Cyberbezpieczeństwo Q3 2025 by Mediaplanet PL

Cyberbezpieczeństwo

SPRAWDŹ

Jak Allegro buduje strategię cyberbezpieczeństwa

WAŻNE

Akamai – bezpieczeństwo API najpoważniejszym wyzwaniem dla firm

ESKPERT

Cyberbezpieczeństwo nie musi być drogie (ale musi być skuteczne!)

Piotr Konieczny Ekonomia ataków z użyciem AI.

Magda Korona

Brakuje wiedzy o tym, jak działają internetowi oszuści

Paula Januszkiewicz

Na cyberbezpieczeństwie nie warto oszczędzać

Dr hab. n. o zarz. Aleksandra Przegalińska Sztucznej inteligencji nie można w pełni zaufać

Izabela Albrycht

Łańcuch dostaw kontra AI: gdzie pęka system i jak go wzmocnić w 12 miesięcy

Project Manager: Stanisław Machnacki (stanislaw.machnacki@mediaplanet.com, +48 537 647 500) Content and Production Manager: Izabela Krawczyk Managing Director: Krystyna Miłoszewska Skład: Mediaplanet Fotografie: Przemek Gorczyk, stock.adobe.com, zasoby własne Kontakt e-mail: pl.info@mediaplanet.com

Adres: MEDIAPLANET PUBLISHING HOUSE

SP. Z O.O., ul. Zielna 37, 00-108 Warszawa

W cyberbezpieczeństwie nie ma miejsca na improwizację

Cyberprzestrzeń zmienia się szybciej niż kiedykolwiek wcześniej. Wraz z rozwojem technologii rośnie także skala i złożoność zagrożeń. Dlatego dziś nie pytamy o to, czy cyberataki nastąpią, ale – czy potrafimy je odeprzeć. W Ministerstwie Cyfryzacji aktywnie uczestniczymy w ćwiczeniach zarządzania kryzysowego, bo wiemy, że musimy być przygotowani na każdy scenariusz.

Krzysztof Gawkowski Wiceprezes Rady Ministrów, Minister Cyfryzacji

Wzmacnianie krajowego systemu cyberbezpieczeństwa to jedno z naszych najważniejszych zadań. Realizujemy je we współpracy z instytucjami publicznymi i operatorami usług kluczowych, m.in. w ramach krajowych i międzynarodowych ćwiczeń. W ich trakcie testujemy reakcje na incydenty, sprawdzamy procedury i budujemy świadomość tego, jak działać w sytuacji kryzysowej.

Ćwiczenia Cyber Europe, organizowane co dwa lata przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), to test odporności Unii na kryzysy w cyberprzestrzeni. Biorą w nich udział zespoły CSIRT poziomu krajowego, instytucje odpowiedzialne za zarządzanie kryzysowe oraz podmioty infrastruktury krytycznej. Każda edycja dotyczy innego sektora – w 2022 roku sprawdzaliśmy odporność ochrony zdrowia, a w 2024 roku – energetyki.

Na poziomie krajowym szczególną rolę odgrywają ćwiczenia KSC-EXE, organizowane z inicjatywy Pełnomocnika Rządu ds. Cyberbezpieczeństwa. Pokazują one, że bez skutecznej komunikacji między przedstawicielami różnych instytucji nie da się odeprzeć ataku, który może zakłócić dostęp do usług kluczowych dla obywateli. Ćwiczenia pozwalają podnieść gotowość operacyjną, usprawnić procedury i poprawić przepływ informacji. W rezultacie wzmacniamy odporność całej infrastruktury krytycznej oraz kompetencje osób odpowiedzialnych za bezpieczeństwo i możemy lepiej przeciwdziałać przyszłym zagrożeniom.

Ważnym elementem wzmacniania odporności państwa jest również tworzenie narzędzi usprawniających współpracę między instytucjami. Dlatego rozwijamy specjalny komunikator do bezpiecznej wymiany informacji na szczeblu rządowym. Trwają intensywne prace nad rozwojem systemu bezpiecznej łączności niejawnej (SKR-Z). Wszystko po to, aby zapewnić pełną ochronę komunikacji pomiędzy podmiotami infrastruktury krytycznej i instytucjami administracji państwowej odpowiedzialnymi za zarządzanie kryzysowe.

Polska buduje swoją cyfrową odporność każdego dnia – krok po kroku, procedura po procedurze.

Ministerstwo Cyfryzacji

Czytaj więcej na stronie: poradnikbiznesu.info

Jesienią tego roku zaplanowaliśmy kolejne ćwiczenia – tym razem z udziałem jednego z operatorów telekomunikacyjnych. To niezwykle istotne, bo incydent w tej branży może uderzyć nie tylko w gospodarkę, ale i w każdego obywatela – od codziennej komunikacji aż po brak możliwości wezwania służb ratunkowych.

W ramach współpracy z operatorami infrastruktury krytycznej Ministerstwo Cyfryzacji co roku organizuje forum poświęcone cyberbezpieczeństwu w tym obszarze. To przestrzeń do wymiany wiedzy i doświadczeń, ale też do omawiania nowych zagrożeń, takich jak zakłócanie systemów GPS/GSM czy wykorzystanie technologii przełomowych. Polska buduje swoją cyfrową odporność każdego dnia – krok po kroku, procedura po procedurze. Ćwicząc możliwe scenariusze, uczymy się nie tylko skuteczniej reagować na incydenty, ale także przewidywać i neutralizować zagrożenia, zanim nadejdą. To praca, której często nie widać, ale która w chwili kryzysu decyduje o bezpieczeństwie państwa i obywateli.

Dziś jesteśmy w stanie odeprzeć 99 proc. cyberataków wymierzonych w nasz kraj. To możliwe, bo wiemy jedno: w cyberbezpieczeństwie nie ma miejsca na przypadek. Tu liczy się przygotowanie.

WYZWANIA

Cyberatak na wynajem: dlaczego MŚP są dziś łatwym celem

Ransomware nie jest już domeną wyłącznie wykwalifikowanych hakerów. Rozwój RaaS sprawił, że uruchomienie ataku stało się alarmująco łatwe także dla osób bez zaplecza technicznego. Małe i średnie firmy coraz częściej trafiają na celownik. Zobaczmy, jak działa RaaS, dlaczego jest tak groźny i co można zrobić, aby ograniczyć ryzyko.

Łukasz Kielban Polska Platforma

Bezpieczeństwa

Wewnętrznego

Dawid Rachmajda

Polska Platforma

Bezpieczeństwa

Wewnętrznego

RaaS (ang. Ransomware as a Service) to zorganizowana forma cyberprzestępczości: twórcy narzędzi udostępniają gotowe pakiety, panele zarządzania i kanały płatności, a afilianci uruchamiają ataki. RaaS jest częścią szerszego zjawiska przestępczości jako usługi (ang. Crime as a Service), w którym na czarnym rynku oferuje się nie tylko oprogramowanie, ale także infrastrukturę i wsparcie. Organom ścigania znane są takie grupy jak m.in. LockBit, Clop, BlackCat (ALPHV). To ich działalność obniża próg wejścia i sprawia, że kampanie stają się masowe i mało selektywne. Ściganie sprawców utrudnia też fakt, że żądania okupu realizowane są zwykle w kryptowalutach. W 2024 r. aktywnych było 95 grup ransomware wobec 68 rok wcześniej. Rekordowy okup sięgnął 75 mln dol., a średnie żądania przekraczały 5,2 mln dol. W 70 proc. ataków dane ofiary zostały skutecznie zaszyfrowane. Co szczególnie istotne dla przedsiębiorców, w 2023 r. około 43 proc. wszystkich cyberataków dotyczyło MŚP. Skutki dla organizacji są realne i kosztowne. To przestoje w kluczowych procesach, utrata lub wyciek danych, spadek zaufania klientów oraz wydatki na odtworzenie środowiska,

audyty i obsługę incydentu. Dodatkowo wykradzione informacje i znalezione luki bezpieczeństwa bywają odsprzedawane kolejnym grupom, co zwiększa ryzyko ponownych ataków.

W 2024 r. starostwo w Jędrzejowie zostało zaatakowane przez nową grupę RansomHub, co unaoczniło podatność infrastruktury samorządowej na tego typu incydenty. W tym samym roku spółka AIUT S.A. doświadczyła kradzieży wrażliwych danych i szyfrowania systemów, a napastnicy grozili publikacją wykradzionych informacji. Rok wcześniej duński dostawca hostingu CloudNordic utracił dane klientów po ataku ransomware, co pokazało, że skutki mogą uderzyć również w firmy zależne od usług IT. Tego rodzaju incydenty stają się codziennością w Polsce i za granicą.

