Największym zagrożeniem często okazuje się sam pracownik – Iwona Prószyńska (NASK) o cyberbezpieczeństwie w firmach

Zacznijmy od podstawowego pytania. Czy w ogóle możliwe jest pełne zabezpieczenie firmy przed atakami hakerskimi?

W dzisiejszych czasach mówienie o stuprocentowym bezpieczeństwie byłoby nadużyciem. Możemy oczywiście wdrożyć skuteczne zabezpieczenia, aktualizować systemy, szkolić pracowników, ale nigdy nie będziemy mieć absolutnej gwarancji, że nie dojdzie do ataku. Największym zagrożeniem często okazuje się sam człowiek – pracownik, który nieświadomie wejdzie na stronę przygotowaną przez oszustów czy poda cyberprzestępcom dostęp do firmowych zasobów.

Dlatego pytanie nie brzmi „czy” firma stanie się celem cyberataku, ale „kiedy” to się wydarzy i jakie będą jego skutki.

Zastanawia mnie, dlaczego – mimo tak dużego postępu technologicznego – cyberprzestępcy wydają się być zawsze o krok przed tymi, którzy tworzą nowe technologie w dobrej wierze. Dlaczego nie jesteśmy w stanie przewidzieć zagrożeń i zbudować systemów całkowicie odpornych na ataki?

W rzeczywistości to nie jest tak, że cyberprzestępcy zawsze nas wyprzedzają. To bardziej ciągła walka, w której obie strony starają się zyskać przewagę. My, specjaliści ds. cyberbezpieczeństwa, często jesteśmy o krok przed nimi, ale zawsze jest ryzyko, że nowe technologie i aplikacje będą miały pewne podatności, które mogą zostać wykorzystane.

Nawet największe firmy technologiczne regularnie wypuszczają aktualizacje z poprawkami bezpieczeństwa – mimo że ich systemy są testowane na najwyższym poziomie. To pokazuje, że nie ma systemu, który byłby w 100% odporny. Właśnie dlatego tak ważne jest, aby użytkownicy regularnie aktualizowali swoje oprogramowanie – zarówno na komputerach firmowych, jak i w smartfonach. Przestępcy natychmiast wykorzystują nowo odkryte luki, dlatego nie warto zwlekać z instalacją aktualizacji.

Ostatnio sporo mówi się o możliwościach sztucznej inteligencji, np. technologii Eleven Labs, która potrafi wiernie naśladować głosy ludzi. Okazało się, że przestępcy mogą bez większego problemu podszywać się pod kogokolwiek. Dlaczego nie jesteśmy w stanie już na etapie projektowania takich technologii wdrażać zabezpieczeń, które uniemożliwiałyby ich złe wykorzystanie?

Musimy pamiętać, że sztuczna inteligencja to narzędzie, z którego korzystają zarówno cyberprzestępcy, jak i specjaliści ds. bezpieczeństwa. AI pomaga nam monitorować zagrożenia, analizować wzorce ataków i reagować na nie szybciej.

Każda nowa technologia niesie za sobą zarówno korzyści, jak i zagrożenia. Kiedy pojawiły się smartfony, cyberprzestępcy zaczęli wykorzystywać SMS-y phishingowe do oszukiwania użytkowników. Dziś sztuczna inteligencja pozwala im tworzyć realistyczne deepfake’i, ale jednocześnie dostarcza nam narzędzi do ich wykrywania.

Najważniejsza jest edukacja społeczeństwa. Ludzie muszą wiedzieć, że to, co widzą lub słyszą w internecie, może być zmanipulowane. Im większa świadomość użytkowników, tym mniejsze ryzyko, że dadzą się nabrać na fałszywe treści.

A może powinniśmy bardziej edukować twórców technologii, zamiast skupiać się na użytkownikach końcowych? Może warto od początku projektować systemy z ograniczeniami, które minimalizują ryzyko nadużyć?

To ciekawe podejście, ale trudno byłoby przekonać firmy technologiczne do nakładania na siebie takich ograniczeń. W świecie biznesu kluczowe jest tempo rozwoju i innowacyjność. Niestety, często to dopiero późniejsze incydenty wymuszają wdrażanie dodatkowych zabezpieczeń. Przykładem mogą być media społecznościowe, które stały się areną dla fake newsów i oszustw. Mimo to platformy nadal nie wprowadzają wystarczających środków, aby skutecznie walczyć z dezinformacją.

Dlatego edukacja użytkowników jest równie ważna, co nacisk na firmy, aby wprowadzały lepsze rozwiązania bezpieczeństwa. Im bardziej świadomi będą odbiorcy technologii, tym trudniej będzie ich oszukać.

Wróćmy do kwestii praktycznych. Jakie kroki powinny podjąć firmy, aby zminimalizować ryzyko ataków?

Oto kilka podstawowych zasad:

1. Regularne aktualizacje – nie tylko systemów operacyjnych, ale także oprogramowania firmowego. Każda luka może stać się furtką dla hakerów.
2. Szkolenia dla pracowników – to oni często są najsłabszym ogniwem. Powinni umieć rozpoznawać phishing i inne techniki manipulacji.
3. Dwuetapowa weryfikacja (MFA) – dodatkowa warstwa zabezpieczeń chroni przed przejęciem kont.
4. Backupy danych – regularne kopie zapasowe pomagają w przypadku ataków ransomware.
5. Monitorowanie ruchu sieciowego – systemy SIEM i inne narzędzia do analizy logów mogą wykryć nietypowe aktywności.
6. Ochrona przed deepfake’ami i podszywaniem się – edukowanie pracowników w zakresie rozpoznawania takich materiałów.

