Źródło: Rzeczpospolita, 22 maj 2025
Polska administracja coraz częściej trafia na celownik hakerów. I nic dziwnego, bo poziom zabezpieczeń w jednostkach publicznych nie stanowi specjalnego wyzwania dla cyberprzestępców. Eksperci, tzw. etyczni hakerzy, twierdzą, że ich złamanie to kwestia godzin, a w najtrudniejszych przypadkach – paru dni. Specjaliści, którzy przeprowadzają tzw. testy penetracyjne, mówią wprost: do każdej instytucji publicznej włamiemy się maksymalnie w ciągu trzech dni.
Czy faktycznie z cyberzabezpieczeniami w Polsce jest tak źle? Z pewnością nie jest najlepiej. Ale, tak naprawdę, nie do końca wiadomo jak w ogóle z nimi jest. Powód? Nie prowadzi się badań odporności systemów informatycznych na uderzenia cyberprzestępców. Z najnowszych badań firmy AMP wynika, że tylko 15 proc. instytucji z sektora publicznego zamawia takie tzw. testy włamaniowe, czy penetracyjne. A to właśnie kontrolowane ataki na systemy teleinformatyczne są w stanie ocenić bieżący stan bezpieczeństwa infrastruktury i jej podatności. To kontrastuje z wynikami raportu „The State of Pentesting”, które wskazują, że 88 proc. firm i instytucji na świecie w ciągu ostatnich dwóch lat doświadczyło naruszenia bezpieczeństwa. I to pomimo tego, że przeciętny badany podmiot korzysta średnio z 44 różnych narzędzi ochrony. Zatem, jak widać, kluczowa jest nie ilość, lecz jakość.
– Jak pokazuje nasza praktyka w większości przypadków w ciągu 3-5 godzin jesteśmy w stanie złamać zabezpieczenia wybranego szpitala, przychodni czy jednostki samorządowej. Zasadniczo jestem przekonany, a nawet mogę się o to założyć, że nasi specjaliści mogą maksymalnie w ciągu trzech dni włamać się do każdej instytucji publicznej w Polsce – deklaruje Przemysław Wójcik, prezes AMP.
Tradycyjne oprogramowanie antywirusowe przestało być skuteczną tarczą. Dziś cyberprzestępcy dysponują narzędziami opartymi na sztucznej inteligencji, które potrafią analizować systemy IT swoich celów, unikać wykrycia i w czasie rzeczywistym generować unikalny złośliwy kod. Jak twierdzi Wójcik, to już nie są czasy hakerów siedzących tygodniami nad kodem, bo teraz wystarczy im kilka godzin i gotowe narzędzie AI, które zrobi to za nich.
– Cyberprzestępcy zaczęli korzystać z tych samych technologii, które jeszcze niedawno miały chronić nasz świat. AI jest w stanie sama pisać kod ransomware, analizować luki, a nawet udając człowieka prowadzić rozmowy z pracownikami instytucji, która ma być ofiarą – tłumaczy. – Zwykły antywirus tego nie wykryje, bo to nie jest już atak oparty na starym wzorcu sygnatury. To dynamiczny, samouczący się mechanizm – komentuje.
Przestrzega przy tym, że – jeśli instytucje nie zaczną stosować równie zaawansowanych metod obrony – przegrają tę wojnę.
Ataki na instytucje publiczne są szczególnie niebezpieczne, bo oznaczają nie tylko straty finansowe, ale także zagrożenia dla życia i zdrowia ludzi. W szpitalach dochodzi do przerywania operacji, odwoływania zabiegów oraz awarii systemów, które podtrzymują ludzkie życie. Choćby w marcu hakerzy zaatakowali krakowski szpital MSWiA – system informatyczny został sparaliżowany, operacje musiano przenieść, część dokumentacji została zaszyfrowana. Personel ratował sytuację kartkami papieru i telefonami. A na świecie takich historii przybywa. W 2021 r. udokumentowano pierwszy przypadek śmierci z powodu cyberataku. Doszło do niego w Niemczech – pacjentka zmarła, gdyż szpital w Düsseldorfie nie mógł jej przyjąć z powodu ataku ransomware. Dwa lata później hakerzy uderzyli w system szpitalny CommonSpirit Health. Efekt? Wiele amerykańskich placówek musiało odwołać zabiegi, a wyniki badań zniknęły z cyfrowych archiwów. W ub.r. z kolei ofiarą padł uniwersytecki szpital w Rouen we Francji – cyberprzestępcy sparaliżowali go na tydzień, blokując systemy rejestracji i zarządzania leczeniem.
Red Team udaje w takim scenariuszu cyberprzestępców i próbuje dostać się do systemów, wykorzystując te same metody: phishing, ataki socjotechniczne, łamanie haseł, skanowanie portów. Ale eksperci zaznaczają, że w dobie AI metody są coraz bardziej wyrafinowane. Teraz zyskuje metoda korzystająca z deepfake’ów.
Jak wskazują specjaliści z Palo Alto Networks, przekonała się o tym niedawno pewna polska firma, która przeprowadziła online rozmowy kwalifikacyjne z dwoma kandydatami, nie wiedząc, że byli oni wygenerowani za pomocą kreatorów obrazu. Celem było włamanie do zasobów firmy. Wojciech Gołębiowski, szef Palo Alto Networks w Europie Wschodniej, przekonuje, że socjotechnika oparta na generowaniu fałszywego obrazu i dźwięku może być znacznie skuteczniejsza niż stosowane do tej pory na wielką skalę ransomware, oparty na mailach ze złośliwymi linkami lub załącznikami.
– Żadna pojedyncza metoda wykrywania nie gwarantuje ochrony przed zagrożeniami związanymi z fałszywą tożsamością – tłumaczy. I radzi, by nie podawać swoich danych podmiotom, których nie jesteśmy pewni, ani pobierać plików z nieznanych źródeł.
– Ta zasada ograniczonego zaufania jest potrzebna w wirtualnym świecie – dodaje.