W 2023 r. około 43 proc. wszystkich cyberataków dotyczyło MŚP.

Największą różnicę wciąż robi świadomy pracownik, dlatego inwestycja w edukację jest kluczowa. Polska Platforma Bezpieczeństwa Wewnętrznego w ramach projektu CYRUS oferuje bezpłatne szkolenia dotyczące podstaw cyberbezpieczeństwa, ransomware i szyfrowania danych. Szkolenia CYRUS są bezpłatne dzięki dofinansowaniu UE i dostępne jako e-learning oraz spotkania online na żywo na platformie cyrus-project.eu/cybersecurity-trainings

To krótka, praktyczna ścieżka, by szybko podnieść świadomość i odporność zespołu.

Na szczęście nie jesteśmy bezradni, ale nie możemy powierzać bezpieczeństwa wyłącznie specjalistom IT. Ograniczanie ryzyka zaczyna się od ludzi – całego zespołu. Szkolenia z rozpoznawania phishingu, bezpiecznej pracy z danymi i reagowania na incydenty wyraźnie podnoszą odporność organizacji wobec cyberzagrożeń, zwłaszcza tych powodowanych przez oprogramowanie automatyzujące ataki. Równolegle trzeba systematycznie aktualizować oprogramowanie i łatać podatności, włączać uwierzytelnianie wieloskładnikowe, porządkować i ograniczać uprawnienia oraz segmentować sieć, aby utrudnić rozprzestrzenianie się złośliwego oprogramowania. Niezbędne są regularne, testowane kopie zapasowe przechowywane poza środowiskiem produkcyjnym. Warto zapewnić stały monitoring zdarzeń i gotowy plan reagowania, aby skrócić czas wykrycia i ograniczyć skutki incydentu.

Brakuje wiedzy o tym, jak działają internetowi oszuści

Większość oszustw w sieci dotycząca użytkowników indywidualnych ma podłoże socjotechniczne – cyberprzestępcy nakłaniają użytkownika, by okradł się sam.

Magda Korona Specjalistka komunikacji cyberbezpieczeństwa, Stowarzyszenie Women Go Cyber

Jakie największe luki między wiedzą a praktyką widzi pani u polskich użytkowników internetu?

W tym roku Allegro opublikowało badanie wskazujące, że 69 proc. użytkowników wie, czym jest wieloskładnikowe logowanie, czyli MFA, ale tylko 1 proc. z niego korzysta. Podobne obserwacje wynoszę ze szkoleń, które prowadzę – wiedza o cyberzagrożeniach jest powszechna, ale w praktycznej sytuacji, gdy stykamy się z atakiem oszustwa, nie jest to tak oczywiste. Dotyczy to np. pokusy klikania w nieznane linki. Niestety, na ogół dopiero gdy my sami lub ktoś z naszych bliskich padnie ofiarą tego typu wyłudzeń, to zaczynamy stosować środki prewencyjne. Rozwój technologii sprawił z kolei, że przestępcy mają dziś narzędzia

Odkładamy założenie ochrony MFA na później, tyle że to „później” nigdy nie nadchodzi.

i sposoby na oszukiwanie wszystkich grup użytkowników internetu, niezależnie od ich wieku. Umieją spersonalizować metody ataku do konkretnego profilu użytkownika. W efekcie osoby w średnim wieku, które mają największą wiedzę i doświadczenie w kwestii cyberbezpieczeństwa, też są narażone na oszustwa, bo ze względu na pośpiech nienależycie przykładają się do przestrzegania zasad bezpieczeństwa.

Dlaczego mimo wysokiej świadomości zaleceń dotyczących używania MFA, czyli uwierzytelniania wieloskładnikowego, tak mało osób z niego korzysta? To kwestia wygody i pośpiechu w trakcie korzystania z urządzeń mobilnych. Mówiąc wprost, odkładamy założenie ochrony MFA na później, tyle że to „później” nigdy nie nadchodzi. Wielu z nas ma też poczucie, że nie ma powodu, by cyberprzestępcy chcieli zaatakować akurat nas. O niskim stopniu wykorzystania MFA decydują też pewne nawyki, które nabyliśmy lata temu, kiedy cyberzagrożenia jeszcze nie istniały w takim dużym stopniu jak dziś. Tempo rozwoju technologii jest tak duże, że nie jesteśmy w stanie nadążyć z edukowaniem się z najnowszych rozwiązań technologicznych wzmacniających bezpieczeństwo.

Na ile skuteczny jest model „dwóch linii obrony”, czyli jednoczesnych zabezpieczeń po stronie użytkownika i platformy?

O bezpieczeństwo w sieci muszą dbać wszystkie strony – i dostawcy usług, i użytkownicy. Odpowiedzialność musi rozkładać się po równo. Podam przykład programów antywirusowych, które zyskiwały ogromną popularność 20 lat temu. Użytkownicy tego oprogramowania dość beztrosko wchodzili na niebezpieczne strony internetowe, mając poczucie, że program antywirusowy ich całkowicie ochroni. Tymczasem tylko pełna współpraca i współodpowiedzialność obu stron – użytkownika i platformy – może nam zapewnić kompleksowe bezpieczeństwo w sieci.

Dlaczego zabezpieczenia typu passkeys są bezpieczniejsze i wygodniejsze od haseł i MFA? Passkeys to metody, które do uwierzytelnienia nie wymagają

podawania hasła, co przez lata było głównym, a często jedynym sposobem logowania do aplikacji czy konta. Dziś coraz częściej polecane są takie metody jak np. biometria, czyli logowanie za pomocą odcisku palca czy skanu twarzy, lub też klucz sprzętowy, który fizycznie podpina się do telefonu czy komputera. Wedle ekspertów ten kierunek rozwoju walki z zagrożeniami włamań i nieuprawnionego wykorzystania danych przy uwierzytelnianiu się to przyszłość w obszarze bezpieczeństwa.

Zdecydowana większość ataków na użytkowników prywatnych to ataki socjotechniczne, nakłaniające użytkownika, by okradł się sam, czyli by dokonał przelewu na konto złodzieja.

A jakie metody ataków są obecnie najpopularniejsze?

Zdecydowana większość ataków na użytkowników prywatnych to ataki socjotechniczne, nakłaniające użytkownika, by okradł się sam, czyli by dokonał przelewu na konto złodzieja. Drugą popularną formą zagrożeń są wycieki danych lub ich umyślne, choć zbyt lekkomyślne podawanie przez użytkowników. Z wykorzystaniem AI cyberprzestępcy mogą dopasować formę ataku do naszych nawyków, zainteresowań czy słabości, przez co atak jest skuteczniejszy.

Mniej

haseł, więcej spokoju. Jak Allegro buduje strategię cyberbezpieczeństwa

Jakie luki w wiedzy o cyberbezpieczeństwie widzi dziś Allegro wśród polskich e-konsumentów – i które grupy wymagają najszybszego wsparcia?

Według Raportu Allegro CERT świadomość zagrożeń wśród polskich internautów rośnie, ale wciąż rzadko przekłada się na codzienne zachowania. Użytkownicy wiedzą, jakie metody logowania są bezpieczne, lecz wybierają wygodę, która nie zawsze idzie w parze z ochroną danych. To trochę jak z dietą – wszyscy wiedzą, że warzywa są zdrowe, a mimo to zamawiają pizzę. Najbardziej narażeni są seniorzy i młodsi użytkownicy bez wcześniejszego przygotowania – im najtrudniej rozpoznać phishing i fałszywe reklamy.

Jakie konkretne rozwiązania – techniczne i edukacyjne – wdrożyło Allegro, aby chronić zarówno kupujących, jak również sprzedających?

Logowanie bez hasła to innowacja stawiająca na bezpieczeństwo i wygodę. Zamiast wpisywać hasło, które może zostać przechwycone, działa para kluczy – jeden zapisany jest na urządzeniu, drugi na serwerze – a proces odbywa się automatycznie i bezpiecznie. Dzięki standardom takim jak FIDO2/WebAuthn eliminujemy problem słabych haseł, a logowanie jednym kliknięciem jest dla użytkowników wygodniejsze. Być może brzmi to skomplikowanie, na szczęście w praktyce jest dziecinnie proste. Naszą misją jest oswojenie tej technologii poprzez jasne komunikaty i proste instrukcje, aby w najbliższych latach po wdrożeniu stała się naturalnym wyborem w codziennym korzystaniu z Allegro. Mniej

Allegro chroni użytkowników na dwóch poziomach. Po stronie technicznej działają

nasze zespoły bezpieczeństwa, które całodobowo monitorują i neutralizują próby oszustw – od fałszywych stron logowania po złośliwe linki w SMS-ach czy e-mailach podszywających się pod serwis. Wdrożyliśmy systemy analizujące tysiące zdarzeń na sekundę i wychwytujące nietypowe aktywności, aby zabezpieczyć naszych użytkowników.

