Cyberprzestępcy nie zasługują na drugie szanse - Wywiad z ekspertami CERT Polska

Rok 2024 okazał się rekordowy pod względem liczby cyberoszustw w Polsce. Jak skutecznie się przed nimi bronić, co robić w przypadku podejrzenia cyberprzestępstwa i jak reagować, gdy padniemy jego ofiarą, wyjaśniają eksperci CERT Polska – Iwona Prószyńska i Filip Marczewski. Zapraszamy!

 

Na początek pytanie, które prawdopodobnie zadaje sobie cześć naszych czytelników: czym zajmuje CERT Polska?

 

Iwona: CERT Polska to, najprościej mówiąc, zespół reagowania na incydenty w cyberprzestrzeni.  Jesteśmy jednym z trzech krajowych zespołów CSIRT, czyli Computer Security Incident Response Team. CSIRT GOV zajmuje się administracją centralą oraz infrastrukturą krytyczną m.in. ministerstwami. CSIRT MON odpowiada za sektor wojskowy. A CSIRT NASK, którego obowiązki wypełnia właśnie CERT Polska zajmuje się m.in szkołami, uczelniami, samorządami, spółkami komunalnymi i osobami fizycznymi.

 

Działamy w strukturach Instytutu Badawczego NASK i możemy pochwalić się wieloletnim doświadczeniem – jesteśmy najstarszym tego typu zespołem w Polsce, aktywnym od 1996 roku. Naszym zadaniem jest pomoc w sytuacjach zagrożeń, takich jak phishing, malware czy inne cyberprzestępstwa. Nasi analitycy pracują 24 godziny na dobę, a zgłoszenia cyberoszustw można wysłać SMSem na numer 8080, przez stronę incydent.cert.pl lub przez aplikację mObywatel.

 

Zostaliśmy zaatakowani przez cyberprzestępcę. Co powinniśmy zrobić?

 

Filip: To działa różnie, zależnie od sytuacji. Przede wszystkim trzeba wyjaśnić, jak hakerzy mogą zaatakować zwykłego użytkownika. Na przykład, wyobraźmy sobie, że dostaliśmy SMS-a albo e-maila, który wygląda, jakby był od naszego banku czy innego znanego serwisu. Klikamy w link, wchodzimy na stronę, podajemy dane logowania. Warto podkreślić jedną ważną rzecz – samo kliknięcie w link to jeszcze nie koniec świata, dane praktycznie nigdy nie wyciekają od razu. Problem zaczyna się  dopiero wtedy, gdy sami te dane podamy przestępcom.

 

A przestępcy są w tym naprawdę dobrzy. Potrafią tak napisać wiadomość, że człowiek od razu czuje presję, że musi działać, bo jeśli tego nie zrobi to będą groziły mu poważne konsekwencje, np. zablokowanie konta bankowego czy odłączenie prądu. Co zrobić, kiedy zorientowaliśmy się, że daliśmy się nabrać? Pierwsza rzecz – kontakt z bankiem. Trzeba natychmiast zablokować dostęp do konta, żeby przestępcy, którzy mają nasze dane, nie zdążyli zrobić przelewu i wyczyścić nam konta. Jeśli podaliśmy numer karty, koniecznie musimy ją zastrzec.

 

A co jeśli mamy tylko podejrzenie o cyberprzestępstwie? Jeśli link w wiadomości lub strona wydają się nam podejrzane, ale jeszcze nie podaliśmy swoich danych?

 

Filip: Najlepiej przesłać je do nas SMSem, a my go sprawdzimy. Jeśli strona w linku była już zgłoszona jako szkodliwa, otrzymasz automatyczną odpowiedź. To szybkie i wygodne. A jeśli chcesz dopytać i dowiedzieć się wiedzieć się więcej, napisz do nas e-mail. Nasi eksperci wtedy dokładnie sprawdzą, co to za wiadomość. Jeśli jest groźna, napiszą, że jest to rodzaj oszustwa i podpowiedzą, jak się zabezpieczyć. A jeśli jest to zwykły spam lub oferta reklamowa, napiszą, że nie ma się, czego bać.

