Początek marca 2025 r. Polskie służby cyberbezpieczeństwa wykryły nieautoryzowany dostęp do infrastruktury krytycznej Polskiej Agencji Kosmicznej. Konsekwencje cyberataku są tajne. Minister cyfryzacji Krzysztof Gawkowski zapewniał jedynie, że rządowe systemy zostały zabezpieczone.
Zaledwie miesiąc wcześniej giełda kryptowalut Bybit padła ofiarą największego w historii ataku hakerskiego, w wyniku którego skradziono cyfrowe tokeny o łącznej wartości ponad 1,4 mld dol.! Hakerzy uzyskali dostęp do portfela giełdy, maskując operację jako standardową transakcję.
Na przykładzie dwóch pierwszych ataków można uznać, że zagrożeni są tylko najwięksi: infrastruktura rządowa, firmy obracające miliardami złotych. Nic bardziej mylnego.
Serwis gdprrisktracker.pl donosi o ataku, którego celem pod koniec 2024 r. stał się jeden z tysięcy sklepów internetowych: sklepbaterie.pl.
Przestępcy nie zdobyli zapewne milionów złotych, ale uzyskali dane osobowe ponad 200 tys. klientów. To numery telefonów, adresy, e-maile, hasła czy informacje bezcenne z punktu widzenia cyfrowych napastników. Dzięki nim mogą bowiem zarobić znacznie więcej, rujnując przy okazji w oczach stałych klientów wizerunek marki znanej w sieci od lat.
Każdy jest zagrożony
– Cyberwojna oraz wykorzystanie nowych technologii są przyczyną dużego wzrostu skali i złożoności cyberataków. To również istotne wyzwanie dla polskich firm borykających się z ograniczonymi zasobami wynikającymi z trudnego rynku pracy oraz spowolnienia gospodarczego – przyznaje Michał Kurek, partner, Advisory, szef Zespołu Cyberbezpieczeństwa w KPMG w Polsce i Europie Środkowo-Wschodniej.
Z raportu KPMG „Barometr cyberbezpieczeństwa” wynika, że skala cyberataków jest dziś porażająca, bo w aż 66 proc. firm w Polsce naruszono procedury związane z bezpieczeństwem!
Największym problemem jest człowiek
Cyfrowi przestępcy bardzo często, włamując się do systemów komputerowych polskich firm, nie używają żadnych wyrafinowanych praktyk. Oni po prostu na masową skalę szukają słabych punktów w infrastrukturze IT, a tym punktem – jak wiadomo – najczęściej jest pracownik, ale może być nim także właściciel firmy. Wystarczy kilka kliknięć i pobranie załącznika, który łudząco przypomina ten wysłany z firmowego adresu, by zainfekować całą firmową sieć.
W najlepszym wypadku stracimy dane zapisane na kilku komputerach. W najgorszym nie dostaniemy się już na żaden dysk, jeśli nie zapłacimy bandytom okupu liczonego w milionach złotych.
Tak działa phishing, czyli forma oszustwa internetowego, w której przestępcy podszywają się pod zaufane instytucje lub osoby, aby skłonić nieświadome ofiary do ujawnienia poufnych informacji. To loginy, hasła czy dane finansowe. To może być wspomniany e-mail, ale też SMS czy rozmowa telefoniczna, podczas której zostaniemy nakłonieni do wejścia np. na spreparowaną stronę internetową.
Skala przestępczości? Niewyobrażalna
Jeśli ktoś sądzi, że ataki hakerskie to zjawisko marginalne, powinien zajrzeć na stronę CERT Orange Polska. W ciągu zaledwie jednej doby w Polsce dochodzi do ponad 100 tys. ataków! Wbrew pozorom nie dzieje się to w nocy, ale w godzinach największej aktywności pracowników, a więc pomiędzy 10 a 11. To wtedy najłatwiej złapać kogoś, kto kliknie w fałszywy link, zainfekowany e-mail, stronę internetową łudząco przypominającą tę bankową.
Jak się chronić?
Przedsiębiorcy nie są bezbronni wobec zagrożeń, a CERT Orange Polska przygotował zestawienie 5 kluczowych porad, które pomogą uniknąć wyłudzeń.
- Upewnij się, jaki jest adres nadawcy wiadomości e-mail. W SMS-ie sprawdź, czy zamiast O nie ma 0 lub też zamiast literki i – litery l.
- Szukaj błędów językowych, naleciałości z innych języków.
- Zapłaciłeś za mało lub za dużo? Grożą zablokowaniem konta? To oszustwo.
- Każą ci płacić natychmiast, bo okazja przepadnie? To też najczęściej fałszywka.
- Klikasz w link i ładuje się strona wyglądająca jak strona twojego banku? Sprawdź najpierw dokładnie adres w przeglądarce.
Konsekwencje ataku
Najczęstszą konsekwencją cyberataku jest utrata środków, infekcja firmowych zasobów IT, a przede wszystkim spadek zaufania klientów. To jednak prowadzi do znacznie poważniejszych skutków.
Klienci, których dane zostały naruszone, mają przede wszystkim prawo dochodzić odszkodowania. Przedsiębiorstwo może być zobowiązane do zaspokojenia roszczeń poszkodowanych, bo źle zabezpieczyło wrażliwe dane partnerów biznesowych.
Polskie prawo przewiduje również odpowiedzialność karną za nieuprawnione przetwarzanie danych osobowych. Zgodnie z art. 107 ustawy o ochronie danych osobowych, kto przetwarza dane osobowe, do których nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
W przypadku naruszenia ochrony danych, które skutkuje ryzykiem dla praw i wolności osób fizycznych, przedsiębiorstwo ma obowiązek zgłosić ten fakt Prezesowi Urzędu Ochrony Danych Osobowych w ciągu 72 godzin od stwierdzenia naruszenia. Niedopełnienie tych obowiązków może skutkować nałożeniem kar finansowych sięgających do 20 milionów euro lub 4 proc. całkowitego rocznego obrotu firmy.