Drugą linią obrony jest edukacja. Nawet najlepsze zabezpieczenia po stronie platformy nie są w stanie uchronić użytkowników, którzy nie przestrzegają lub nie znają podstawowych zasad cyberbezpieczeństwa. Regularnie publikujemy ostrzeżenia i poradniki, przypominamy, że Allegro nigdy nie prosi o dane kart w SMS-ach czy e-mailach, a kontakt ze sprzedającym powinien odbywać się wyłącznie w serwisie. Angażujemy się także w inicjatywy ogólnopolskie, m.in. w konkurs „Edukacja Jutra”, który promuje lekcje o bezpieczeństwie w sieci dla dzieci i młodzieży. To inwestycja w przyszłość, bo dobre nawyki

wypracowane od najmłodszych lat zwiększają odporność na manipulacje w dorosłym życiu.

Jak Allegro może przekuć tę innowację w codzienny nawyk użytkowników i czy widzicie już pierwsze efekty pilotaży passkeys?

Joanna Jakubowska

Senior Manager, Group Information Security w Allegro, prezeska Stowarzyszenia Woman Go Cyber

Skuteczna obrona przed cyberprzestępcami nie wymaga specjalistycznej wiedzy

Wystarczy przestrzeganie podstawowych zasad cyberhigieny i rozmowa o nich z bliskimi.

Choć 69% Polaków wie, czym jest uwierzytelnianie wieloskładnikowe (MFA), korzysta z niego świadomie tylko 1% Co czwarty internauta podzielił się hasłem z innymi, a menedżer haseł stosuje zaledwie 6%.

Nasze badania pokazują, że w Polsce wciąż dominuje ręczne wpisywanie hasła, a to często jest identyczne w różnych serwisach. Przyzwyczajenia i nieufność wobec nowych technologii hamują zmianę. Tymczasem technologie takie jak passkeys – logowanie bez hasła z użyciem biometrii czy własnego urządzenia – są bezpieczne i wygodne.

Raport Allegro CERT jasno pokazuje: wiedza nie wystarczy, potrzebna jest zmiana nawyków. Przeczytaj go i porozmawiaj o cyberhigienie z rodziną i znajomymi. Silne (=dłuuugie) hasła, MFA, menedżer haseł, passkeys to klucz do bezpieczeństwa – nie tylko Twojego, ale i Twoich bliskich. Razem możecie naprawdę utrudnić życie cyberprzestępcom.

Na cyberbezpieczeństwie nie warto oszczędzać

Ochronę systemów i sieci organizacji należy powierzyć specjalistom, aby zminimalizować ryzyko skutecznych ataków hakerów.

Paula Januszkiewicz

CEO CQURE, ekspertka ds. cyberbezpieczeństwa, Microsoft MVP i RD, światowej sławy prelegentka, z 20-letnim doświadczeniem w konsultingu i szkoleniach

Jakie najczęstsze błędy popełniają firmy i organizacje w kwestii zabezpieczeń przed cyberatakami?

Po pierwsze, lekceważą lub w ogóle nie mają świadomości ryzyk, jakie łączą się z incydentami hakerskimi. Wiele firm jest błędnie przekonanych, że problem ich nie dotyczy, bo są za małe lub wręcz zbyt duże, by paść ofiarą ataku. Błędem bywa też brak upewnienia się, że incydent faktycznie nastąpił – czasami okazuje się, że mamy do czynienia z nietypowym ruchem sieciowym lub „jedynie” próbą włamania. Kolejna kwestia to niewłaściwe zachowanie w trakcie lub bezpośrednio po skutecznym ataku. Firmy działają czasami zbyt opieszale, są pogubione, nie wiedzą, jak powinny się zachować. Dlatego tak istotne jest, żeby na stałe współpracować z rzetelnym i wiarygodnym partnerem od bezpieczeństwa, który pomoże nam w tych najtrudniejszych momentach. Wreszcie – firmy zapominają, by na bieżąco uszczelniać i poprawiać swój system zabezpieczeń. Szczególnie po skutecznym ataku, a więc w fazie postincydentalnej, należy bezwzględnie sprawdzić sposób, w jaki hakerzy dostali się do systemu, i poprawić poziom zabezpieczeń.

Czy da się skutecznie bronić przed cyberatakami w rozproszonych środowiskach, takich jak hybryda chmura-on-prem, oddziały firmy czy w przypadku pracowników zdalnych?

Dla środowisk rozproszonych istnieje wiele zabezpieczeń, które pomagają chronić system oraz minimalizować skutki ataków. Natomiast przestrzegam, że zawsze mówimy tylko

o minimalizowaniu ryzyka, bo nie ma narzędzi, które miałyby 100-proc. skuteczność w walce z hakerami. Skuteczność zapobiegania atakom w środowisku rozproszonym zależy od świadomości zagrożeń w danej organizacji, stopnia przestrzegania przez pracowników podstawowych zasad cyberbezpieczeństwa oraz budżetu, jaki dana organizacja przeznacza na ochronę.

Regulacje administracyjne, takie jak NIS2 i DORA, poprawiają stopień bezpieczeństwa firm w sieci? Nawet najbardziej podstawowe regulacje narzucone odgórnie sprawiają, że firmy zaczynają zwracać większą uwagę na kwestie bezpieczeństwa. Te niewielkie ruchy dostosowujące poziom zabezpieczeń do wymagań NIS2 czy DORA już znacząco zwiększają gotowość na potencjalne ataki. Niestety, w polskich firmach wciąż główną przeszkodą we wdrażaniu skutecznych i wielopłaszczyznowych barier ochronnych są kwestie finansowe. To właśnie budżet decyduje o tym, czy dana firma korzysta jedynie z własnych zasobów i ogranicza się tylko do wdrożenia regulacji zapisanych w DORA czy NIS2, czy też korzysta z profesjonalnych firm zewnętrznych. Ja zawsze powtarzam, że lepiej jest przeznaczyć trochę większe pieniądze na bezpieczeństwo, niż potem ponosić olbrzymie koszty łagodzenia skutków udanego ataku na systemy.

Jak ocenić, która firma oferująca usługi zabezpieczające przed cyberatakami jest dla naszej organizacji najlepsza? Należy bardzo dobrze zapoznać się z potencjałem i ofertą takiej firmy: jaki

mają model współpracy, czy oferują rozwiązania szyte na miarę, czy tylko rozwiązania „pudełkowe” oraz z jakimi firmami do tej pory współpracowali.

Wiele firm jest błędnie przekonanych, że problem ich nie dotyczy, bo są za małe lub wręcz zbyt duże, by paść ofiarą ataku.

Bywają firmy-wydmuszki, które dopiero po podpisaniu kontraktu zaczynają szukać podwykonawców do realizacji zlecenia. Są też firmy nieuczciwe, które mając otwarty dostęp do systemu, pobierają dane, które potem odsprzedają w tzw. darknecie. Decydując się na współpracę z niesprawdzoną firmą, należy ocenić ryzyko ich potencjalnego wrogiego lub nieprofesjonalnego działania, być może udostępniać im stopniowo dostępy do systemu tak, by ograniczyć potencjalne wrogie działanie, i na pewno monitorować to, co w danym momencie robią. Niemniej uważam, że warto wybrać sprawdzonych partnerów, nawet jeśli miałoby to kosztować więcej. Takie firmy mają ogromne doświadczenie, sprawdzonych specjalistów i narzędzia, które mogą dopasować do potrzeb i wymogów konkretnego klienta. Na cyberbezpieczeństwie nie warto oszczędzać.

Czytaj więcej na stronie:

Nie każdy partner to partner na kryzys

Organizacje – zarówno publiczne, jak i prywatne – chroniąc się przed cyberatakami, popełniają proste błędy.

Dlatego tak ważne jest powierzenie ochrony systemów sprawdzonym partnerom.