 

Trochę inaczej wygląda sytuacja, gdy podejrzewamy, że zainstalowaliśmy szkodliwe oprogramowanie. Może to być jakiś program, który daje przestępcom kontrolę nad naszym komputerem. Co wtedy? Najczęściej zalecamy przywrócenie urządzenia do ustawień fabrycznych. Przedtem warto zrobić kopię zapasową najważniejszych danych – zdjęć, dokumentów. Dlaczego aż tak drastycznie? Bo nawet najlepsze antywirusy czy próby ręcznego czyszczenia nie dają gwarancji, że sprzęt będzie w pełni bezpieczny. Reset do ustawień fabrycznych to najpewniejsze rozwiązanie.

 

Czy często dostajecie zgłoszenia, które po analizie okazują się po prostu spamem lub reklamą?

 

Filip: Tak, często. Czasem takie wiadomości trafiają do użytkownika, bo ich e-mail został ujawniony w wycieku danych albo jest publicznie dostępny na stronie internetowej. Firmy z szarej strefy potrafią to wykorzystać, wysyłając spam. Lepiej zgłosić podejrzenie niż to zignorować. Dzięki temu użytkownik ma pewność, że nic mu nie grozi, a my możemy wykryć nowe zagrożenia. Jeśli trafimy na coś podejrzanego, co okazuje się faktycznym oszustwem, możemy ostrzec innych. Robimy to na naszych mediach społecznościowych, a od niedawna także przez aplikację mObywatel. W ramach usługi „Bezpiecznie w sieci” wysyłamy powiadomienia push. Warto korzystać z tej funkcji, bo powiadomienie są wysyłane zazwyczaj nie częściej niż raz w tygodniu, a ostrzegają o realnych zagrożeniach.

 

Iwona: Każde zgłoszenie może ochronić wiele osób przed próbami oszustwa. Dzięki takim zgłoszeniom możemy proaktywnie zablokować dostęp do stron, na które oszuści próbują skierować swoje ofiary, zanim ktokolwiek zdąży wpisać tam swoje dane.

W zeszłym roku udało nam się zablokować 75 milionów prób wejścia na strony z listy zidentyfikowanych zagrożeń. To 75 milionów sytuacji, w których ktoś mógłby stracić pieniądze, gdyby nie szybkie działanie – na przykład dzięki temu, że ktoś zgłosił nam podejrzanego SMS-a. Dlatego mocno stawiamy na działania proaktywne. Jeśli zgłosisz nam SMS, który okaże się próbą oszustwa, tworzymy z niego wzorzec oszukańczej wiadomości. Następnie ten wzorzec przekazujemy operatorom telekomunikacyjnym, którzy blokują wszystkie podobne SMS-y, zanim dotrą one do użytkowników końcowych. Dzięki temu realnie zmniejszamy skalę zagrożenia. W 2024 roku dzięki naszym wzorcom operatorzy zablokowali 1.4 miliona wiadomości SMS, które miały wyłudzać dane logowania lub środki finansowe.

 

Jak szybko odpowiadacie na zgłoszenie o podejrzeniu cyberprzestępstwa?

 

Iwona: Odpowiedź na zgłoszenie, szczególnie dotyczące SMS-ów z potencjalnie złośliwymi linkami, może nadejść bardzo szybko – często w ciągu minut, a nawet sekund, zwłaszcza jeśli dany link został już wcześniej zidentyfikowany jako niebezpieczny. W przypadku maili czas oczekiwania bywa nieco dłuższy, ale nadal pracujemy w systemie 24-godzinnym, dzięki czemu zgłoszenia są rozpatrywane na bieżąco.

 

Filip: Niektórzy mogą się obawiać, że wysyłając zgłoszenie, będą czekać na odpowiedź jak w urzędzie, czyli bardzo długo. To nieprawda – średni czas odpowiedzi to kilka godzin, choć są sprawy bardziej skomplikowane, które wymagają więcej czasu.

