Wczoraj świat obiegła informacja o bezprocesowym cyberataku na jeden z najpopularniejszych na świecie serwisów zajmujących się płatnościami online. Dane niemal 16 milionów użytkowników PayPal zostały wystawione na sprzedaż, po tym jak grupa hakerów pochwaliła się ich zdobyciem na jednym z for internetowych. To jeden z milionów incydentów, na które każdego dnia narażone są firmy. O cyberatakach i tym, jak biznes może się przed nimi bronić, rozmawiamy z Robertem Ługowskim, Cybersecurity Architect z Safesqr.
Beata Anna Święcicka, „Wprost”: Informacja związana z atakiem na jednego z największych operatorów transakcji online była o tyle zatrważająca, że dotyczy giganta, który przynajmniej z założenia powinien mieć najlepsze z możliwych zabezpieczeń. A jednak nie miał. Zacznijmy naszą rozmowę od pytania: jak wygląda, czy może wyglądać cyberatak na firmę?
Robert Ługowski, Cybersecurity Architect, Safesqr: Cyberatak to często dobrze przemyślana operacja, składająca się z kilku faz: rekonesansu, uzyskania dostępu, eskalacji uprawnień, przemieszczania się po sieci, eksfiltracji danych lub sabotażu. W praktyce może to oznaczać e-mail phishingowy z zainfekowanym załącznikiem, który po otwarciu instaluje złośliwe oprogramowanie. Następnie atakujący zdobywa hasła, uzyskuje dostęp do kluczowych serwerów, kopiuje dane lub szyfruje systemy, żądając okupu. Cyberatak może być ukierunkowany (APT), przypadkowy lub masowy – jego skutki zależą od przygotowania organizacji i szybkości reakcji.
Jakie sektory są obecnie najbardziej narażone na ataki i jakie mogą być potencjalne skutki tych działań dla społeczeństwa i gospodarki?
Najbardziej narażone są sektory infrastruktury krytycznej: energetyka, wodociągi, ochrona zdrowia, finanse, transport oraz administracja publiczna. Ich zakłócenie może prowadzić do poważnych skutków – od braku dostępu do energii elektrycznej po paraliż systemów szpitalnych i zakłócenia w łańcuchach dostaw.
W przypadku ataków sponsorowanych przez państwa zagrożeniem są również działania destabilizujące – np. manipulacja informacjami, wycieki danych obywateli czy wpływ na procesy demokratyczne. Skutki finansowe, reputacyjne i społeczne mogą być ogromne.
AI nie pomaga w tych atakach? Czy, a jeśli tak, to w jaki sposób cyberprzestępcy wykorzystują sztuczną inteligencję do automatyzacji ataków, tworzenia zaawansowanych phishingów i deepfake’ów? Czy AI zmienia krajobraz cyberzagrożeń?
AI pozwala na automatyzację i personalizację ataków na niespotykaną wcześniej skalę. Cyberprzestępcy wykorzystują modele językowe do generowania realistycznych e-maili phishingowych, automatyzują rozpoznawanie luk w zabezpieczeniach, a także tworzą deepfake’i, które mogą podszywać się pod członków zarządu lub liderów opinii.
Jakie są największe wyzwania dla firm w obronie przed atakami wspieranymi przez AI?
To przede wszystkim szybkość reakcji, wykrycie anomalii w morzu danych oraz przeciwdziałanie coraz trudniejszym do rozpoznania manipulacjom. AI w rękach przestępców to narzędzie masowej dezinformacji i socjotechniki.
Zatem rozwój AI stwarza nowe ryzyka zagrożenia, m.in. manipulacją informacją lub wspominanym przez pana bezpieczeństwem systemów krytycznych?
Oczywiście. Wraz z rozwojem AI pojawiają się wyzwania związane z prywatnością danych (np. przetwarzanie danych biometrycznych), ryzykiem tworzenia zmanipulowanych treści (deepfake, voice spoofing), a także zagrożeniami dla systemów sterowania przemysłowego.
AI może być również wykorzystywana do przełamywania zabezpieczeń w sposób nieprzewidywalny.
Dlatego ważne jest, by rozwój systemów opartych na AI był zgodny z zasadami tzw. responsible AI – czyli przejrzystości, audytowalności i zgodności z regulacjami o ochronie danych.
Jednak mamy również drugą stronę medalu – rozwój AI stwarza możliwości poprawy cyberbezpieczeństwa, choćby w detekcji anomalii, analizie zagrożeń i automatyzacji reagowania na incydenty.
Zdecydowanie tak. Sztuczna inteligencja to również ogromny sojusznik w obronie. Systemy SI mogą analizować ruch sieciowy w czasie rzeczywistym, identyfikować nietypowe zachowania i sugerować reakcje zanim dojdzie do incydentu.
AI wspiera tzw. threat hunting, automatyzuje klasyfikację zagrożeń, a nawet może inicjować reakcje – jak blokada konta lub izolacja maszyny – bez udziału człowieka. Rozwiązania oparte na machine learningu znacząco skracają czas wykrycia i reakcji na incydenty, co w realiach dzisiejszych zagrożeń ma kluczowe znaczenie.