Paweł Dobrzański

CSO/Security Tribe

Lead T-Mobile Polska, Członek Zarządu

T-Mobile Polska Business Solutions

Coraz częściej słyszymy o blackoutach cyfrowych czy atakach na infrastrukturę krytyczną – jak bardzo polskie firmy są narażone na takie incydenty? Wszystkie firmy muszą się liczyć z ryzykiem cyberataku, aczkolwiek stopień zagrożenia zależy od branży, pozycji na rynku i pieniędzy, jakimi dana firma obraca. Ten aspekt finansowy jest o tyle ważny, że część ataków motywowana jest chęcią zarobku poprzez np. szantaż dotyczący wykradzenia i upublicznienia wrażliwych danych. Natomiast wielu cyberprzestępców jest inspirowanych politycznie, co oznacza, że dysponują bardzo szerokim spektrum narzędzi do zakłócania systemów i wykradania danych. Na takie strategiczne ataki szczególnie narażone są instytucje ważne społecznie, np. szpitale czy banki.

Czy możliwy jest skuteczny cyberatak na całą branżę lub wręcz cały aparat państwa?

Do tej pory nie mieliśmy do czynienia z taką cyfrową bombą atomową i sytuacją, by ucierpiał cały sektor gospodarki czy życia społecznego. Raczej atakowane są pojedyncze firmy, dla których skutki tego typu cyberprzestępstw oznaczają ogromne koszty wizerunkowe czy operacyjne. Natomiast zorganizowany atak symultaniczny na wiele przedsiębiorstw z tej samej branży jest możliwy i musimy mieć tego świadomość, szczególnie biorąc pod uwagę napięcia geopolityczne i cyberataki przeprowadzane ze Wschodu. Niedawno mieliśmy przypadek ataku na szpital Ministerstwa Spraw Wewnętrznych i Administracji w Krakowie. System szpitala został zainfekowany złośliwym oprogramowaniem typu ransomware. Skala działań

była potężna – hakerzy zaszyfrowali konfigurację urządzeń oraz bazy danych. W środku nocy wysłaliśmy na miejsce naszych pracowników, którzy pomogli odtworzyć systemy i przywrócić pełną funkcjonalność systemu IT. Udało się tego dokonać bez szkód dla pacjentów, co dla takiej instytucji jak szpital jest kluczowe.

Dlaczego współpraca z partnerami zewnętrznymi w obszarze cyberbezpieczeństwa jest dziś tak istotna?

Budowanie świadomości i odporności wewnętrznej w firmach jest bardzo ważne, ale oczywiste jest, że firma produkcyjna czy usługowa nie jest w stanie zbudować wewnętrznie takich systemów bezpieczeństwa jak zewnętrzna firma, która się w tym specjalizuje. Organizacje, czy to publiczne, czy prywatne, popełniają też proste błędy – często chronią te elementy systemu, które są najmniej narażone na atak, a zapominają lub celowo pomijają – ze względów finansowych lub braku wiedzy – najbardziej wrażliwe elementy. Dlatego tak ważna jest współpraca z doświadczonymi, dużymi partnerami, którzy mogą dokładnie przeanalizować zagrożenia, a następnie zminimalizować ryzyko ich wystąpienia oraz potencjalnych skutków ataków.

Na co powinny zwracać uwagę firmy, wybierając dostawcę usług z dziedziny cyberbezpieczeństwa?

Najlepiej zaufać partnerom sprawdzonym, mającym bogate portfolio i wiele lat doświadczeń. To podstawa cyberbezpieczeństwa. My, jako operator telekomunikacyjny, mamy olbrzymie spektrum narzędzi, którymi

zabezpieczamy naszych klientów. Zarządzamy ogromną siecią, dzięki czemu widzimy i monitorujemy działania tysięcy firm, potrafimy odpowiednio sprofilować narzędzia do konkretnych potrzeb. Na rynku jest wiele firm, które dostarczają tzw. pudełka, czyli gotowe produkty w formie np. firewalli czy licencji na software. Ale to rozwiązania mało skuteczne, bo uniwersalne i okrojone. Tymczasem na kwestie cyberbezpieczeństwa trzeba patrzeć holistycznie i dopasowywać ochronę do konkretnej firmy – jej profilu, systemów, danych, itp. Kluczowe dla strategii cyberbezpieczeństwa jest uprzednie przeprowadzenie rzetelnej analizy ryzyka tak, aby inwestycje i wysiłek były skupione tam, gdzie jest to najbardziej istotne.

Jeśli już taki atak nastąpi – jak działacie w pierwszych godzinach po skutecznym zhakowaniu systemu klienta? Pierwszy krok to wywiad sytuacyjny z klientem, dojazd na miejsce i sprawdzenie konsekwencji ataku. Jeśli mamy do czynienia z atakiem typu ransomware, to należy jak najszybciej odseparować zainfekowaną część danych od tej, która jeszcze nie jest zaatakowana. W dalszych krokach korzystamy ze środowiska zapasowego, czyli tzw. backupu, i odtwarzamy infrastrukturę tak, aby przywrócić pełne funkcjonowanie systemu. Potem przychodzi czas na analizę działania przestępców oraz ocenę prawdziwych konsekwencji. Wyciąganie wniosków i na tej podstawie udoskonalanie systemów bezpieczeństwa we własnej infrastrukturze oraz u klientów jest podstawą do tego, aby podobny atak nie udał się w przyszłości.

Czytaj więcej

W Niebezpieczniku od kilkunastu lat regularnie wcielamy się w rolę włamywaczy.

Na zlecenie klientów atakujemy ich infrastrukturę i pracowników.

Piotr Konieczny

Szef zespołu bezpieczeństwa i założyciel Niebezpiecznik.pl, CISO

Ekonomia ataków z użyciem AI Niektóre wciąż są za drogie

WYWIAD

Dynamiczny rozwój narzędzi AI w ostatnich latach budzi coraz większe obawy. Pojawiają się przerażające historie, jak przestępcy podrobili głos córki, zadzwonili do matki i kobieta straciła oszczędności życia. Albo powtarzający się motyw z deepfejkiem prezesa na callu, który perfekcyjnym głosem i wyglądem uwiarygodnił prośbę o pilny przelew.

Co łączy te historie? Całkowity brak dowodów, że przestępcy faktycznie posłużyli się jakimikolwiek AI do klonowania głosu i twarzy. Przykro mi: wciąż wszystkie takie wydarzenia bazują tylko na relacji pozostających w szoku ofiar. Szoku i nierzadko wstydzie, który – po uświadomieniu sobie, do czego doszło – ofiary starają się minimalizować właśnie narracją w stylu „każdy by się nabrał, bo dziś da się idealnie pod kogoś podszyć, używając AI”. I ciężko się z tym stwierdzeniem nie zgodzić. To prawda, że łatwo (i za darmo) można sklonować czyjś głos i wizerunek. Widać to na Facebooku, gdzie w reklamach deepfejki polityków namawiają na szemrane interesy. Problem (a raczej wielkie nasze szczęście) w tym, że na razie nic nie wskazuje, by przestępcy faktycznie korzystali z AI podczas ataków telefonicznych np. na wypadek dziecka, gdzie wymagana jest interakcja z ofiarą. W Niebezpieczniku od kilkunastu lat regularnie wcielamy się w rolę włamywaczy. Na zlecenie klientów atakujemy ich infrastrukturę i pracowników. Dokładnie tak, jak robią to prawdziwi cyberprzestępcy. Od 2 lat staramy się wspierać różnymi rozwiązaniami opartymi na AI, zarówno do planowania, jak i realizacji ataków. Na własnej skórze odczuliśmy wiele niedoskonałości tzw. ofensywnego AI. Fakt, pomaga przy pisaniu złośliwego oprogramowania, ale na używanie klonowanych głosów do interaktywnych ataków jest jeszcze za wcześnie. Bo o ile można łatwo wygenerować dowolne zdanie powiedziane czyimś głosem, o tyle podczas przeprowadzania ataku spotkamy się z dwoma problemami. Po pierwsze, płynne mówienie cudzym głosem w czasie rzeczywistym i reagowanie na pytania ofiary wciąż stanowią wyzwanie. Po drugie, by mówić cudzym głosem, trzeba zdobyć jego próbkę. To oczywiście jest możliwe, ale często wymaga sporo czasu. A czas jest