Oczywiście, zdarza się, że zgłaszający mają wysokie oczekiwania, które nie zawsze możemy spełnić, ponieważ nasze możliwości są ograniczone przez przepisy prawa. Nie mamy takich samych narzędzi jak organy ścigania. Mimo to, do każdej sprawy podchodzimy indywidualnie i staramy się pomóc w maksymalnym możliwym zakresie, zawsze działając w ramach wszystkich dostępnych środków, w tym właśnie współpracując z organami ścigania.

 

Jakie są najczęstsze ataki, które zgłaszają użytkownicy?

 

Iwona: Patrząc na nasze statystyki, możemy zobaczyć, jak wygląda skala zagrożeń, z którymi się mierzymy. W zeszłym roku odebraliśmy ponad 600 tysięcy zgłoszeń. Najczęściej spotykanym zagrożeniem są ataki phishingowe, czyli sytuacje, w których sami, pod wpływem manipulacji, podajemy przestępcom swoje dane. Scenariusze takich oszustw najczęściej zaczynać się od SMS-a, e-maila albo telefonu. Łączy je jedno – podszywanie się pod autorytet, taki jak bank, dostawca energii czy serwis streamingowy. Charakterystycznym elementem jest także presja czasu: „Zrób to teraz, bo inaczej stracisz dostęp do konta”. Przestępcy, często prosząc o drobną płatność, np. 50 groszy, prowadzą nas na strony internetowe, gdzie podajemy dane logowania do naszej poczty, mediów społecznościowych czy bankowości elektronicznej. . Na pierwszy rzut oka wydaje się to nieszkodliwe, ale w rzeczywistości w ten sposób ujawniamy dane logowania do konta bankowego. To otwiera im dostęp do wszystkich naszych pieniędzy. Z danych wynika, że w zeszłym roku około 80% zgłoszeń dotyczyło właśnie takich oszustw socjotechnicznych. Dlatego tak bardzo na to uczulamy.

 

Cyberprzestępcy nie potrzebują zaawansowanych technik, skoro proste metody nadal działają. Wykorzystują aktualne wydarzenia, aby uwiarygodnić swoje działania. Gdy trwa sezon grypowy, rozsyłają fałszywe e-maile z motywem e-recepty. W okresie rozliczeń podatkowych pojawiają się SMS-y dotyczące rzekomych zaległości podatkowych. Przed świętami, kiedy czekamy na paczki, podszywają się pod firmy kurierskie. Te schematy powtarzają się, ale nadal są skuteczne.

 

Gdy przestępcy uzyskają dostęp do naszych danych, wykorzystują je na różne sposoby. Na przykład, logując się do naszych mediów społecznościowych, wysyłają do naszych znajomych prośby o szybkie przelewy, powołując się na nagłą potrzebę. Bazują na emocjach – bliska osoba prosi o pomoc, więc wiele osób działa bez zastanowienia.  Oszuści potrafią przejąć setki takich kont dziennie, a nawet jeśli tylko kilka osób na każde z nich dokona wpłaty, mogą w ten sposób zarobić dziennie dziesiątki tysięcy złotych.

 

Phishing i oszustwa socjotechniczne to najczęstsze zagrożenia, ale w statystykach pojawiają się też ataki ransomware. Choć stanowią mniejszy procent zgłoszeń, są szczególnie dotkliwe. W takich przypadkach dane osobowe, czasem obejmujące tysiące lub dziesiątki tysięcy osób, trafiają do przestrzeni publicznej. Mogą to być PESELe, hasła czy inne poufne informacje. Nawet jeśli dbaliśmy o bezpieczeństwo i stosowaliśmy silne hasła, wyciek takich danych stawia nas w trudnej sytuacji.

 

Czy cyberprzestępcy wykorzystują AI w swoich działaniach?

