790 004 448

info@ciso24.pl

Najczęstsze wektory ataków na polskie firmy w minionym roku – analiza przypadków.

„To nie był kolejny zwykły rok w kalendarzu. To był brutalny test dojrzałości bezpieczeństwa dla polskiego biznesu” – to zdanie powtarzają dziś szefowie IT i zespoły SOC od Gdańska po Kraków. Minione miesiące obnażyły słabości, które w wielu organizacjach były latami zamiatane pod dywan. Fala precyzyjnych ataków phishingowych i BEC (Business Email Compromise), coraz droższe w skutkach incydenty ransomware, a do tego „zapomniane” usługi RDP wystawione do sieci oraz błędy w chmurze – to nasza nowa codzienność.

W tym raporcie nie będziemy teoretyzować. Pokażemy najważniejsze trendy, twarde liczby i branże, które oberwały najmocniej. Przeanalizujemy taktyki napastników na realnych przykładach – od momentu przejęcia korespondencji, po zmianę numeru IBAN i podwójne wymuszenia. Co najważniejsze, wskażemy szybkie metody oceny ryzyka i „audyty 15 minut”, które możesz wykonać jeszcze dziś. Wszystko po to, byś mógł zamknąć drzwi, zanim ktoś spróbuje przez nie wejść.

Krajobraz incydentów

Miniony rok bezlitośnie zweryfikował wiele wygodnych przekonań o bezpieczeństwie. Jeśli myślałeś, że „mnie to nie dotyczy”, statystyki są nieubłagane. Phishing i BEC wróciły ze zdwojoną siłą, stając się plagą działów finansowych. Ransomware przestał być tylko „wirusem szyfrującym”, a stał się narzędziem precyzyjnego paraliżu łańcuchów rozliczeń i niszczenia kopii zapasowych.

Najbardziej ucierpiały branże, w których przepływ pieniądza jest szybki, a presja czasu ogromna: sektor finansowy, produkcja oraz e-commerce. To tam ataki na skrzynki pocztowe zarządów i systemy płatności przynosiły przestępcom najszybsze zyski.

Oto jak wyglądał ten rok w liczbach (analiza incydentów Q1–Q4 na podstawie danych CERT Polska, CSIRT KNF, NASK i ENISA):

  • 3 740 – tyle odnotowano incydentów wysokiej istotności (wzrost o 19% r/r).
  • 6 dni – to medianowy czas wykrycia intruza (dla ataków BEC to 5 dni, dla ransomware aż 7 dni – to cały tydzień, w którym napastnik buszuje w Twojej sieci!).
  • 38% – taki udział we wszystkich zgłoszeniach miały ataki typu Phishing/BEC.
  • 22% – co piąty incydent to Ransomware, z wyraźnym naciskiem na kradzież (eksfiltrację) danych przed ich zaszyfrowaniem.
  • 9% – tyle incydentów wynikało z prostych błędów konfiguracji chmury/SaaS (często przez publicznie dostępne zasoby, tzw. buckety).
  • DDoS – choć rzadsze (5%), były intensywne (piki do 450 Gbps), uderzając w e-commerce w najgorszych możliwych momentach.

Analiza wektorów

Aby zrozumieć skalę, spójrzmy na szacunkowe szkody w poszczególnych wektorach ataku:

  • Ransomware: Uderzał głównie w Produkcję, Usługi i Medycynę. Średni czas wykrycia to 7 dni, a szacowana szkoda to aż 1 800 000 PLN.
  • Łańcuch dostaw (Supply Chain): Dotknął branży IT, Księgowości i Retailu. Wykrycie zajmowało średnio 11 dni, a szkody sięgały 900 000 PLN.
  • Wystawione VPN/RDP: Problem MSP, Logistyki i Edukacji. Wykrycie po 9 dniach, koszt to ok. 350 000 PLN.
  • Chmura/SaaS (misconfig): E-commerce i Marketing. Szybkie wykrycie (3 dni), ale szkoda rzędu 210 000 PLN.
  • Phishing/BEC: Handel i Finanse. Wykrycie w 5 dni, strata ok. 120 000 PLN (często w gotówce wyprowadzonej z firmy).

Co zadziałało w praktyce?

