Cyberataki rosną… najsłabszym ogniwem pozostaje człowiek. Co to znaczy dla polskiego biznesu?

“Sukcesy organów ścigania doprowadziły do upadku wielu dużych grup. Ich miejsce przejmują niezależni operatorzy, posługujący się prostszymi i trudniejszymi do rozpoznania metodami manipulacji” – komentuje Tomasz Krajewski, dyrektor techniczny sprzedaży na Europę Wschodnią w Veeam. Jak dodaje, konfliktom i oszustwom wewnątrz afiliacji towarzyszy większe ryzyko deanonimizacji, przez co ekosystem RaaS słabnie, ale poziom zagrożenia dla ofiar wcale nie maleje.

Cyberataki paraliżują biznes? Polska na pierwszej linii frontu. Sprawdź, co to oznacza!

Od szyfrowania do kradzieży danych

Najbardziej widoczna zmiana dotyczy taktyki ataków. Szyfrowanie plików wciąż występuje w ogromnej większości incydentów, ale coraz częściej jest tylko dodatkową dźwignią. W blisko trzech czwartych przypadków kluczową bronią stała się kradzież danych oraz groźba ich upublicznienia. To przesuwa środek ciężkości z czysto operacyjnego paraliżu na wymuszenie reputacyjne i regulacyjne: nawet jeśli systemy da się przywrócić, firma i tak zostaje zakładnikiem tego, co trafiło w niepowołane ręce.

“Drugi kwartał 2025 r. to punkt zwrotny: ukierunkowana inżynieria społeczna i wyciek danych stały się dominującym scenariuszem” – podkreśla Bill Siegel, prezes Coveware by Veeam. “Atakujący nie polują już wyłącznie na kopie zapasowe – celem są ludzie, procesy i reputacja danych”.

Bezpieczeństwo w sieci? 25% Polaków padło ofiarą cyberataków. Poznaj szczegóły!

Słaby punkt?

Rosnąca fala ataków pokazuje, że najkrótszą drogą do sieci przedsiębiorstwa jest dziś telefon, komunikator i rutynowa procedura wsparcia. Scenariusze są powtarzalne: podszywanie się pod pracownika w rozmowie z helpdeskiem, by “wyłudzić” reset i nowe uprawnienia, albo odwrotnie – udawanie działu IT i nakłonienie do instalacji narzędzia zdalnego dostępu. Tożsamość – rozumiana jako dostęp i zaufanie – stała się walutą numer jeden. Kiedy zawodzi weryfikacja człowieka, technologia bywa bezradna.

Atakujący idą też “pod włos” mechanizmom odporności. Coraz częściej ingerują w procesy backupowe – modyfikują harmonogramy, kasują przywrócenia punktowe, zmieniają polityki – tak, aby porażka odtworzenia wyszła na jaw dopiero w chwili powrotu do normalnej pracy. Gdy plan awaryjny okazuje się iluzją, skłonność do zapłaty rośnie.

Kto na celowniku?

Najwięcej incydentów dotknęło firmy zatrudniające od 11 do 1000 osób. To “sweet spot” dla przestępców: organizacje na tyle duże, by zapłacić, ale nie zawsze zbudowane na poziomie korporacyjnych programów bezpieczeństwa. Mikroprzedsiębiorstwa też zaczynają częściej pojawiać się w statystykach, choć nadal pozostają mniej liczne.

Polskie firmy zagrożone? Chodzi o cyberbezpieczeństwo. Co to oznacza?

Na przeciwległym biegunie – giganci z ponad 25 tys. pracowników – cierpią rzadziej, ale rosnąca aktywność ugrupowań sponsorowanych przez państwa może tę równowagę zakłócić. W ich przypadku stawką bywa już nie tylko okup, lecz także efekt systemowy: zakłócenia o znaczeniu krajowym, kradzież własności intelektualnej, wpływ na łańcuchy dostaw.

Ważna lekcja dla polskich firm

Po pierwsze, odporność danych to dziś nie “kopie na wszelki wypadek”, lecz infrastruktura krytyczna. Kopie niepomierne, odseparowane, testowane w realnych próbach odtworzeniowych i chronione inną tożsamością administracyjną muszą być traktowane jak część “produkcji”. Firma, która nigdy nie symulowała przywrócenia systemów pod presją czasu i mediów, uczy się najdrożej – w dniu ataku.

Po drugie, obwód bezpieczeństwa przesuwa się z “firewalla” na człowieka i proces. Helpdesk powinien mieć twarde playbooki na podszycia (weryfikacja innym kanałem, zasada dwóch par oczu przy resetach), a reguła najmniejszych uprawnień – realna, niedeklaratywna. Tam, gdzie dostęp mają partnerzy i outsourcerzy, segmentacja i ograniczanie uprawnień to dzisiaj higiena, nie “opcja”.

Po trzecie, kultura bezpieczeństwa musi być ćwiczona. Szkolenia z rozpoznawania manipulacji mają sens tylko wtedy, gdy towarzyszą im regularne “alarmy próbne”: symulowane telefony “z IT”, fałszywe prośby o instalację, kontrolowane próby wyłudzenia przez komunikator. Tak jak w BHP nie buduje się odporności prezentacją slajdów, tak i tutaj liczy się odruch – co robię, gdy słyszę przekonujący głos po drugiej stronie.

Po czwarte, należy zakładać, że wyciek jest możliwy. Klasyfikacja i minimalizacja danych, rozsądne DLP, gotowe ścieżki komunikacji z regulatorami i klientami, a także scenariusze negocjacyjne – to elementy, które nie zapobiegną incydentowi, ale zadecydują o jego kosztach. W epoce, w której szantaż opiera się na reputacji, szybkość i spójność reakcji stają się elementem przewagi konkurencyjnej.

Wreszcie – technologia ma sens, jeśli jest utrzymana. Narzędzia EDR, reguły detekcji, monitoring ruchu bocznego czy pułapki w postaci “miodowych” plików i tokenów działają pod warunkiem, że ktoś je pielęgnuje. Entropia bezpieczeństwa – przestarzałe polityki, wyciszone alerty, zapomniane wyjątki – to niewidoczny dług, który przestępcy spłacają cudzym kosztem.

Dane Coveware by Veeam pokazują wyraźnie: dzisiejszy ransomware rzadziej “wybija szyby”, częściej uderza w reputację i ludzi. Dla polskich firm oznacza to konieczność przesunięcia ciężaru z samej prewencji technicznej na odporność organizacyjną.

Tożsamość, procedury, kopie zapasowe projektowane jak systemy krytyczne i kultura, która wygrywa z telefonem “z IT” – od tych elementów zależy, czy cyberatak będzie drogim incydentem, czy egzystencjalnym kryzysem.

źródło: VEEAM, BusinessWire, BlockSandFiles, CoveWare, SpidersWeb