 

Iwona: W kampaniach phishingowych część SMS-ów może być generowana przy pomocy narzędzi, takich jak chatboty. Jednak ostatecznie za każdym oszustwem stoi człowiek. Nowoczesne technologie przyspieszają i automatyzują działania, ale dla nas, analizujących incydenty, nie ma znaczenia, czy SMS został napisany przez bota czy człowieka. Najważniejsze są skutki oraz nasze działania – filtrowanie treści SMS-ów, wyszukiwanie linków prowadzących do stron phishingowych, a następnie blokowanie tych stron i wpisywanie ich na listy ostrzeżeń. Cyberprzestępcy na pewno używają tych narzędzi wykorzystujących AI, aby automatyzować swoje działania, ale my również sięgamy po te technologie, by usprawnić naszą pracę. To swego rodzaju wyścig – każda strona stara się doskonalić swoje metody.

 

Innym zagrożeniem są deepfake’i. W mediach społecznościowych coraz częściej widzimy materiały z udziałem znanych osób, celebrytów, sportowców, którzy rzekomo promują różne inwestycje, np. twierdząc, że w pół roku dzięki nim dorobili się domu w Hiszpanii. Na szczęście większość tych deepfake’ów jest nadal niedoskonała i można je rozpoznać jako generowane przez sztuczną inteligencję. Jednak technologia rozwija się tak szybko, że za jakiś czas te różnice mogą stać się niezauważalne.

 

Filip: Zdarzają się też bardziej spersonalizowane przypadki oszustw, gdzie po włamaniu na Facebooka przestępcy wykorzystują nagrane głosówki użytkowników, by stworzyć swego rodzaju deepfake głosowy i poprosić o pieniądze. Jednak takie przypadki są bardzo rzadkie. Wymagają więcej czasu i wysiłku na jedną ofiarę. Dopóki  proste metody są skuteczne, oszuści nie będą chętnie inwestować w bardziej skomplikowane techniki. Jednak gdy świadomość użytkowników wzrośnie i takie metody staną się mniej skuteczne, możemy spodziewać się, że zaczną intensywniej wykorzystywać zaawansowane narzędzia, takie jak deepfake’i.

 

Po czym możemy rozpoznać cyberoszustwo? Na co powinniśmy zwracać szczególną uwagę, gdy ostajemy maila lub SMSa?

 

Iwona:  Są trzy kluczowe elementy, które zazwyczaj pojawiają się w oszustwach internetowych: znany podmiot, socjotechnika oraz presja czasu lub groźba negatywnych konsekwencji. Jeżeli zauważamy, że wiadomość wywołuje u nas lęk, stres czy presję, to może być to sygnał, że mamy do czynienia z próbą oszustwa. Jeśli dodatkowo pojawia się konieczność podjęcia natychmiastowego działania, na przykład kliknięcia w link prowadzący na zewnętrzną stronę, to możemy być tego pewni. Dlatego tak ważne jest zwracanie uwagi na detale. Uważność i dokładne sprawdzenie szczegółów mogą nas ochronić przed bardzo przykrymi konsekwencjami.

Bardzo ważne jest sprawdzanie nadawcy wiadomości. Należy zwrócić uwagę, czy w adresie e-mail nie ma literówek, błędów czy nieprawidłowej domeny. Warto też dokładnie przyjrzeć się treści wiadomości, aby dostrzec nietypowy ton, błędy językowe lub inne nienaturalne elementy. Szczególnie ważne jest zwrócenie uwagi na adres strony, na którą zostaliśmy przekierowani. Pasek adresu w przeglądarce to kluczowy element, bo nawet jeśli strona wizualnie wygląda niemal identycznie jak na przykład strona banku, to właśnie adres strony może zdradzić, że jesteśmy na fałszywej witrynie. Uważność na te szczegóły zwiększy a nasze bezpieczeństwo w sieci i pomaga uniknąć przykrych konsekwencji.

 

Filip: W dzisiejszych czasach lampka ostrzegawcza powinna zapalać się za każdym razem, gdy uruchamiamy telefon czy komputer. Skala i różnorodność oszustw, które obserwujemy, są tak duże, że możemy się z nimi zetknąć praktycznie wszędzie – przez SMS-y, media społecznościowe czy inne kanały. Dlatego do wszystkiego powinniśmy podchodzić z chłodną głową. Często zauważamy powtarzający się schemat: ludzie dają się oszukać np. przelewają szybko pieniądze lub podają dane logowania i dopiero, gdy emocje opadną i mają chwilę, by się zastanowić, dociera do nich, że coś mogło być nie tak. W tym czasie stres związany z groźbą odłączenia prądu czy zablokowania konta bankowego zdąży już zniknać i nagle pojawia się refleksja, że to mogło być oszustwo.