Firmy, które nie czekały na kryzys, tylko wdrożyły MFA na wszystkich usługach, zredukowały skuteczne przejęcia skrzynek o 71%. Wdrożenie monitoringu logów pocztowych (szukanie reguł przekierowania, logowań z nietypowych lokalizacji) pozwoliło wyłapać ataki BEC, zanim fałszywe faktury trafiły do płatności.

Wskazówka od CISO24: Prawda jest brutalna – bez szkoleń antyphishingowych, wdrożonego EDR/XDR i backupów offline, Twoja firma zajmuje się gaszeniem pożarów, a nie biznesem. Jeśli nie masz zasobów, by monitorować to 24/7, rozważ usługę zewnętrznego wsparcia (CISOaaS) – czasem świeże spojrzenie eksperta pozwala załatać dziurę, której Twój zespół nie widzi od miesięcy.

Phishing i BEC: Jak kradną Twoją tożsamość i pieniądze?

Ataki Phishing i BEC w polskich firmach rzadko przypominają sceny z filmów hakerskich. Są proste, psychologiczne i boleśnie skuteczne. Kręcą się wokół wabików, na które każdy z nas reaguje automatycznie: fałszywa faktura, „kurier z niedopłatą”, CV kandydata z załącznikiem czy podszywanie się pod stałego kontrahenta.

Atakujący nie musi łamać Twoich haseł siłowo. Wystarczy, że przejmie jeden wątek mailowy, podmieni numer konta (IBAN) na fakturze i dociśnie pracownika presją czasu („prezes prosił o przelew na już”).

Jak to wygląda w Twojej skrzynce?

Wyobraź sobie maila o temacie: „Aktualizacja danych do płatności – FV/09/2025”. W treści czytasz: „Prosimy o użycie nowego rachunku zgodnie z umową. Sprawa pilna, rozliczamy dziś.”. Jedynym ostrzeżeniem jest lekka literówka w domenie nadawcy lub spoofing, który trudno zauważyć w biegu.

Realny Case Study (Anonimowy):

Do działu księgowości wpada mail o „aktualizacji danych kontrahenta” z załączonym PDF-em. W dokumencie podmieniono numer IBAN na rachunek „słupa”. Autoryzację płatności wykonuje jedna osoba, bez weryfikacji telefonicznej. Efekt? Utrata 1,2 mln PLN. Przelew został rozbity na kilka mniejszych transakcji, a pieniądze zniknęły w godzinę.

Jak się bronić? Rekomendacje CISO24:

  1. Weryfikuj zmiany płatności głosem: Zadzwoń do kontrahenta na numer z umowy (nigdy na ten ze stopki maila!), by potwierdzić zmianę konta.
  2. Technologia: Wdróż DMARC (p=reject) oraz SPF/DKIM. To podstawa higieny poczty.
  3. Procesy: Ustaw w systemie ERP reguły flagujące nowe numery IBAN i wymagaj podwójnej akceptacji przelewów.
  4. Szkolenia: Ucz pracowników, by nie odpowiadali na przejęte wątki mailowe – w razie wątpliwości lepiej utworzyć nową wiadomość.

Ransomware: Szyfrowanie to koniec problemów

Współczesny ransomware to model „podwójnego”, a nawet „potrójnego wymuszenia”. Szyfrowanie serwerów to finał. Wcześniej następuje kradzież danych i groźba ich publikacji, a czasem nawet ataki DDoS na oporną ofiarę.

W Polsce hakerzy wchodzą najczęściej przez przejęte konta VPN/RDP (często kupione na czarnym rynku) lub sprytny phishing. Co dzieje się potem?

  1. Initial access: Wejście przez skradziony token lub hasło.
  2. Living-off-the-land: Hakerzy używają Twoich własnych narzędzi (PowerShell, WMI), by poruszać się po sieci „po cichu”.
  3. Eksfiltracja: Dane wyciekają do chmury przestępców (często tunelowane przez HTTPS, by wyglądały na normalny ruch).
  4. Szyfrowanie i Szantaż: Blokada plików, zrzut próbki danych na stronę z wyciekami i zegar odliczający czas do publikacji całości.

