Eksperci opowiadają o tym, jakie są dziś największe cyberzagrożenia i jak polskie firmy nie są na nie przygotowane. „Znaczna część polskich przedsiębiorców korzysta z niewspieranych już systemów operacyjnych”. A to jak zaproszenie dla hackera.
Statystyki pokazują, że cyberzagrożenia stają się coraz większym problemem. Czy firmy zdają sobie z tego sprawę? Są coraz lepiej przygotowane?
Maciej Kleina: – Niestety, wiele firm nadal nie jest odpowiednio przygotowanych na ataki cybernetyczne. Często brakuje im świadomości zagrożeń oraz skutecznych mechanizmów ochrony.
Tomasz Dolata: – Brakuje świadomości, jak poważne mogą być konsekwencje cyberataków. Problemy te dotyczą zarówno małych, jak i dużych przedsiębiorstw. Brak odpowiednich zabezpieczeń i procedur może prowadzić do poważnych strat finansowych, utraty danych czy reputacji.
W takim razie, jakie cyberzagrożenia, przed którymi stoją przedsiębiorstwa, są najpoważniejsze? Co najczęściej wchodzi tu w grę?
MK: – Największym zagrożeniem są ataki typu phishing oraz ransomware. Phishing polega na wyłudzaniu informacji poprzez podszywanie się pod zaufane osoby lub instytucje. Ransomware to z kolei oprogramowanie, które blokuje dostęp do systemów i danych, a następnie żąda okupu za ich odblokowanie. Te metody są niezwykle skuteczne i mogą prowadzić do dużych strat.
TD: – Do tego dochodzą ataki na infrastrukturę IT, które mogą mieć katastrofalne skutki. Hakerzy często wykorzystują luki w zabezpieczeniach, aby dostać się do systemów firmowych. Dodam, że wiele polskich firm korzysta z przestarzałych systemów operacyjnych, które nie mają już wsparcia producenta, co czyni je łatwym celem.
Jak polskie firmy wypadają na tle innych krajów pod względem zabezpieczeń i ubezpieczeń od ryzyk cybernetycznych?
MK: – Polskę i Zachód dzieli pod tym względem duży dystans. Świadomość ryzyk cybernetycznych, a co za tym idzie – sprzedaż polis, które mają chronić przed skutkami finansowymi ataków, jest zdecydowanie największa w USA. Później jest Europa Zachodnia. W Polsce wciąż czekamy na rozwój tych ubezpieczeń. Świadomość rośnie, gdy incydenty są nagłaśniane. Kiedy spłonie fabryka, wszyscy o tym wiedzą. To działa na wyobraźnię.
Ryzyka cybernetyczne na wyobraźnię nie działają?
MK: – Nie widać ich tak jak pożaru. Poza tym, firmy nie chcą się chwalić, że były ofiarą ataku. Wiemy tylko o największych, spektakularnych akcjach, których nie da się ukryć. Zdecydowana większość szkód nie wychodzi na światło dzienne. One nie rezonują, wolniej buduje się świadomość dotycząca zagrożeń, poczucie że taka sytuacja może dotknąć również mnie. Jednocześnie, wiele krajowych podmiotów nie jest w stanie odpowiedzieć na podstawowe zagrożenia. Dlatego warto o tym głośno mówić, prowadząc akcje edukacyjne i zachęcając do inwestycji w rozwój zabezpieczeń oraz wypracowywania odpowiednich procedur, które pokrzyżują plany przestępcom.
Co konkretnie mogą zrobić przedsiębiorcy, aby zwiększyć bezpieczeństwo swoich firm?
MK: – Podstawowa reguła: najsłabszym ogniwem w cyberbezpieczeństwie zawsze jest człowiek. Dlatego zalecam szkolenia pracowników w obszarze zagrożeń ransomware i phishingu. Bardzo ciekawym rozwiązaniem jest też zamówienie kontrolowanej akcji phishingowej pozwalającej zbadać, jak zachowają się pracownicy i jak zadziałają mechanizmy w firmie podczas ataku. W ten sposób poznamy świadomość naszych kadr dotyczącą bezpieczeństwa.
TD: – Smutna prawda jest taka, że wiele polskich firm musiałoby najpierw zejść kilka poziomów niżej niż szkolenia pracowników. Do podstawowych kwestii sprzętowych. Żaden haker nie potrzebuje AI, by skutecznie zaatakować systemy, które nie mają już wsparcia producenta. Dlatego zachęcam przedsiębiorców do wsłuchania się w potrzeby i postulaty ich własnych działów IT.
MK: – Warto dodać, że dzisiaj posiadanie działu IT w firmie to nie wszystko. Warto rozróżnić dział zajmujący się komputerami i drukarkami od bezpieczeństwa IT. To dwa różne systemy. W dużych firmach często nie jest to dostrzegane. Własny dział IT nie oznacza z automatu bezpieczeństwa cyfrowego.
