Jeden klik i "koniec świata". Jak nieświadomy błąd paraliżuje szpitale, szkoły i firmy

Świat, który zbudowaliśmy, jest szybki i niesamowicie wydajny, dopóki wszystko działa. Codziennie rano miliony Polaków wykonują ten sam rytuał: logowanie do systemu, łyk kawy, szybki przegląd skrzynki mailowej. I właśnie na ten moment rutyny, automatyzmu i mechanicznego odruchu czekają ludzie ukryci za ekranami komputerów oddalonych tysiące kilometrów od nas.

Jeden klik – tyle wystarczy, by w fabryce stanęły taśmy produkcyjne, a w szkole wyciekły wrażliwe dane setek dzieci. Taka jest niestety brutalna rzeczywistość współczesnej cyberprzestrzeni, w której najsłabszym ogniwem nie są przestarzałe serwery, ale ludzka psychika. 

Cyberprzestępcy rzadko bowiem włamują się do systemów za pomocą skomplikowanego kodu, ponieważ o wiele łatwiej, taniej i szybciej jest oszukać człowieka. Metoda ta – zwana phishingiem – opiera się na prostych mechanizmach psychologicznych. Oszuści wzbudzają w nas presję czasu ("Masz 24 godziny na weryfikację konta"), strach ("Wobec firmy wszczęto postępowanie egzekucyjne"), ale też ciekawość ("Zobacz zdjęcia z piątkowej imprezy firmowej"). Pod wpływem emocji zapominamy niestety o ostrożności. Wystarczy, że jeden pracownik kliknie w link, a złośliwe oprogramowanie (najczęściej ransomware) w mgnieniu oka rozprzestrzeni się po całej sieci wewnętrznej organizacji. 

Przez lata żyliśmy w przekonaniu, że cyberataki to domena międzynarodowych korporacji, filmowych szpiegów i globalnej polityki. Przeciętny przedsiębiorca czy dyrektor publicznej placówki uważa, że jego instytucja jest "zbyt mała" albo "zbyt biedna", by zainteresować hakerów. To fundamentalny błąd, który może kosztować miliony. 

Z punktu widzenia grup ransomware, takich jak choćby tych działających na Wschodzie, idealnym celem jest podmiot, który po prostu musi działać bez przerwy. Firma logistyczna straci przecież miliony złotych za każdy dzień opóźnienia dostaw. Szkoła zostanie sparaliżowana, jeśli znikną e-dzienniki, a rodzice zasypią sekretariat telefonami. Najbardziej dramatyczny scenariusz dotyczy jednak ochrony zdrowia.

Szpital pozbawiony dostępu do sieci to koszmar na jawie. W jednej chwili lekarze tracą wgląd w historię chorób, nie wiedzą, jakie leki przyjmuje pacjent na stole operacyjnym, systemy RTG i tomografii komputerowej przestają przesyłać obrazy, a laboratorium nie może wydać wyników badań. Przestępcy doskonale wiedzą, że w takiej sytuacji presja na dyrekcję placówki jest nieludzka. Tam, gdzie stawką jest ludzkie życie, czas mierzy się w sekundach, a skłonność do zapłacenia cyfrowego haraczu drastycznie rośnie. To cyniczna, ale także bezwzględnie skuteczna kalkulacja.

Wiadomości phishingowe nie przypominają dziś koślawo tłumaczonych listów od nigeryjskiego księcia. Obecnie to wręcz arcydzieła manipulacji, często generowane przy użyciu sztucznej inteligencji, która dba o nienaganną polszczyznę i oficjalny, urzędowy ton. 

E-mail zatytułowany "Wezwanie do zapłaty – zaległość podatkowa" natychmiast podnosi ciśnienie. Pracownik księgowości chce przecież jak najszybciej wyjaśnić sprawę i klika w załączony plik PDF (który w rzeczywistości jest skryptem instalującym złośliwe oprogramowanie). Innym razem jest to rzekoma wiadomość od prezesa firmy z prośbą o pilne wykonanie przelewu poufnego czy też podszywanie się pod kuriera informującego o konieczności dopłaty 1 zł do paczki. Kwota jest śmieszna, ale mechanizm ten sam – kliknięcie przenosi na fałszywą stronę banku, a ofiara sama oddaje klucze do swoich oszczędności oraz sieci firmowej.

Sytuację pogarsza zjawisko, które można określić ślepotą na klikanie. W świecie, w którym co chwilę musimy akceptować polityki prywatności, cookies i powiadomienia systemowe, nasz mózg uczy się ignorować ostrzeżenia. Klikamy bez namysłu "Zezwól", "Dalej" czy "Otwórz". I zaciskamy na siebie pętlę, ale na tym niestety nie koniec.

