęły 12 mld dolarów.
Teraz obraz jest poważniejszy. Autorzy najnowszego wpisu – Tobias Adrian (dyrektor departamentu rynków pieniężnych i kapitałowych MFW), Tamas Gaidosch i Rangachary Ravikumar – argumentują, iż sztuczna inteligencja zmienia równanie ryzyka w sposób jakościowy, a nie tylko ilościowy.
Mythos – case study nowej ery zagrożeń
MFW przywołuje konkretny przypadek. Firma Anthropic ujawniła, iż jej nieopublikowany jeszcze model Claude Mythos Preview potrafi samodzielnie znajdować i wykorzystywać luki bezpieczeństwa we wszystkich głównych systemach operacyjnych i przeglądarkach internetowych – choćby gdy obsługuje go osoba bez specjalistycznej wiedzy. Chodzi o tzw. podatności zero-day, czyli nieznane wcześniej programistom słabości, które są szczególnie niebezpieczne, ponieważ nie istnieją na nie łatki.
Sprawa Mythos wywołała reakcję polityczną w USA. Doradca ekonomiczny Białego Domu Kevin Hassett potwierdził, iż realizowane są prace z udziałem całego aparatu rządowego i sektora prywatnego nad oceną bezpieczeństwa modelu. Dzień wcześniej administracja ogłosiła nowe zasady – rząd federalny uzyska dostęp do najnowszych modeli AI gigantów technologicznych jeszcze przed ich premierą rynkową.
Szefowa MFW Kristalina Georgieva już w połowie kwietnia ostrzegała, iż „globalny system finansowy nie jest gotowy na zagrożenia cybernetyczne wynikające z AI” i apelowała o międzynarodowe porozumienie w sprawie „barier ochronnych”.
Dlaczego to ryzyko systemowe
Fundusz podkreśla trzy cechy odróżniające nowe zagrożenia od tradycyjnych ataków hakerskich. Po pierwsze, modele AI mogą „dramatycznie obniżyć czas i koszt” identyfikacji oraz eksploatacji luk – atakujący działają szybciej niż proces łatania oprogramowania. Po drugie, sektor finansowy dzieli infrastrukturę cyfrową (chmura, systemy płatności, oprogramowanie) z energetyką, telekomunikacją i administracją publiczną – pojedynczy atak może rozlać się na wiele branż jednocześnie. Po trzecie, koncentracja rynku – poleganie na garstce dostawców chmury i platform – sprawia, iż jedna wykorzystana słabość uderza w wiele instytucji naraz.
Efekt domina może obejmować: utratę zaufania, zakłócenia płatności, napięcia płynnościowe i wymuszoną wyprzedaż aktywów. To – zdaniem MFW – podnosi ryzyko cybernetyczne do rangi potencjalnego szoku makrofinansowego.
Co proponuje MFW
Fundusz nie ogranicza się do diagnozy. Rekomendacje skupiają się na budowie odporności, nie tylko prewencji. najważniejsze postulaty: testy warunków skrajnych uwzględniające scenariusze cybernetyczne, analiza scenariuszowa na poziomie zarządów instytucji finansowych, ściślejsza kooperacja publiczno-prywatna w zakresie wymiany informacji o zagrożeniach oraz wzmocnienie koordynacji międzynarodowej – zwłaszcza wobec państw rozwijających się, które dysponują mniejszymi zasobami obronnymi.
Jednocześnie MFW widzi w AI część rozwiązania. Fundusz wskazuje na wykorzystanie sztucznej inteligencji po stronie obrońców – do wykrywania zagrożeń w czasie rzeczywistym, eliminowania podatności jeszcze na etapie rozwoju systemu i automatyzacji reakcji na incydenty. Warunkiem skuteczności jest jednak realne inwestowanie w integrację tych narzędzi, ich nadzór i utrzymanie ludzkiej kontroli.
Perspektywa inwestora
Dla uczestników rynku komunikat jest jednoznaczny: cyberbezpieczeństwo przestaje być kosztem operacyjnym IT, a staje się czynnikiem ryzyka systemowego, który powinien być wyceniany w premii za ryzyko instytucji finansowych. Rosnące zagrożenia mogą też pchnąć regulatorów do zaostrzenia wymagań – co przełoży się zarówno na koszty compliance banków i ubezpieczycieli, jak i na popyt na usługi firm z sektora cybersecurity.
Źródło: IMF Blog, IMF Working Paper