W jaki sposób firmy mogą wykorzystać AI do roli cyberstrażnika?
AI może działać jako cyfrowy strażnik, który 24/7 monitoruje infrastrukturę, reaguje na zagrożenia i wspiera zespoły SOC (Security Operations Center). Przykładowo, SI może analizować logi, identyfikować nieautoryzowane logowania, wykrywać próby eskalacji uprawnień czy szyfrowania danych. Może również wykorzystywać korelacje między zdarzeniami w różnych systemach, by wskazać potencjalne ataki ukryte w szumie informacyjnym. Takie podejście nie zastępuje ludzi, ale wspomaga ich działanie, skracając czas między wykryciem a reakcją.
Jak zatem możliwości AI przekuć w skuteczną ochronę tworząc biznesową strategię cyberbezpieczeństwa? Co będzie w niej kluczowe?
Najważniejszym fundamentem skutecznej strategii cyberbezpieczeństwa jest kompleksowe podejście, które integruje ludzi, procesy i technologie.
W kontekście rosnących napięć geopolitycznych nie wystarczy już tylko ochrona perymetryczna. Organizacje muszą budować odporność – czyli zdolność do szybkiej detekcji, reakcji i odtworzenia operacyjności po incydencie. Kluczowe elementy to m.in.: ocena ryzyka (w tym ryzyka geopolitycznego), zarządzanie tożsamością i dostępem, segmentacja sieci, silne procedury reagowania na incydenty, edukacja pracowników oraz regularne testy odporności systemów.
Niezwykle istotna jest również współpraca z partnerami technologicznymi i udział w krajowych i międzynarodowych inicjatywach wymiany informacji o zagrożeniach (threat intelligence sharing).
Jak ta strategia ma się do obowiązków przedsiębiorstw wynikających z dyrektywy NIS2?
Dyrektywa NIS2 znacząco rozszerza zakres podmiotów objętych obowiązkami. Firmy z sektorów kluczowych i istotnych (essential and important entities) będą zobowiązane do wdrożenia środków technicznych i organizacyjnych adekwatnych do poziomu ryzyka. Główne obowiązki to m.in.: prowadzenie oceny ryzyka, zarządzanie incydentami, zarządzanie łańcuchem dostaw, szyfrowanie danych, zapewnienie ciągłości działania oraz raportowanie poważnych incydentów w ciągu 24 godzin. Dodatkowo, firmy muszą wyznaczyć osoby odpowiedzialne za cyberbezpieczeństwo i liczyć się z wysokimi karami finansowymi za niedopełnienie obowiązków.
W jaki sposób nowe regulację wpływają na procesy zakupowe i przetargi w sektorze IT?
Nowe regulacje powodują konieczność weryfikacji dostawców nie tylko pod kątem technicznym, ale też organizacyjnym i geopolitycznym. Zamawiający muszą sprawdzać, czy oferenci spełniają określone standardy cyberbezpieczeństwa, posiadają odpowiednie certyfikaty (np. ISO/IEC 27001), prowadzą politykę zarządzania incydentami i ryzykiem. Coraz częściej w postępowaniach przetargowych pojawiają się kryteria dotyczące kraju pochodzenia oprogramowania lub sprzętu, co ma związek z ryzykiem tzw. backdoorów lub sabotażu. Cyberodporność i przejrzystość w łańcuchu dostaw stają się kryteriami strategicznymi, a nie tylko technicznymi.
Zapytam jeszcze o niezwykle newralgiczny łańcuch dostaw i współpracę z dostawcami usług cyfrowych. Jak wygląda ta przestrzeń w świetle nowych wymagań?
Łańcuch dostaw stał się jednym z głównych wektorów ataków – co pokazały głośne incydenty jak SolarWinds czy Kaseya. Monitorowanie łańcucha dostaw to dziś obowiązek – nie tylko dobra praktyka.
Organizacje muszą oceniać, jakie dane lub usługi są przekazywane dostawcom, jakie mają oni zabezpieczenia oraz czy są zgodni z obowiązującymi regulacjami. Ważne jest również ustanowienie jasnych warunków umownych dotyczących bezpieczeństwa, przeprowadzanie audytów dostawców oraz utrzymywanie planów awaryjnych na wypadek ich niedostępności. Współpraca z dostawcami powinna być oparta na wzajemnym zaufaniu, ale też systematycznej weryfikacji.
Mam zatem legislację, mam strategię cyberbezpieczeństwa, a co z pracownikami? W jaki sposób firmy powinny ich przygotować na potencjalne cyberataki?
Ludzie to najsłabsze, ale i najważniejsze ogniwo bezpieczeństwa. Kluczowe jest budowanie świadomości – poprzez regularne szkolenia, kampanie informacyjne, symulacje phishingowe, a także wprowadzenie prostych zasad: silne hasła, MFA, zgłaszanie incydentów, nieotwieranie podejrzanych linków.
Ważne jest również zaangażowanie kadry zarządzającej – bo cyberbezpieczeństwo to nie tylko problem IT, ale kwestia strategiczna. Pracownicy muszą wiedzieć, że są częścią zespołu bezpieczeństwa i mają realny wpływ na ochronę firmy.
Dziękuję za rozmowę.