Zdecydowana większość biznesów w Polsce nie ma własnego działu IT. A już na pewno nie mają ich małe firmy, zatrudniające po kilka osób.
MK: – Dzisiaj każdy musi mieć na uwadze cyberbezpieczeństwo, nawet jednoosobowe działalności i małe przedsiębiorstwa. Gdy jest się małym, zadbanie o bezpieczeństwo bywa łatwiejsze - wystarczy zaktualizować oprogramowanie antywirusowe na jednym komputerze, z którego się korzysta. Mały biznes ma też tę przewagę, że może outsource'ować usługi bezpieczeństwa, to się im opłaca.
TD: – Zwracam natomiast uwagę, że jeśli biznes jest mały, to nie oznacza, że hakerzy się nim nie interesują. Każdy jest potencjalnie narażony. Często mały biznes jest prostszy do zaatakowania, przez co pada łatwym łupem oszustów. Na przykład mała klinika stomatologiczna dysponująca danymi medycznymi pacjentów. Świetny potencjalny cel.
A czy ubezpieczenie od cyberzagrożeń w czymś pomoże? W jakiś sposób ochroni przed takimi atakami? Może zmniejszy ich ryzyko?
MK: – Trzeba podkreślić, że firmy nie zabezpieczą swojej infrastruktury wykupując polisę ubezpieczeniową. Podobnie zresztą jak polisa nie uchroni domu przed pożarem czy auta przed wypadkiem. Należy zapobiegać, chronić infrastrukturę teleinformatyczną. Oceniając ryzyko klienta przed zawarciem umowy, zawsze zaczynamy od analizy zabezpieczeń, które on stosuje, a także wskazujemy, co wymaga poprawy.
TD: – Gdy już dojdzie do ataku, chronimy klientów przed konsekwencjami finansowymi takich zdarzeń. Firmy i instytucje muszą w takich sytuacjach nie tylko stawiać na nowo systemy informatyczne – grożą im też kary administracyjne za wyciek danych osobowych, pojawiają się koszty pracy prawników, zespołów PR pomagających wyjść ze szkody obronną ręką. Wszystko to kosztuje mnóstwo pieniędzy. Oferujemy też serwis informatyków śledczych, którzy w ciągu 24–48 godzin sprawdzają dokładnie, co się stało. To specjaliści działający w branży od ponad 20 lat. My pozyskujemy raport pozwalający określić odpowiedzialność za szkodę, a klient pełną informację o przyczynach incydentu.
Czy sztuczna inteligencja zmieni reguły gry? Można sobie wyobrazić, że przy wykorzystaniu AI „hakerem” może zostać dosłownie każdy. Nie znam się w ogóle na programowaniu, ale mogę przecież polecić sztucznej inteligencji: włam się do systemu ERGO Hestii, spreparuj potrzebne dokumenty i wypłać mi odszkodowanie.
MK: – Nie powiedziałbym, że absolutnie każdy może zostać hackerem. Pewną wiedzę wciąż trzeba bowiem posiadać. Na przykład o formach ataku czy o tym, jak działa system cyberbezpieczeństwa. Za to laik komputerowy - tak. Do tej pory laik od bezpieczeństwa nie byłby w stanie napisać oprogramowanego ransomware. Dzisiaj jest to już wielce prawdopodobne. Co jednak zrobić z takim oprogramowaniem dalej - tu wciąż potrzebna jest pewna wiedza.
Sztuczna inteligencja może też pomagać już po złamaniu zabezpieczeń. Na przykład w przeglądzie infrastruktury klienta oraz posiadanych przez niego danych, jak dane osobowe klientów. AI może więc pomagać osobom o złych intencjach na wiele różnych sposobów.
TD: – Co do zasady, mleko się rozlało. Istnieją pewne technologie - przykładowo klonowanie - które są ściśle kontrolowane, zarezerwowane dla kilku laboratoriów na świecie. Takie laboratoria - czy też państwa za nimi stojące - mogą się umówić na krok wstecz. W przypadku AI można się umawiać na co chcemy, ale ta technologia już żyje w domowych zaciszach. Jest powszechnie dostępna. Tego nie da się cofnąć.
artykuł pochodzi z Gazety Wyborczej (data publikacji: 30 styczeń 2025).
Starszy underwriter zajmujący się ubezpieczeniami mienia, technicznymi oraz cyber. Absolwent Akademii Morskiej w Gdyni. W Grupie ERGO Hestia od 2007 roku.
Starszy underwriter zajmujący się ubezpieczeniami odpowiedzialności cywilnej oraz cyber. Absolwent prawa Uniwersytetu Warmińsko – Mazurskiego w Olsztynie. W grupie ERGO Hestia od 2013 r.