Sygnały ostrzegawcze: Jeśli widzisz w logach nietypowe narzędzia do archiwizacji (np. rzadkie wersje 7-Zip uruchamiane z folderów tymczasowych), masowe deinstalacje antywirusa przez GPO lub dziwny ruch do świeżo zarejestrowanych domen – reaguj natychmiast. To moment, w którym nasz zespół Incident Response może jeszcze zatrzymać atak przed katastrofą.

Publicznie wystawione usługi (VPN/RDP): Otwarte drzwi do Twojej firmy

Dlaczego polskie firmy wciąż trzymają otwarte porty RDP i VPN? Z prozaicznych powodów: wygoda, presja na szybki dostęp zdalny i brak budżetu na porządne MFA. Do tego dochodzą stare, niełatane urządzenia brzegowe (firewalle, bramki), które dla botnetów są jak darmowe wejściówki.

Szybki Audyt Bezpieczeństwa (Zrób to w 15 minut):

Zamiast tabelki, przygotowaliśmy dla Ciebie listę kontrolną najczęstszych grzechów i szybkich napraw:

  • VPN (SSL/IPsec):
    • Błąd: Brak MFA, niełatane podatności (CVE).
    • Test: Sprawdź swoją wersję oprogramowania i przeskanuj zewnętrzne IP (np. Shodanem).
    • Naprawa: Wymuś MFA natychmiast i zaktualizuj soft.
  • RDP (Pulpit Zdalny):
    • Błąd: Wystawiony bezpośrednio do Internetu.
    • Test: Skanowanie na porcie 3389/TCP.
    • Naprawa: Schowaj RDP za VPN-em. Użyj list dostępu (ACL).
  • NAS/Backup:
    • Błąd: Domyślne hasła, włączony protokół SMB na zewnątrz.
    • Test: Próba logowania na konto „gość” lub „admin/admin”.
    • Naprawa: Wyłącz konto gościa, zmień domyślne porty.
  • Panele WWW urządzeń:
    • Błąd: Stare firmware, panel logowania dostępny z sieci publicznej.
    • Naprawa: Zaktualizuj (Patch), wyłącz dostęp po HTTP (wymuś HTTPS) i odetnij dostęp z zewnątrz.

Mini-Case (MSP): Monitoring wykrył masowe logowania RDP z jednego adresu IP. Szybka blokada całej podsieci, wymuszona zmiana haseł i wdrożenie MFA u klientów zatrzymały falę ataku w godzinę.

Ataki przez łańcuch dostaw: Gdy „zaufany partner” staje się zagrożeniem

Twoja firma może być twierdzą, ale jeśli Twój księgowy, software house albo dostawca IT (MSP) ma słabe zabezpieczenia, haker wejdzie „tylnymi drzwiami”. Partnerzy często mają szerokie uprawnienia (VPN, API, wymiana plików), a jeśli ich bezpieczeństwo zawiedzie, infekcja przechodzi na Ciebie.

Jak ocenić ryzyko dostawcy?

Traktuj to jak macierz: im większe uprawnienia ma partner, tym ostrzejsza musi być kontrola.

  1. Umowa: Wpisz twarde wymagania (MFA, szyfrowanie, czas reakcji na incydent).
  2. SBOM: Żądaj wykazu komponentów oprogramowania (Software Bill of Materials).
  3. Logowanie: Wymagaj dostępu do logów aktywności partnera w Twojej sieci.
  4. Sandbox: Testuj aktualizacje oprogramowania w izolowanym środowisku, zanim wpuścisz je na produkcję.

Sygnał ostrzegawczy: Jeśli nagle zmieniają się sumy kontrolne aktualizacji lub adresy repozytoriów partnera – to moment na zaciągnięcie hamulca ręcznego.

Chmura i SaaS: Niewidzialne błędy, widoczne straty

Chmura publiczna w Polsce rośnie szybciej niż świadomość o jej bezpiecznej konfiguracji. Najczęstsze wpadki? Publicznie dostępne „buckety” z danymi, zbyt szerokie uprawnienia (Role) i nadużycia OAuth, gdzie napastnik przejmuje konto bez znajomości hasła.