cenny dla telefonicznych oszustów, bo ich model polega na skali – na 1000 telefonów trafi się kilkanaście osób rozkojarzonych, zmęczonych lub naiwnych, które wejdą w rozmowę. Wśród nich będzie kilka, które poddadzą się presji, wyłączą zdrowy rozsądek i dadzą się okraść. Chociaż, jak same potem będą twierdzić, o tym oszustwie słyszały, ale – tu dokładny cytat z jednej z ofiar – „nie potrafię wytłumaczyć, dlaczego zrobiłem wszystko, o co mnie prosili”. Mówiąc brutalnie, przy takiej skuteczności zwykłych telefonów podszytych dobrą legendą nie ma sensu tracić czasu na rozpracowywanie bliskich i tworzenie klona. Nie ma też gwarancji, że ten jeden dopracowany strzał w ogóle się uda. Ofiara może przecież akurat być na wspólnym obiedzie z osobą, pod którą przestępcy się podszyją, i wszystko na marne. Lepiej tę energię i czas poświęcić na wykonanie tysiąca telefonów. Wtedy, jak pokazuje praktyka, na pewno trafi się jedną osobę, którą uda się okraść. Zwłaszcza jeśli obdzwania się ludzi od rana do wieczora i poznało się wszystkie możliwe pytania czy obiekcje, jakie w trakcie rozmów pojawiają się u ofiar. Zawodowcy rozwieją je wszystkie. Kiedy trzeba, pogrożą paragrafami, a jak to nie zadziała, zmienią narrację i odwołają się do serca ofiary. W manipulacjach są lepsi niż telefoniczni sprzedawcy fotowoltaiki. Są. Naprawdę. Bardzo. Przekonujący. Kluczowa jest tu znajomość tego, jak myśli rozmówca – umiejętność ta przychodzi wraz z doświadczeniem. Pokażę to zresztą na przykładzie, bo jestem pewien, że niektórzy wciąż, po 6 akapitach, nie są przekonani, że telefoniczni oszuści nie klonują głosów z AI. Choć, jak wspomniałem, ofiary nie mają dowodów na użycie przeciw nim AI, to są dowody na to, że w tych atakach przestępcy nie korzystali z żadnej zaawansowanej technologii. Jedną z grup od scamów „na wypadek” zatrzymała policja. Okazało się, że te identyczne głosy bliskich powstawały w… krtani zatrzymanej

oszustki. Po prostu każdą rozmowę z ofiarą zaczynała od wypowiadanych płaczliwym głosem słów: „Mamo, to ty? Był wypadek…”. Resztę rozmowy prowadził jej kolega, który przejmował słuchawkę i podawał się za policjanta, dodając: „Jak pani słyszy, córka jest roztrzęsiona, nie jest w stanie rozmawiać”. W świetle powyższego należałoby zastanowić się, jakim cudem prasowy nagłówek brzmiał: „Godzinę rozmawiała z córką, ale to był głos z AI”. Słaba jakość rozmowy? Szok?

Głuchy telefon?

Jeśli chcesz być pewien, że to nie deepfejk, poproś rozmówcę na videocallu, żeby zrobił pięć pompek.

To, że aktualnie oszuści w interaktywnych telefonicznych atakach nie korzystają z AI, nie oznacza, że kiedyś nie zaczną. Dlatego warto uczulić bliskich na takie scamy. Warto też szkolić pracowników, jak wykrywać deepfejki. Z naszych rozmów z klientami wynika, że niestety, ale nie każda firma posiada prawidłowe procedury w tym zakresie.

Tego problemu nie da się rozwiązać tylko technologią – i to temat na osobny artykuł, ale zdradzę jeden trik. Jeśli chcesz być pewien, że to nie deepfejk, poproś rozmówcę na videocallu, żeby zrobił pięć pompek. Żaden awatar nie jest w stanie (jeszcze) obsłużyć takich ruchów. No i jakaż to satysfakcja, kiedy przełożony, by udowodnić, że jest postacią białkową, zacznie przed tobą „pompować”. Przecież nie odmówi. W końcu wszystko w imię bezpieczeństwa!

Bezpieczeństwo API najpoważniejszym wyzwaniem dla firm

Przynajmniej raz w roku zarząd każdej firmy powinien pochylić się nad poziomem zabezpieczeń w organizacji i zweryfikować, czy bieżąca ochrona jest wystarczająca i czy nadąża za rozwojem firmy i nowymi technologiami cyberataków.

Sandra Gentkowska Account Executive

w Akamai Technologies, od 15 lat związana z branżą IT; wspiera instytucje publiczne i finansowe w Polsce w budowaniu odporności na cyberzagrożenia

Akamai od lat jest wyróżniany w raportach Gartnera i Forrester. Czy mogliby państwo przybliżyć, czym dokładnie zajmuje się wasza firma?

Sandra Gentkowska: Firma Akamai powstała ponad 26 lat temu i jako pierwsza na świecie platforma dostarczała treści w internecie, rozwiązując kluczowy problem „wczesnego” internetu, czyli przeciążenia sieci i wolnego ładowania stron. Dziś głównym wyzwaniem dla firm nie jest już prędkość internetu i prędkość przesyłania danych, lecz kwestia ich bezpieczeństwa w sieci. Dlatego ewoluowaliśmy w firmę o silnym profilu cyberbezpieczeństwa. Obecnie przetwarzamy i analizujemy ok. 30 proc. globalnego ruchu internetowego, dzięki czemu mamy unikalny wgląd w to, jak zmienia się profil zagrożeń cyberatakami i w jakim kierunku one ewoluują.

Wspomniane 30 proc. ruchu internetowego to naprawdę dużo, bo daje to wam dostęp do ogromnej ilości danych. Jakie cyberzagrożenia obserwujecie najczęściej?

Dariusz Wrona: Patrząc z perspektyw naszych klientów – średnich i dużych firm, których strony internetowe muszą być dostępne dla klientów w trybie 24/7

– najwięcej szkód czynią ataki DDoS. To ataki, które wykorzystują wektory dostępu na warstwie trzeciej, czwartej i siódmej, czyli protokoły komunikacji, co oznacza, że są stosunkowo łatwe do przeprowadzenia. A skoro tak, to są dość częste i nawet średnio techniczna osoba może zaatakować wybraną firmę i wyłączyć ją z obecności w internecie. Wystarczy prosty program, który można pobrać z ogólnodostępnych stron internetowych, by cyberaktywista mógł wygenerować sztuczny ruch na stronie internetowej przedsiębiorstwa i przeciążyć system. Możliwe są też bardziej skomplikowane formy ataków DDoS nakierowane na paraliż dużych instytucji, takich jak banki, czy np. firm sprzedających bilety na koncerty czy na pociągi. Tego typu organizacje mają na ogół solidne zabezpieczenia, ale nie dają im one 100-proc. pewności i mimo wszystko mogą paść ofiarami ataku DDoS. Drugą kategorią incydentów są ataki przeprowadzane przez boty, czyli programy komputerowe zaprojektowane do wykonywania powtarzalnych zadań w sposób zautomatyzowany. Cyberprzestępcy często wykorzystują je do monetyzacji danych z kart płatniczych – jeśli weszli w posiadanie

danych z setek czy tysięcy kart, to za pomocą botów weryfikują, czy któraś z nich jest jeszcze aktywna. Jeśli uda się taką znaleźć, to wykorzystują ją do nieautoryzowanych zakupów internetowych.

Patrząc z perspektyw naszych klientów – średnich i dużych firm, których strony internetowe muszą być dostępne dla klientów w trybie 24/7 – najwięcej szkód czynią ataki DDoS.

Ostatni, trzeci typ ataków – który wciąż jest niedoceniany przez firmy – to incydenty z wykorzystaniem API. To o tyle ciekawa i trudna do zatrzymania metoda, że hakerzy dostają się do systemów organizacji

PANEL

Dariusz Wrona

Ponad 25 lat doświadczenia w branży IT, z czego 15 lat poświęcił bezpośrednio obszarowi operacji; dołączył do Akamai 11 lat temu i od tego czasu kieruje

EMEA Security Operations Command Center w Krakowie – całodobowym centrum, które chroni klientów Akamai przed cyberatakami

za pośrednictwem innych firm czy klientów, których organizacja sama „wpuszcza” do swoich systemów. Takim działaniem nieświadomie jednak naraża się na ataki cyberprzestępców.

Które z tych typów ataków stanowią potencjalnie najpoważniejsze wyzwanie dla współczesnych organizacji?

DW: Wszystkie są szkodliwe i mogą powodować duże straty. Nawet dla najmniejszych firm chwilowy brak dostępności strony internetowej jest wizerunkowym i finansowym problemem. W przypadku większych firm, np. sprzedawców biletów, jest to już bardzo poważna sprawa, która naraża dostawcę takich usług na trwałą utratę klientów.