Jaki jest najczęstszy cel ataków hakerskich na firmy?

Cyberprzestępcy polują na dane i informacje, ponieważ można je łatwo spieniężyć lub wykorzystać do dalszych ataków. Często ich motywacją jest również szybki zysk finansowy. Jednym z najbardziej destrukcyjnych ataków jest ransomware – cyberprzestępcy szyfrują infrastrukturę firmy i żądają okupu, najczęściej w kryptowalutach, w zamian za jej odszyfrowanie. Choć statystycznie ataki ransomware nie stanowią większości incydentów, to ich skutki bywają najbardziej paraliżujące dla działalności firmy.

A gdyby przyszedł do Pani właściciel firmy i poprosił o przygotowanie dla niego krótkiego poradnika cyberbezpieczeństwa, to jakie kluczowe zasady zawarłaby Pani w takim tekście?

To bardzo dobre pytanie. Oto pięć najważniejszych zasad cyberbezpieczeństwa dla firm:

1. Dwuetapowa weryfikacja (MFA) – każdy dostęp do zasobów firmowych powinien wymagać podwójnego uwierzytelnienia, zwłaszcza przy pracy zdalnej. To skuteczna bariera przeciwko przejęciu konta.
2. Kopie zapasowe – backupy danych powinny być przechowywane w odizolowanej infrastrukturze i regularnie testowane. Zbyt często kopie zapasowe są przechowywane w tych samych miejscach, co produkcyjne dane, co w razie ataku ransomware prowadzi do ich zaszyfrowania.
3. Aktualizacje systemów i oprogramowania – niezaktualizowane systemy to otwarte drzwi dla hakerów. Szczególną uwagę należy zwrócić na aplikacje dostępne z internetu oraz urządzenia pracowników.
4. Silne hasła i ich unikalność – hasła powinny być długie i różne dla każdego systemu. Warto korzystać z menedżerów haseł i stosować MFA jako dodatkowe zabezpieczenie.
5. Edukacja pracowników – to oni są najsłabszym ogniwem w firmie. Muszą wiedzieć, jak rozpoznawać phishing i reagować na incydenty. Każdy powinien być świadomy, że nawet jedno kliknięcie w fałszywy link może otworzyć drzwi cyberprzestępcom.

Jakie szkolenia powinni przejść pracownicy, by podnieść poziom cyberświadomości w firmie?

Kluczowe obszary edukacji to:

1. Tworzenie i zarządzanie hasłami – pracownicy powinni wiedzieć, że najważniejsza jest długość hasła, a nie liczba znaków specjalnych. Mit o konieczności comiesięcznej zmiany haseł powinien zostać obalony – hasło należy zmieniać tylko w przypadku podejrzenia wycieku.
2. Ataki socjotechniczne (phishing, BEC) – większość ataków opiera się na manipulacji psychologicznej. Pracownicy powinni wiedzieć, jak cyberprzestępcy wykorzystują presję czasu czy autorytet do wyłudzenia danych.
3. Bezpieczne korzystanie z urządzeń firmowych – pracownicy muszą wiedzieć, że aktualizacje, odpowiednie konfiguracje urządzeń i dbałość o prywatność to podstawowe elementy bezpieczeństwa.
4. Zgłaszanie incydentów – kluczowe jest wypracowanie kultury zgłaszania podejrzanych zdarzeń. Lepiej zgłosić incydent niż próbować ukryć błąd, który może kosztować firmę miliony.

A jakie są najczęstsze błędy popełniane przez firmy w zakresie cyberbezpieczeństwa?

Dwa największe grzechy to:

1. Bagatelizowanie zagrożeń – wiele firm myśli: „to nas nie dotyczy”. Małe i średnie przedsiębiorstwa uważają, że nie są atrakcyjnym celem dla hakerów, co jest błędem. Cyberprzestępcy często atakują właśnie mniejsze firmy, które mają słabsze zabezpieczenia.
2. Brak edukacji pracowników – firma może mieć najlepsze systemy zabezpieczeń, ale jeśli pracownicy nie będą świadomi zagrożeń, to i tak dojdzie do incydentu. Brak szkoleń z phishingu, BEC czy bezpiecznego logowania to ogromna luka w obronie organizacji.

Jaka jest rola NASK w podnoszeniu poziomu cyberbezpieczeństwa polskich firm?

CERT Polska, działający w ramach NASK, pełni funkcję krajowego zespołu reagowania na incydenty. Wspieramy firmy w kilku kluczowych obszarach:

1. Obsługa incydentów – firmom, które padły ofiarą ataków możemy zaoferować pewne wsparcie merytoryczne.
2. Ostrzeżenia o zagrożeniach – regularnie publikujemy informacje o aktywnych kampaniach cyberprzestępców w mediach społecznościowych CERT Polska oraz w aplikacji mObywatel.
3. Narzędzia do monitorowania zagrożeń – udostępniamy platformę moje.cert.pl, gdzie firmy mogą:

• • zamówić skanowanie swoich domen pod kątem podatności,
  • sprawdzić konfigurację firmowej poczty, by uniknąć podszywania się pod markę,
  • otrzymywać powiadomienia o potencjalnych wyciekach danych związanych z ich firmą.

Dodatkowo rozwijamy Partnerstwo dla Cyberbezpieczeństwa – program zrzeszający ponad 100 firm i organizacji, które wymieniają się wiedzą o zagrożeniach i wspólnie podnoszą poziom bezpieczeństwa.