Największy problem pojawia się w momencie, gdy działamy pod presją czasu, którą przestępcy celowo na nas wymuszają. Wtedy automatycznie wykonujemy ich polecenia nie analizując sytuacji. Dlatego tak ważne jest, żeby na spokojnie się zastanowić. Naprawdę, jutro nikt nam nie odłączy prądu ani nie zablokuje konta bez ostrzeżenia. Warto w takiej sytuacji skonsultować się z kimś – zapytać członka rodziny, znajomego albo zadzwonić do instytucji, która rzekomo wysłała taką wiadomość. Często wystarczy jeden telefon, by rozwiać wątpliwości. Bank czy firma powie, że nic takiego się nie dzieje, i problem zostaje rozwiązany. Co ważne, to nie jest już czasy, gdy na infolinii banku musieliśmy spędzać dwie godziny. Zazwyczaj wystarczy kilka minut, by dowiedzieć się, czy informacja jest prawdziwa czy fałszywa, a dzięki  temu możemy uniknąć podjęcia ryzykownych działań i nie narażać się na konsekwencje oszustwa.

 

A co, jeśli mimo wszystko zignorowaliśmy te ostrzeżenia i staliśmy się ofiarą cyberoszustwa? Czy istnieje realna szansa na odzyskanie utraconych pieniędzy?

 

Filip: Nie mamy pełnego wglądu w dane dotyczące odzyskiwania środków, ponieważ zazwyczaj zajmują się tym organy ścigania. To na ich etapie, na przykład po zatrzymaniu grupy przestępczej, może dojść do odzyskania części skradzionych pieniędzy.

Nasze działania w takich przypadkach są ograniczone, ponieważ nie mamy dostępu do szczegółowych danych, na przykład bezpośrednio od banków. Zdarza się jednak, że ofiary, które podały dane swojej karty, mogą skorzystać z mechanizmu chargebacku i odzyskać część pieniędzy.

 

Czy w Polsce zdarzają się oszustwa na skalę porównywalną z głośną sprawą z Francji, gdzie milionerka przelała ponad 800 tysięcy euro oszustów podszywającemu się pod Brada Pitta?

 

Filip: Zdecydowanie, takie przypadki zdarzają się również w Polsce. Widziałem wiele zgłoszeń tego rodzaju, a zakres finansowy, w którym oszuści potrafią działać, jest naprawdę duży. Zaczyna się często od niewielkiego przelewu, na przykład 2-3 tysiące złoty, rzekomo na pierwszy bilet lub inne pilne potrzeby. Z czasem, manipulując ofiarą, przestępcy sprawiają, że osoba ta zaczyna przesyłać coraz większe kwoty. Przeważnie nie budzi to podejrzeń, bo osoby oszukane nie zdają sobie sprawy, że to jest proces stopniowy. Gdyby ofiara na początku znajomości została poproszona o kilkaset tysięcy złotych, zapewne zareagowałaby inaczej. Oszuści jednak działają w sposób subtelny i stopniowy, co utrudnia ich rozpoznanie.

 

Często zdarza się, że ofiary zaczynają coś podejrzewać dopiero po przelaniu znacznych kwot, na przykład 100 tysięcy czy 200 tysięcy złotych, ale wciąż decydują się kontynuować przelewy. Czują się „zaangażowane” i boją się przerwać ten proces. Są przekonane, że już są zbyt głęboko w tej sytuacji. Bardzo często pojawia się wątek romantyczny – oszuści tworzą fikcyjną relację, w której ofiara chce wierzyć, że osoba, z którą rozmawia, rzeczywiście jej potrzebuje i chce się z nią spotkać. Dlatego przesyła pieniądze.