Natomiast dużo większy potencjał strat jest w atakach typu API, które zagrażają większym organizacjom i których trudniej się ustrzec. Kierunki tych ataków są różne, a do ich wyeliminowania trzeba zabezpieczyć nie tylko swoje API, ale też API „trzeciej strony”, czyli naszych klientów czy organizacji, z którymi współpracujemy. SG: Naszym zdaniem to właśnie bezpieczeństwo API staje się dziś najpoważniejszym wyzwaniem – zarówno ze względu na rosnącą liczbę usług opartych o API, jak i ich atrakcyjność dla cyberprzestępców. Wiele organizacji nie ma pełnej wiedzy, jakie API są w ogóle wystawione na zewnątrz, nie wszystkie API mają pod kontrolą, a tzw. shadow API są wciąż łatwe do pozyskania przez cyberprzestępców. To powoduje, że świadomość zagrożeń dotycząca tego typu ataków, nawet wśród dyrektorów ds. cyberbezpieczeństwa, jest w polskich firmach daleko niewystarczająca.

Jak dynamiczny rozwój technologii, w tym sztucznej inteligencji, wpływa na cyberbezpieczeństwo?

DW: Duże modele językowe to bardzo potężne narzędzia i jak zawsze mogą być wykorzystywane do czynienia zarówno dobra, jak i zła. Jeśli chodzi o tę jasną stronę, to AI i uczenie

maszynowe pomagają w analizowaniu ogromnej ilości danych, w znalezieniu korelacji pomiędzy zdarzeniami w systemach bezpieczeństwa, by zaznaczyć je analitykowi SOC. To rewolucjonizuje analizę kodów i poprawia kwestie bezpieczeństwa użytkowników sieci, w tym firm. Z drugiej jednak strony osoby, które chcą wykorzystywać technologię do niewłaściwych celów, mają w ręku bardzo przydatne narzędzie do usprawnienia swojej pracy. AI może pomagać tworzyć nieodpowiednie oprogramowanie czy wspierać phishing, który staje się zmorą indywidualnych użytkowników internetu. Nowoczesne aplikacje są bowiem w stanie perfekcyjnie tłumaczyć na język polski treści, które mają na celu nakłonienie nieświadomego użytkownika do kliknięcia w szkodliwy link. Mówiąc krótko, wraz z upowszechnieniem AI cyberprzestępcy mogą działać na znacznie większą skalę niż dotąd, co podnosi ryzyko zarówno dla indywidualnych internautów, jak i całych organizacji. Dlatego poza klasycznymi kontrolami konieczne staje się ciągłe monitorowanie treści generowanych przez LLM oraz zabezpieczanie samych rozwiązań AI przed nadużyciami i atakami; przykładem takiego podejścia jest AI Firewall oferowany przez Akamai.

Czy poziom wiedzy polskich firm dotyczący tych zagrożeń i sposobów ich prewencji się zwiększa?

SG: Świadomość na szczęście rośnie, choć to zależy od branży i wielkości organizacji. Obowiązkowe regulacje administracyjne, takie jak RODO czy NIS2, też poprawią sytuację, bo wymuszają na firmach wprowadzenie choćby podstawowych zabezpieczeń.

DW: Tyle że sama świadomość o zagrożeniach, choć faktycznie większa niż jeszcze kilka lat temu, nie wystarcza. Za tym muszą iść kolejne kroki, by tym zagrożeniom w porę zapobiegać. Wiele firm zwraca się do nas po pomoc, gdy jest już za późno i padły ofiarami ataku. Zdarza się, że wyjaśnienie rodzaju i przyczyny incydentu po stronie

organizacji bywa utrudnione, bo nie zawsze jest ktoś, kto może to zrobić od razu i wprost. Dlatego tak ważne jest, by firmy działały zapobiegawczo, a nie dopiero po szkodzie. Koszty usuwania szkód są zawsze znacząco wyższe niż koszty prewencji.

Wiele organizacji nie ma pełnej wiedzy, jakie API są w ogóle wystawione na zewnątrz, nie wszystkie API mają pod kontrolą, a tzw. shadow API są wciąż łatwe do pozyskania przez cyberprzestępców.

A jakie inne błędy najczęściej popełniają firmy, tworząc swój własny system zabezpieczeń?

DW: Ochrona przeciw atakom DDoS nie musi dotyczyć każdego przedsiębiorstwa, ale dla średnich i dużych firm jest to obowiązek. Jeśli bowiem przekracza się już pewien próg rozwoju, urosło się na tyle, że nawet kilkugodzinna niedostępność strony internetowej będzie przez klientów zauważona, to nie ma innej drogi niż solidne zabezpieczenie. Systemy bezpieczeństwa najlepiej tworzyć i monitorować we współpracy z uznanym i doświadczonym partnerem zewnętrznym. Uważam, że przynajmniej raz w roku zarząd każdej firmy powinien pochylić się nad poziomem zabezpieczeń w organizacji i zweryfikować, czy bieżąca ochrona jest wystarczająca i nadąża za rozwojem firmy i nowymi technologiami cyberataków.

Sztucznej inteligencji nie można w pełni zaufać

Rozwój sztucznej inteligencji następuje w sposób wykładniczy. AI zmienia

otaczającą nas rzeczywistość, usprawniając naszą pracę, pomagając lekarzom w diagnozowaniu czy wspierając proces twórczy. Źle użyta może jednak posłużyć

np. propagandzie.

Jakie największe możliwości rozwoju widzi pani w różnych zastosowaniach sztucznej inteligencji?

Tych możliwości jest bardzo dużo. Mierzymy się teraz ze skutkami potwornej katastrofy, jaką jest powódź. Sztuczna inteligencja to technologia, która służy nam do robienia prognoz fal kulminacyjnych, ale też długoterminowych predykcji tego typu katastrof. Dzięki temu możemy się trochę lepiej na nie przygotować. Bardzo dużo jest zastosowań AI w medycynie, a zwłaszcza w diagnostyce. Sztuczna inteligencja jest też bardzo ciekawym narzędziem do poprawy produktywności pracy – od wysyłania maili, robienia prezentacji, notatek, formatowania raportów, aż po obsługę klienta. Ludzie chętnie delegują część swoich zadań na AI i bardzo wiele osób już dziś korzysta ze sztucznej inteligencji. Mój zespół badawczy opracował dzięki tej technologii krytyka, który surowo recenzuje naszą pracę. Nauczyciele często sięgają po AI, by wygenerować scenariusze lekcji. Są też osoby, które wspierają się sztuczną inteligencją w pracy kreatywnej – pisaniu bajek, kompozycji czy opracowywaniu przepisów kulinarnych.

Co w rozwoju sztucznej inteligencji powinno budzić nasz największy niepokój?

Dużym problemem są deepfejki i wszelkie formy dezinformacji. To się nie ogranicza tylko do zmanipulowanego wideo, ale może też dotyczyć prób oszukiwania modeli językowych, wyszukujących w sieci informacje. Można zastosować sprytne sposoby, by na stronę, która będzie przeszukiwana, wrzucić tekst, który sprawi, że model pobierze fałszywy komunikat i przekaże go dalej

użytkownikowi. Takie narzędzie może posłużyć np. propagandzie. Taylor Swift ostatnio powiedziała, że głównym powodem, dla którego postanowiła wyrazić poparcie dla Kamali Harris, jest to, że powstały deepfejki, w których popiera ona Donalda Trumpa. To, że AI jest powodem, dla którego ktoś robi takie oświadczenie, już powinno uczulać nas na to, jaki to jest problem.

Jak zapewnić bezpieczne wdrażanie AI w różnych sektorach?

Powstają regulacje, takie jak unijny AI Act. To, że na trzy miesiące przed jego wdrożeniem zastanawiamy się, jak to zrobić w poszczególnych branżach, świadczy o tym, że coś jest nie tak. Ja zgadzam się z duchem tej regulacji i uważam, że bardzo potrzebny jest np. jej komponent, który stara się budować postawy sprawdzania informacji oraz oznaczania, że coś jest stworzone z wykorzystaniem AI. Jeśli zapisy będą bardzo surowe, to doprowadzą firmy do strachu przed wdrożeniem sztucznej inteligencji. W Europie pojawi się wtedy problem polegający na tym, że trafimy do drugiej prędkości rozwoju technologicznego, a na razie zamykamy peleton tej pierwszej. Liczę na dialog, który pozwoli ludziom się rozeznać, jak być w porządku wobec przepisów i jednocześnie nie rezygnować z AI.

Jak sztuczna inteligencja może wpłynąć na rynek pracy?

Na pewno niektóre zawody są zagrożone. Jeśli ktoś jest dzisiaj np. lektorem, to rzeczywiście z klonami głosu będzie mu trudno konkurować. W większości przypadków mamy jednak do czynienia z technologią, która wspiera pracę

punktowo. Praca lekarza to przecież nie tylko patrzenie na zdjęcie z obrazem organu. Nie mamy też rozwiązanych kwestii dotyczących tego, kto bierze odpowiedzialność za to, co robi AI. Dziś jest to człowiek i powinien on tę technologię nadzorować. Myślę, że w takim świecie będziemy jeszcze długo funkcjonować.