Najgroźniejsze błędy konfiguracyjne i jak je wykryć:

  • Publiczny bucket/plik: Prowadzi do wycieku danych osobowych (PII) lub umów.
    • Kontrola: Skany uprawnień i list ACL.
  • Nadane uprawnienia „Owner” na SaaS: Ryzyko masowego skasowania danych lub eksfiltracji.
    • Kontrola: Przegląd ról i zasada najmniejszych przywilejów (least privilege).
  • Brak CASB/DLP: Ucieczka danych przez aplikacje chmurowe.
    • Kontrola: Wdrożenie reguł DLP i wykrywanie Shadow IT.
  • Zaufane aplikacje OAuth: Przejęcie kont bez hasła.
    • Kontrola: Przegląd zgód udzielonych aplikacjom i ich odwołanie (revokacja).

Runbook na pierwsze 24h:

Zrób inwentaryzację (co masz w chmurze vs co myślisz, że masz). Uruchom skaner błędów konfiguracyjnych (CSPM). Cofnij zbędne zgody OAuth i zablokuj tworzenie nowych tokenów bez MFA. Włącz logi (CloudTrail, Activity Log) – bez nich jesteś ślepy.

Podsumowanie: Czy jesteś gotowy na kolejny rok?

Krajobraz zagrożeń w Polsce jest dynamiczny, ale przewidywalny. Atakujący są leniwi – szukają otwartych drzwi, niełatanych systemów i nieprzeszkolonych pracowników.

Jeśli po lekturze tego artykułu czujesz, że Twoja organizacja może mieć luki w którymś z omówionych obszarów – nie czekaj na incydent. W CISO24 specjalizujemy się w szybkim diagnozowaniu tych problemów. Oferujemy:

  • Audyty bezpieczeństwa i testy penetracyjne – znajdziemy dziurę, zanim zrobią to przestępcy.
  • Usługę CISO as a Service – zapewniamy wsparcie doświadczonego dyrektora bezpieczeństwa bez kosztów pełnego etatu.
  • Wsparcie w incydentach – jeśli najgorsze już się stało, pomożemy Ci wrócić do gry.

Skontaktuj się z nami i sprawdź, jak możemy zabezpieczyć Twój biznes, zanim statystyki za kolejny rok uwzględnią Twoją firmę.

Najczęściej Zadawane Pytania (FAQ)

Który wektor ataku był najpopularniejszy w minionym roku? 

Zdecydowanie dominowały ataki typu Phishing i BEC (Business Email Compromise), które stanowiły aż 38% wszystkich zgłoszeń wysokiej istotności. Przestępcy celowali w skrzynki pocztowe pracowników działów finansowych i zarządów, aby wyłudzić płatności lub dane.

Jakie są realne koszty incydentu Ransomware dla polskiej firmy? 

Analiza wykazała, że Ransomware generuje najwyższe straty finansowe. Szacowana szkoda (obejmująca przestój, odzyskiwanie danych i koszty okupów) wynosi średnio 1 800 000 PLN. Co gorsza, średni czas wykrycia intruza w sieci to aż 7 dni, co daje mu czas na kradzież danych przed ich zaszyfrowaniem.

Jak najskuteczniej bronić się przed fałszywymi fakturami (BEC)? 

Kluczem jest weryfikacja głosowa. Jeśli otrzymasz maila z informacją o zmianie numeru konta kontrahenta, zawsze zadzwoń do niego na numer z umowy (nie ten ze stopki maila!), aby to potwierdzić. Technicznie niezbędne jest wdrożenie zabezpieczeń poczty: DMARC, SPF i DKIM.

Dlaczego RDP i VPN są wciąż tak częstym punktem wejścia dla hakerów? 

Ponieważ wiele firm wciąż wystawia usługi pulpitu zdalnego (RDP) bezpośrednio do Internetu lub używa VPN bez uwierzytelniania wieloskładnikowego (MFA). To „otwarte drzwi” dla botów. Statystyki pokazują, że wdrożenie MFA na wszystkich usługach redukuje skuteczne przejęcia kont aż o 71%.

Czym grozi błędna konfiguracja chmury? 

Najczęstszym błędem (9% incydentów) są publicznie dostępne zasoby (np. buckety z danymi), które powinny być prywatne. Skutkuje to natychmiastowym wyciekiem danych osobowych lub firmowych, co wiąże się z koniecznością zgłoszenia naruszenia do UODO i stratami wizerunkowymi wycenianymi średnio na 210 000 PLN.