 

Iwona: To są bardzo trudne sprawy. Oprócz kradzieży pieniędzy, ofiary często doświadczają emocjonalnego rozczarowania, ponieważ na końcu zostają nie tylko okradzione, ale także zranione emocjonalnie. Tego typu oszustwa mogą trwać tygodniami lub miesiącami. Oszuści budują zaufanie i więź, która później jest bardzo trudna do zerwania. I to są bardzo trudne oszustwa, o których ciężko mówić, ponieważ wiążą się  nie tylko z utratą pieniędzy, ale również z poczuciem wstydu i utratą zaufania do ludzi oraz relacji budowanych w internecie.

 

Dlatego tak ważne jest prowadzenie działań profilaktycznych i budowanie zaufania do CERT Polska, aby osoby dotknięte takim oszustwem czuły, że mogą się do nas zwrócić. Ważne jest, by wiedziały, że nie oceniamy ich, lecz rozumiemy i jesteśmy gotowi pomóc.

Często bowiem wystarczyłoby, aby taka osoba wcześniej z kimś porozmawiała lub zasięgnęła porady, a uniknęłaby całej sytuacji. Gdyby wcześniej zwróciła się do kogoś bliskiego i powiedziała: „Słuchaj, jest taki ktoś, mówi, że muszę zapłacić za cło albo przesyłkę,” to osoba spoza tej sytuacji, niezwiązana emocjonalnie z całą relacją, mogłaby zareagować: „Hej, sprawdź to, zweryfikuj, na przykład wyszukaj zdjęcie w internecie.” Warto to robić, bo oszuści często kradną zdjęcia z innych profili lub banków zdjęć, a wyszukiwarka obrazów może pokazać, że ten właśnie „lekarz” czy „lekarka” z Syrii to ktoś zupełnie inny.

 

Według raportu KPMG „Barometr cyberbezpieczeństwa” aż 83% polskich firm zostało zaatakowanych przez cyberprzestępców w ostatnim roku (źródło: Raport KPMG „. Edycja 2025). Jakie firmy są najczęściej narażone na ataki?

 

Iwona: Wszystkie firmy są narażone na cyberataki. Dlatego, zamiast zastawiać się „czy” dojdzie do takiego ataku, powinniśmy raczej  zapytać "kiedy?".  Oczywiście, patrząc na to, co dzieje się w cyberprzestrzeni, skala zjawisk może być bardzo różna, podobnie jak ich konsekwencje.

Na przykład po rozpoczęciu wojny w Ukrainie polskie podmioty publiczne znalazły się na celowniku grup aktywistycznych powiązanych z Rosją. Te grupy szczególnie upodobały sobie ataki typu DDoS. Powodowały one, że strony internetowe instytucji, firm, czy spółek Skarbu Państwa były przez pewien czas niedostępne. Tego rodzaju ataki często przedstawiane są w mediach jako „działania rosyjskich haków, które sparaliżowały polski bank. Tymczasem rzeczywistość bywa mniej dramatyczna – dane klientów były bezpieczne, pieniądze klientów były bezpieczne, a problem ograniczał się do tego, że przez dwie minuty nie można było zalogować się na stronę. Owszem, jest to incydent i rodzaj ataku, ale jego konsekwencje i ocena będą zupełnie inne niż w przypadku poważniejszych zdarzeń.

 

Przykładem takiego poważnego ataku może być sytuacja, w której duża firma pada ofiarą ransomware. Wówczas dochodzi do zaszyfrowania zasobów, a brak backupów sprawia, że firma nie jest w stanie działać, dopóki nie przywróci swoich danych – co może być bardzo trudne, jeśli kopii zapasowych faktycznie nie posiada. Dodatkowo dochodzi kryzys wizerunkowy, gdy okazuje się, że dane klientów, w tym dane wrażliwe, zostały upublicznione przez grupę przestępczą. Tego rodzaju ataki mają zupełnie inny ciężar gatunkowy i długofalowe skutki.

To, że ataki się zdarzają i firmy muszą sobie z nimi radzić, jest faktem, ale kluczowe jest, aby za każdym razem zgłębiać szczegóły i rozumieć, o jakim incydencie mówimy.

 

To jakie działania może podjąć firma, aby skutecznie przygotować się na potencjalne cyberzagrożenia?

 

Iwona: Cyberbezpieczeństwo składa się z dwóch kluczowych elementów. Pierwszy to sfera techniczna – zadbanie o odpowiednie narzędzia i systemy, ich konfigurację oraz działanie w firmie. Drugi to troska o użytkownika końcowego, który często, świadomie lub nie, staje się źródłem problemów. Dlatego tak ważna jest edukacja pracowników, aby w sytuacji, kiedy mamy najlepsze systemy techniczne nie doszło do włamania poprzez socjotechnikę.

Nawet jeśli firma wdroży podstawowe środki ochrony, takie jak podwójne uwierzytelnianie przy dostępie do zasobów, to brak spójnych polityk bezpieczeństwa, np. dotyczących bezpiecznych haseł, może poważnie osłabić poziom zabezpieczeń. Przykładem może być sytuacja, w której hasła są krótkie (np. siedmioznakowe) i wymagają comiesięcznej zmiany – to nie zapewnia odpowiedniej ochrony przed wszechobecnymi cyberzagrożeniami. Takie podejście przynosi więcej szkody niż pożytku, bo często powoduje tworzenie haseł powtarzalnych np. Zawierających nazwę miesiąca.

W przypadku małych i średnich przedsiębiorstw dodatkowym wyzwaniem jest budżet na cyberbezpieczeństwo. Dlatego w kontekście MŚP kluczowe jest rozwijanie świadomości zagrożeń oraz budowanie cyberprofilaktyki. Małe i średnie firmy również są atrakcyjnym celem dla cyberprzestępców, a edukacja pracowników często może być najskuteczniejszą i najbardziej opłacalną linią obrony.

 

Filip: Często widzimy, że firmy mają ogólnodostępne adresy e-mail, np. ksiegowosc@nazwafirmy.pl, które są łatwo widoczne na ich stronach internetowych. Brak edukacji pracowników obsługujących takie ogólnodostępne maile stwarza pole do działań przestępców.

Dobrym przykładem jest sytuacja z 2019 roku, kiedy to m.in. LOT i Polska Grupa Zbrojeniowa padły ofiarą oszustw. Przestępcy podszyli się pod kontrahentów i wysłali wiadomość e-mail do księgowości, informując prawdopodobnie o rzekomej zmianie konta bankowego. W efekcie te firmy, działając w dobrej wierze, przelały kilka milionów złotych na konta oszustów. Nie był to zaawansowany technicznie atak – wystarczyła podstawowa socjotechnika oraz brak odpowiednich procedur i edukacji w firmie. W takich sytuacjach kluczowe są jasno określone procedury. Gdy księgowość otrzymuje informację o zmianie konta kontrahenta, powinna wiedzieć, jak postępować – np. jak zweryfikować tę prośbę telefonicznie lub za pomocą innego bezpiecznego kanału. To proste działania, które mogą zapobiec poważnym stratom.

 

Edukacja powinna obejmować nie tylko administratorów IT, ale wszystkich pracowników, w tym właścicieli firm czy prezesów. Bardzo często osoby na wyższych stanowiskach nie zdają sobie sprawy, jak łatwo przestępcy mogą wykorzystać ich publicznie dostępne informacje, np. te na LinkedInie. Przestępcy mogą przygotować ukierunkowane ataki, bazując na informacjach o tym, kto w firmie pełni jakie stanowisko. Szczególnie problematyczne jest publiczne udostępnianie pełnych struktur organizacyjnych wraz z danymi kontaktowymi, co często zdarza się np. na stronach urzędów gmin. Lista z nazwiskami i adresami e-mail (np. burmistrz, osoba od finansów, informatyk) to dla przestępców idealny materiał do podszywania się i prowadzenia ataków.

 

Dlatego pracownicy powinni być świadomi zagrożeń i wiedzieć, jak je rozpoznać oraz im przeciwdziałać. Nie tylko technologia chroni firmę, ale edukacja edukacja i świadomość całego zespołu.

 

Dziękuję za rozmowę.