AI zmienia otaczającą nas rzeczywistość, ale źle użyta może posłużyć propagandzie.

Jakie umiejętności powinni rozwijać młodzi ludzie, aby w pełni wykorzystać potencjał AI w przyszłości?

Młodzież już bardzo rozlegle wykorzystuje te narzędzia. To, czego jej brakuje, to krytyczny ogląd tej technologii, świadomość tego, że nie można jej w pełni zaufać, a także bazowe rozumienie tego, co ten model robi, gdy odpowiada na pytanie.

Czytaj więcej : poradnikbiznesu.info

Dr hab. n. o zarz. Aleksandra Przegalińska Prorektor ds. innowacji i sztucznej inteligencji – Akademia Leona Koźmińskiego. Kierownik HumanRace Research Center humanrace.edu.pl. Senior Research Associate Harvard Center for Labour and Just Economy.

Cyberbezpieczeństwo nie musi być drogie (ale musi być skuteczne!)

Skrojone na miarę cyberbezpieczeństwo z VCISO.

Marcin Marczewski

CEO Resilia, architekt cyberbezpieczeństwa i odporności biznesu

W jaki sposób VCISO wspiera firmy w zarządzaniu cyberbezpieczeństwem bez konieczności zatrudniania pełnoetatowego specjalisty?

Zacznę od tego, że VCISO (Wirtualny Cyber Ekspert) to nie zastępstwo jednego etatu, lecz dostęp do zespołu specjalistów z różnych dziedzin cyberbezpieczeństwa. Firmy zyskują elastyczne, dopasowane wsparcie bez kosztów rekrutacji, szkoleń czy utrzymania stanowisk. Koszty wynagrodzenia doświadczonego CISO w UE sięgają 150-200 tys. euro rocznie. To oszczędność i skuteczność w jednym.

Jak Resilia pomaga firmom w spełnianiu wymogów regulacyjnych, takich jak NIS2, DORA, CRA czy UoKSC?

Resilia wspiera przedsiębiorstwa w budowie i utrzymaniu kompleksowego procesu zarządzania cyberbezpieczeństwem, oferując pełen market place usług i rozwiązań. Działania rozpoczynamy od oceny aktualnej dojrzałości, w tym oceny poziomu skuteczności zabezpieczeń. Następnie projektujemy i wdrażamy narzędzia wspierające zarządzanie

cyberbezpieczeństwem oraz odpowiednie procesy i procedury. Budujemy programy edukacyjne oraz szkolimy pracowników i zarządy, budując realną cyberodporność. Rozwiązania te są dostosowane zarówno do wymogów regulacyjnych, specyfiki branży, jak i architektury usług IT oraz struktury organizacyjnej klienta.

Jakie są różnice między rozwiązaniami Resilia a innymi dostępnymi na rynku usługami cyberbezpieczeństwa? Większość firm oferuje albo tylko usługi związane z bezpieczeństwem systemów IT, albo tylko usługi związane z compliance i regulacjami. My działamy holistycznie – mamy mulitidyscyplinarny zespół, co daje nam możliwość szybkiego zaprojektowania, wdrożenia i integracji procesów z systemami bezpieczeństwa, testowania wdrożonych zabezpieczeń przy zachowaniu pełnej świadomości pracowników i zespołów utrzymujących IT na każdym poziomie i w każdym obszarze.

W jaki sposób Resilia zapewnia skalowalność swoich rozwiązań dla firm różnej wielkości?

To możliwe, ponieważ nasze podejście opiera się na realnym zrozumieniu tego, że każda firma jest na innym etapie – ma inne zasoby, ryzyka i potrzeby.

VCISO (Wirtualny Cyber Ekspert) to nie zastępstwo jednego etatu, lecz dostęp do zespołu specjalistów z różnych dziedzin cyberbezpieczeństwa.

Dla firm z sektora MŚP proponujemy procesy i zabezpieczenia, które nie wymagają skomplikowanych działań. Wraz ze wzrostem firmy możemy rozszerzać usługi o bardziej zaawansowane zabezpieczenia systemów chmurowych, szkolenia z zarządzania procesami czy reagowania na incydenty.

Łańcuch dostaw kontra AI: gdzie pęka system i jak go wzmocnić w 12 miesięcy

Generatywna AI wyniosła phishing, deepfejk i BEC na nowy poziom. W obliczu ataków na OT potrzebne są wytyczne „security-by-design”, audyty dostawców i szybkie ćwiczenia odpornościowe.

Izabela Albrycht

Dyrektor Centrum Cyberbezpieczeństwa

AGH i współzałożycielka Women4Cyber

Jak generatywna AI i autonomiczne agent-narzędzia zmieniły w ostatnich latach taktyki ataków (deepfejk, BEC, spear-phishing na sterydach)? Jakie trzy działania powinni priorytetowo wdrożyć polscy regulatorzy i organizacje w perspektywie 12 miesięcy?

AI znacząco zwiększa skalę i zaawansowanie cyberataków przez automatyzację i personalizację, zwłaszcza phishingu oraz fałszywych treści (deepfejk). AI ułatwia tworzenie hiperpersonalizowanego phishingu na bazie analizy cyfrowych śladów użytkownika (social media, lokalizacja, zwyczaje). Ataki stają się bardziej zautomatyzowane i wielowektorowe, co utrudnia wykrywanie i reakcję. Deepfejk audio i wideo oraz generowane przez AI wiadomości stają się trudne do odróżnienia od prawdziwych, co zwiększa skuteczność socjotechniki, ponieważ poprzez użycie syntetycznego głosu lub obrazu możliwe jest podszycie się pod członka rodziny czy przełożonego i wymuszenie pewnych działań na odbiorcy komunikatu. Co z kolei uruchamia lawinę nieodpowiednich reakcji czy działań, które mogą doprowadzić do skompromitowania danej infrastruktury IT czy OT. Taki rozwój AI coraz częściej stanowi strategiczne ryzyko i wskazuje na możliwe geopolityczne konsekwencje, zwłaszcza w playbooku działań hybrydowych, który może zostać wzmocniony dzięki algorytmom sztucznej inteligencji o zmasowaną dezinformację i manipulację – tak sformatowaną, aby do poszczególnych grup społecznych czy nawet jednostek trafiała konkretna treść komunikatu. Z tych względów konieczne jest podejście oparte na bezpieczeństwie

w projektowaniu i wdrażaniu tej technologii, co wymaga również pilnych działań nie tylko regulacyjnych i nadzorczych, lecz także edukacyjnych.

Gdzie dziś są najsłabsze ogniwa w łańcuchach dostaw cyber (MŚP, podwykonawcy, oprogramowanie)?

Coraz słabszym ogniwem w łańcuchach dostaw cyber w 2025 roku są podwykonawcy, third-parties i MŚP, a tuż za nimi oprogramowanie oraz jego podatności. Prawie jedna trzecia wszystkich naruszeń cyberbezpieczeństwa pochodzi obecnie od zewnętrznych podmiotów – dostawców, partnerów i podwykonawców. Atakujący wykorzystują charakterystykę nowoczesnych łańcuchów dostaw, czyli wzajemne powiązania podmiotów, szukając wśród nich jednego słabego punktu – czy to dostawcy oprogramowania, usług chmurowych, dostawcy sprzętu IT/OT, kontraktora logistycznego, integratora systemów czy firmy serwisowej – aby otworzyć furtkę do systemów wielu organizacji jednocześnie. MŚP są szczególnie narażone, ponieważ często nie dysponują wystarczająco dojrzałymi procedurami, narzędziami ani personelem dbającym o cyberbezpieczeństwo firmy. Dlatego MŚP pozostają w tyle, co obniża odporność całego ekosystemu. Atakujący, w tym grupy przestępcze i wspierane przez państwa (Rosja, Chiny, Iran), wykorzystują AI do szybkiego wyszukiwania właśnie takich słabych punktów i skutecznej ich eksploatacji. Eksperci podkreślają, że nawet bardzo zaawansowane organizacje są bezradne wobec błędów i zaniedbań

partnerów, a koncentracja infrastruktury u kilku gigantów IT wzmacnia systemowe ryzyka i grozi efektem domina w razie awarii.