Kiedy sieć zostaje zaszyfrowana, na ekranach komputerów pojawia się kolejny komunikat. Cyberprzestępcy żądają bowiem okupu za przywrócenie dostępu. I domagają się ogromnych kwot, najczęściej w kryptowalutach, gwarantujących im anonimowość. 

Kiedy daliśmy się złapać, na monitorze zobaczymy też prostą instrukcję: jak kupić kryptowalutę, na jaki portfel ją przelać i ile czasu zostało do bezpowrotnego usunięcia klucza deszyfrującego. Kwoty potrafią zwalić z nóg – od kilkudziesięciu tysięcy złotych do milionów euro w przypadku strategicznych przedsiębiorstw. Eksperci z CERT Polska oraz policja mówią tu jednak jednym głosem: nigdy nie płać okupu. 

Dlaczego? Pomijając fakt, że zysk z okupu pozwala oszustom na rozwój jeszcze groźniejszych narzędzi, ofiary, które zdecydują się zapłacić okup, zapewne i tak nie odzyskają klucza deszyfrującego. A nawet jeśli go otrzymają, będzie on w takiej formie, że i tak zapewne uszkodzi część baz danych. Poza tym firma, która zapłaciła raz, staje się dla hakerów idealnym celem na kolejny atak.

Skoro nie da się stworzyć systemu w 100 procentach bezpiecznego, to jak przetrwać w tym cyfrowym cyklonie? Kluczem jest zmiana podejścia: musimy przestać zastanawiać się "czy zostaniemy zaatakowani?". Po drugie, przed totalnym paraliżem nie uchronią nas najdroższe systemy IT, jeśli zawiedzie czynnik ludzki. 

Właśnie dlatego w praktyce coraz więcej organizacji zaczyna traktować bezpieczeństwo cyfrowe jako element strategii biznesowej. Oznacza to świadome wytyczanie kierunków rozwoju zarówno IT, jak i mechanizmów bezpieczeństwa – tak, aby były one ze sobą spójne i wzajemnie się uzupełniały, co bezpośrednio przekłada się na bezpieczeństwo klientów. Firmy coraz częściej sięgają po sprawdzone standardy zarządzania, takie jak ITIL czy COBIT, które pozwalają uporządkować procesy, zwiększyć ich odporność oraz szybciej reagować na zdarzenia. 

Jednak nawet najlepsze ramy i procedury nie zadziałają bez odpowiednich nawyków po stronie użytkowników technologii. Absolutnym fundamentem bezpieczeństwa jest zasada ograniczonego zaufania, a konkretnie: zawsze weryfikuj nadawcę i przed kliknięciem czegokolwiek potwierdź, że to on jest autorem wiadomości. Szczególnie wtedy, kiedy treść e-maila wydaje się dziwna albo zawiera prośbę o opłacenie faktury. A przede wszystkim zastanów się, czy na pewno spodziewałeś się tej wiadomości. 

Kolejnym filarem jest budowanie kompetencji – zarówno w zespołach technologicznych, wśród menedżerów, jak i pozostałych pracowników organizacji. Jak zauważa Mateusz Ścisło, kierownik Działu Bezpieczeństwa i Odporności Cyfrowej w ERGO Hestii:

– Regulacje, takie jak DORA, jasno pokazują, że cyberbezpieczeństwo przestaje być wyłącznie domeną IT, a staje się elementem odpowiedzialności całej organizacji. Dlatego w ERGO Hestii rozwijamy program edukacyjny DORAcademy, który odpowiada na wymagania regulacyjne, ale przede wszystkim buduje świadomość zagrożeń i dostępnych instrumentów bezpieczeństwa wśród pracowników i klientów. Jednorazowe szkolenie BHP z zakresu IT, które odbyło się 5 czy 10 lat temu, ma dziś wartość zerową. Pracownicy już nie powinni, ale wręcz muszą być regularnie poddawani kontrolowanym testom phishingowym.

Jednocześnie warto zakładać, że rzeczywistość rzadko jest idealna – dlatego równie ważne jest przygotowanie organizacji na różne scenariusze i możliwość odtworzenia działania. Istnieje uniwersalna reguła 3-2-1 dla tworzenia kopii zapasowych danych, która minimalizuje ryzyko ich utraty, a o której – niestety – mało kto pamięta. Polega ona na tworzeniu trzech kopii danych, na dwóch różnych nośnikach, z czego co najmniej jeden powinniśmy przechowywać poza firmą. 

Bezpieczeństwo informacji nie jest zadaniem wyłącznie dla działu IT. To odpowiedzialność każdego z nas. A gdy następnym razem poczujesz pokusę szybkiego kliknięcia w załącznik, weź głęboki oddech, bo od tego zależy przyszłość twojego pracodawcy lub twoich danych. Trzy sekundy refleksji to najtańszy i najbardziej skuteczny system antywirusowy na świecie.