W debacie "Cyber Wars - ataki ransomware na firmy i infrastrukturę krytyczną państw" wzięli udział praktycy, którzy na co dzień zajmują się obrona przed cyberatakami. Rozmowa była dobrą okazją, żeby zmierzyć się z niektórymi mitami dotyczącymi ransomware i działalności grup przestępczych.
Nie ma tygodnia, by gdzieś na świecie nie zdarzył się duży atak ransomware, którego skutkiem jest kradzież danych lub ich zaszyfrowanie połączone z żądaniem okupu. W Polsce o takich zdarzeniach jest raczej cicho. NASK podaje, że w 2024 r. doszło do 140 ataków ransomware. Maciej Jan Broniarz, ekspert w dziedzinie bezpieczeństwa ICT i wykładowca UW, twierdzi, że przytoczona liczba stanowi wierzchołek góry lodowej. Firmy nie raportują ataków w obawie o straty wizerunkowe. Osobną kwestia jest konieczność raportowania do UODO, gdy dojdzie do kradzieży danych osobowych.
Rzekomy sukces rosyjskich służb
Według „Microsoft Digital Defense Report 2025” Polska zajmuje trzecie miejsce w Europie pod względem liczby cyberataków sponsorowanych przez obce państwa. Robert Grabowski, szef CERT Orange Polska, zwrócił uwagę, że choć zagrożenie jest duże, to narracja o skutecznych atakach bywa przesadzona. Wiele rzekomych sukcesów hakerów to celowa dezinformacja. Taką taktykę stosuje np. prorosyjska grupa NoName057.
– Ogłasza ona sukces - polski serwis „leży”. Tymczasem on po prostu odciął ruch z zagranicy, bo 95 proc. jego klientów jest w Polsce. Serwis działa, firma się obroniła, a hakerzy trąbią o zwycięstwie – tłumaczył Robert Grabowski.
Szef CERT Orange przestrzegał przedsiębiorców przed zaniedbaniami w zakresie cyberbezpieczeństwa, ustawiającymi firmę na pozycji „nisko wiszącego owocu”. Zautomatyzowane skanery przestępców nie wybierają ofiar ze względu na branżę ani rodzaj prowadzonej działalności, lecz szukają w systemach informatycznych podatności na atak. Kto nie zadba o bezpieczeństwo, łatwo może stać się ofiarą ransomware.
Specjalizacja wroga i wnioski z Ukrainy
Uczestnicy debaty zgodnie podkreślali, że jak zmienił się cyfrowy świat, tak zmieniła się przestępczość. Marcin Kuhiwczak, szef sekcji analiz cyberzagrożeń w PKO BP, wyjaśnił, że grupy przestępcze są bardzo dobrze zorganizowane, działają według ścisłego podziału ról i zadań. Powstał też cały czarny rynek usług i rozwiązań, które można kupić w modelu ransomware-as-a-service.
– Dzisiejsi przestępcy to nie są hakerzy schowani w piwnicach. Za atakami stoją najbardziej zaawansowane grupy specjalistów z dostępem do nowoczesnej infrastruktury – wyjaśnił ekspert PKO BP.
O poziomie profesjonalizacji przestępców świadczą przykłady ostatnich ataków, m.in. na firmę Jaguar Land Rover czy globalnego dostawcę narzędzi cyberbezpieczeństwa F5.
Bartosz Zbyszewski, dyrektor ds. ryzyka i bezpieczeństwa IT w PZU, przypomniał o lekcji płynącej z ataku malware NotPetya na Ukrainę w 2017 r., który sparaliżował dużą część gospodarki, dotykając m.in. spółki grupy PZU działające na tamtym rynku.
– Sytuacja była apokaliptyczna. Nie działały bankomaty, stacje paliw, kasy w sklepach. To było doświadczenie frontowe, celem ataku było niszczenie, a nie okup – wspominał Bartosz Zbyszewski.
Koszt odtworzenia zniszczonej infrastruktury w Ukrainie szacowano na 10 mld USD. Atak przypisywany jest rosyjskim służbom specjalnym.
Bartosz Zbyszewski zwrócił uwagę, że wśród narzędzi chroniących przed skutkami cyberataku są specjalne ubezpieczenia – w Polsce produkt mało popularny wśród przedsiębiorców, jak zresztą generalnie polisy ubezpieczeniowe. Zupełnie inaczej jest w krajach zachodnich.
Dylemat okupu: decyzja biznesowa, nie technologiczna
Żadna polisa nie ochroni przed kosztami okupu. Według raportu "Cyberbezpieczeństwo w polskich firmach – 2024" 74 proc. polskich firm doświadczyło cyberataku. 8 na 10 badanych deklarowało gotowość zapłaty okupu w przypadku ataku ransomware.
Kwestia: płacić czy nie, budzi kontrowersje, ale czasem nie ma innego wyboru. Jak skomentował Maciej Jan Broniarz: choć płacenie to finansowanie reżimów (np. Putina) i „rakiet spadających na Kijów”, to w zderzeniu z widmem bankructwa, dylemat wygląda inaczej.
– Tak naprawdę zapłacenie okupu jest decyzją w stu procentach biznesową, dlatego bezpieczeństwo powinno się z tym pogodzić. Po prostu ktoś odpowiada za biznes, ktoś za bezpieczeństwo, a ktoś za logistykę - wskazał Robert Grabowski, szef CERT Orange Polska.