Drugim kluczowym obszarem ryzyka jest software supply chain. Zgodnie z analizami ekspertów, zawartymi chociażby w alarmistycznym raporcie World Economic Forum, nowoczesne oprogramowanie i aplikacje rzadko powstają wyłącznie na podstawie kodu tworzonego na zamówienie; zamiast tego integrują mieszankę komponentów open source, interfejsów API, bibliotek, wtyczek, konfiguracji oraz infrastruktury chmurowej. Oprogramowanie open source (OSS) stanowi obecnie szacunkowo od 70 do 90 proc. każdego pakietu programistycznego, a rosnąca zależność zwiększa złożoność, ogranicza bezpośrednią kontrolę nad środowiskiem oprogramowania i wprowadza nowe podatności w zakresie bezpieczeństwa. Ta zależność staje się głównym celem ataków, ponieważ jeden podatny lub nieaktualizowany element może dać dostęp do wyższych warstw systemu. Statystyki są porażające, bowiem wskazują, że aż 84 proc. kodu zawiera co najmniej jedną podatność open source. Jednym z najgłośniejszych przykładów incydentu supply chain był ten przeprowadzony na SolarWinds (2020). Pokazał dobitnie, że jeden skompromitowany update oprogramowania może wywołać globalne skutki nawet w dobrze zabezpieczonych organizacjach. Ofiarami tego ataku padło 30 tys. organizacji, w tym agencji rządowych USA, a firmy straciły średnio 11 proc. rocznych przychodów. Następnie potwierdziły to zagrożenie ataki np. na CrowdStrike IT, MOVEit, Log4j. Kontynuacja na stronie: poradnikbiznesu.info

Karty bez numerów – nowa era płatności

Sama karta fizyczna, pozbawiona numerów, w przypadku kradzieży staje się praktycznie bezużyteczna. Jej dane można łatwo sprawdzić czy zablokować w aplikacji. Nowe rozwiązania świetnie integrują się z płatnościami mobilnymi i cyfrowymi portfelami.

Michał Giziński

Ekspert Krajowego

Instytutu Cyberbezpieczeństwa, z branżą IT związany od 20 lat, szkoleniowiec z zakresu cybersecurity, absolwent Szkoły Głównej Handlowej na kierunku Zarządzanie Cyberbezpieczeństwem

Unia Europejska zapowiada, że do 2030 roku na kartach płatniczych nie będzie już widocznych numerów, daty ważności czy kodu CVV. Po co ta zmiana?

To odpowiedź na rosnące zagrożenia związane z cyberprzestępczością. Widoczne dane na karcie były łatwym celem – wystarczyło zdjęcie albo zgubienie portfela i oszust miał wszystko, by zrobić zakupy online. Teraz te informacje znikną z plastiku i będą dostępne wyłącznie w bezpiecznych kanałach cyfrowych, np. w aplikacji bankowej. To znacząco utrudni życie przestępcom.

Jakie korzyści z tego będą mieli klienci? Przede wszystkim bezpieczeństwo. Sama karta fizyczna, pozbawiona numerów, w przypadku kradzieży staje się praktycznie bezużyteczna. Poza tym większa kontrola – dane można łatwo sprawdzić czy zablokować w aplikacji. A dodatkowo nowe rozwiązania świetnie integrują się z płatnościami mobilnymi i cyfrowymi portfelami.

A zagrożenia?

Tam, gdzie pojawia się cyfryzacja, pojawiają się też nowe wyzwania. Oszuści będą szukać dostępu do aplikacji i danych w sieci, stosując phishing czy złośliwe oprogramowanie. Nie można też zapominać o osobach mniej obeznanych z technologią – dla nich taka zmiana może być trudna. No i wciąż istnieje ryzyko awarii systemów czy braku internetu.

Jakie technologie mają nas chronić w tej nowej rzeczywistości?

Kluczowe są trzy: biometria, tokenizacja i sztuczna inteligencja. Biometria zastępuje PIN-y odciskiem palca czy twarzą. Tokenizacja sprawia, że zamiast numeru karty używany jest unikalny token, który nic nie znaczy poza konkretną transakcją. AI natomiast w czasie rzeczywistym analizuje zachowania klientów i blokuje podejrzane operacje. Do tego dochodzi tzw. silne uwierzytelnianie, czyli łączenie kilku metod weryfikacji jednocześnie.

Tam, gdzie pojawia się cyfryzacja, pojawiają się też nowe wyzwania.

Co to oznacza dla banków i regulatorów? Banki muszą mocno zainwestować w infrastrukturę i edukację klientów. Regulatorzy z kolei powinni zadbać o wspólne standardy i równowagę – tak, by system był bezpieczny, ale jednocześnie wspierał innowacje.

Czyli plastikowe karty odchodzą już do historii?

Jeszcze nie, ale ich rola się zmienia.

Stają się raczej symbolem, a prawdziwe centrum płatności przenosi się do aplikacji mobilnych. To przyszłość bezpieczniejsza, wygodniejsza, ale wymagająca od nas wszystkich szybkiej adaptacji.

Cyberbezpieczeństwo a ochrona danych

osobowych: czy każdy incydent jest naruszeniem RODO?

R. pr. Artur Klepacki

Dyrektor Departamentu

Informatyki i Cyberbezpieczeństwa w Urzędzie Ochrony

Danych Osobowych

Jakie są główne cyberzagrożenia dla danych osobowych we współczesnym świecie?

Do najczęstszych zagrożeń należą ataki phishingowe, złośliwe oprogramowanie (malware), a także przejmowanie kont i kradzież tożsamości. Powszechne stały się również ataki na urządzenia IoT oraz manipulacje informacyjne w mediach społecznościowych.

Co oznacza naruszenie ochrony danych osobowych?

To naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Może wynikać zarówno z lekkomyślności lub niedbalstwa, przykładowo z niezapewnienia przez administratora odpowiednich procedur dla pracowników, pomimo świadomości prawnego obowiązku ich wdrożenia, ale może być również skutkiem celowego działania osób trzecich. Naruszeniem ochrony danych osobowych będzie więc zarówno atak hakerski, jak również przypadkowe przesłanie dokumentów osobom trzecim albo zagubienie nieodpowiednio zabezpieczonego nośnika danych z bazą klientów.

Czy każde naruszenie ochrony danych osobowych jest naruszeniem przepisów RODO?

Naruszenie ochrony danych osobowych to konkretny incydent dotyczący przetwarzania danych osobowych, podczas gdy naruszenie przepisów RODO to szersze pojęcie, obejmujące każdą sytuację niezgodną z prawem ochrony danych osobowych. Naruszeniem

przepisów RODO może być więc zarówno naruszenie ochrony danych osobowych, jak również brak spełniania obowiązków informacyjnych, nieprawidłowe udostępnianie danych, niewyznaczenie inspektora ochrony danych, brak prowadzenia lub niekompletność dokumentacji czynności przetwarzania czy też brak wewnętrznego porozumienia między współadministratorami danych.

Z drugiej strony, nawet jeżeli doszło do naruszenia ochrony danych osobowych, ale administrator bądź podmiot przetwarzający wykaże, że po jego stronie nie było zaniedbań oraz wdrożył niezbędne środki techniczne i organizacyjne, to nie będzie można stwierdzić, że doszło do naruszenia przepisów o ochronie danych osobowych.

Z jakich powodów najczęściej są nakładane administracyjne kary pieniężne za naruszenie przepisów RODO w związku z cyberbezpieczeństwem? Najczęstszymi naruszeniami przepisów RODO w związku z cyberbezpieczeństwem, czyli odpornością systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych, jest przede wszystkim niewdrożenie przez administratorów środków i procedur, o których mowa w art. 24 i 25 RODO oraz środków zapewniających bezpieczeństwo przetwarzania, o których mowa w art. 32 RODO. Naruszenia tych przepisów podlegają administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym

zastosowanie ma kwota wyższa. Decyzje Prezesa Urzędu Ochrony Danych Osobowych w sprawach administracyjnych kar pieniężnych są udostępniane na stronie internetowej orzeczenia.uodo.gov.pl

Naruszenie ochrony danych osobowych to konkretny incydent dotyczący przetwarzania danych osobowych.

Jakie obowiązki ma administrator po wykryciu naruszenia ochrony danych osobowych?

W przypadku naruszenia ochrony danych osobowych należy bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłosić je Prezesowi Urzędu Ochrony Danych Osobowych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Niezależnie od zgłoszenia należy podjąć działania w celu zaradzenia naruszeniu ochrony danych osobowych, np. blokując nieautoryzowany dostęp czy resetując hasła. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności podmiotów danych, należy też bez zbędnej zwłoki zawiadomić o takim naruszeniu osobę, której dane dotyczą.

Czytaj więcej na stronie: