Reklama
Dołącz do liderów przyszłości i zdobądź przewagę! Sprawdź najnowszą ofertę subskrypcji
Komunikacja
Magazyn (Nr 17, kwiecień - maj 2023)

Socjotechnika królową cyberzagrożeń

1 kwietnia 2023 7 min czytania
Zdjęcie Przemysław Dęba - Dyrektor Cyberbezpieczeństwa w Orange Polska.
Przemysław Dęba
Socjotechnika królową cyberzagrożeń

Liczba cyberataków na polskie firmy wciąż rośnie. Zjawiska, które zdaniem ekspertów CERT Orange Polska będą się cały czas nasilać, to przede wszystkim oszustwa polegające na socjotechnice.

JAK WYNIKA z tegorocznego raportu CERT Orange Polska, obecnie głównym zagrożeniem w sieci są ataki oparte na manipulacji i socjotechnice. Co istotne, tego typu działania nie wymagają od cyberprzestępców napisania ani jednej linijki kodu. Atak socjotechniczny może polegać np. na zwykłym kontakcie mailowym, telefonicznym czy nawet osobistym.

Socjotechnika jest łatwiejsza i dużo skuteczniejsza niż hakowanie, wystarczy kogoś oszukać – przyznaje Przemysław Dęba, dyrektor cyberbezpieczeństwa w Orange Polska. – W wielu firmach nawet raz w tygodniu zdarza się incydent, kiedy ktoś, udając członka zespołu zarządzającego, stara się nakłonić pracownika przykładowo do zmiany rachunku bankowego jakiegoś kontrahenta i wysłania nań przelewu, tłumacząc się wyjątkową okazją biznesową – dodaje ekspert.

Warto przy tym pamiętać, że cyberoszuści monitorują nasze nawyki i modyfikują swoje formy ataku w taki sposób, aby je na nowo wykorzystać. Dlatego powinniśmy być czujni i zanim klikniemy w jakikolwiek link – otrzymany czy to drogą mailową, czy poprzez SMS – dwa razy się zastanówmy. Jak podkreślają eksperci z CERT Orange Polska, wszystkie tego typu próby oszustwa mają wspólny mianownik – grają na ludzkich emocjach. Przestępcy liczą, że potencjalna ofiara zadziała szybko i bezrefleksyjnie.

Ataki, które niszczą biznes

Według danych 9. Raportu CERT Orange Polska za rok 2022, oszustwa polegające na wyłudzaniu danych, czyli głównie phishing, stanowiły ponad 42% wszystkich, z jakimi mierzyli się eksperci. Wśród nich najwięcej było ofert szybkiego zarobku ogromnych kwot poprzez różnego rodzaju inwestycje, m.in. w akcje znanych firm czy giełdy kryptowalut – oczywiście fałszywych. Dzięki analizie Urzędu Komisji Nadzoru Finansowego wiemy też, że oszuści bezwzględnie opróżniają konta z każdej zgromadzonej na nim złotówki. Straty pojedynczej ofiary oscylują w granicach od 100 tysięcy do nawet miliona złotych. Oprócz phishingu spory udział w cyberzagrożeniach notowały ataki DDoS (20%), których celem jest zakłócenie działania usług lub wyłudzenie środków finansowych, a także złośliwe oprogramowania (16%).

Ponad 130 tysięcy zablokowanych fałszywych stron wyłudzających dane i 5,1 miliona ochronionych internautów – to bilans ubiegłego roku według danych z raportu CERT Orange Polska.

Zdaniem Przemysława Dęby, jedną z najczęstszych form ataków w sektorze firm pozostaje też użycie ransomware’u, czyli złośliwego oprogramowania, które blokuje wejście do systemu komputerowego i uniemożliwia dostęp poprzez szyfrowanie danych, praktycznie zawsze połączone z ich wcześniejszą kradzieżą. Cyberprzestępcy dopuszczający się tego typu ataku po zablokowaniu danych żądają od ofiary okupu za ich przywrócenie. – To jeden z najbardziej skutecznych i najbardziej niszczących ataków dla biznesu – podkreśla ekspert i dodaje, że aby się przed nim chronić, należy przede wszystkim dbać o aktualizacje firmowych systemów i zainwestować w porządny system backupów. Wówczas, nawet gdy padniemy ofiarą tego cyberprzestępstwa, mamy do dyspozycji dane, które zapewnią naszej firmie ciągłość biznesową. – Cyberbezpieczeństwo polega na minimalizowaniu ryzyka poprzez wdrażanie różnego rodzaju dobrych praktyk i zabezpieczeń. Przestępcy są leniwi i wyszukują cele po linii najmniejszego oporu – tłumaczy Dęba. Dlatego też mając jakiekolwiek cyberzabezpieczenia, jesteśmy w grupie tych firm, które będą mniej podatne na ataki niż te, które nie posiadają ich wcale.

Dobre praktyki w zarządzaniu cyberbezpieczeństwem

Niebezpieczeństwa związane z atakami hakerów, phishingiem czy innymi formami cyberzagrożeń mogą prowadzić do poważnych strat finansowych, utraty wizerunku firmy oraz nieodwracalnych szkód dla jej klientów. Dlatego tak ważne jest, aby przedsiębiorcy wdrażali dobre praktyki związane z cyberbezpieczeństwem w swoich firmach. Przedstawiamy najważniejsze z nich:

  1. Zatrudnij Chief Information Security Officera (CISO). Wyznacz osobę odpowiedzialną za cyberbezpieczeństwo w twojej firmie, nadając jej odpowiednie pełnomocnictwa i środki do budowania cyberodporności przedsiębiorstwa. – Jeśli w firmie brakuje pracownika, który zajmuje się wyłącznie tym zagadnieniem, odpowiedzialność za cyberbezpieczeństwo jest rozmyta, a sam temat nie jest traktowany jako jeden z czynników kształtujących biznes – tłumaczy Przemysław Dęba.

  2. Sprawdź poziom bezpieczeństwa u swoich partnerów. Warto zweryfikować poziom zabezpieczeń oraz poziom dojrzałości cyfrowej także u kontrahentów, z którymi współpracujemy, ponieważ ryzyko związane z ich bezpieczeństwem może przenosić się na naszą organizację.

  3. Dostosuj się do wskazówek CISO. Osoby zarządzające przedsiębiorstwem powinny dostosować się do zasad bezpieczeństwa, tak samo jak każdy inny pracownik organizacji. Jeśli osoby zajmujące w firmie najwyższe stanowiska będą je lekceważyć, tak samo zaczną postępować inni.

CyberTarcza ochroni twoje dane

W przypadku cyberzagrożenia ważne jest reagowanie – zgłaszanie podejrzanych stron czy wiadomości na przykład na specjalny numer 508 700 900, uruchomiony niedawno przez zespół CERT Orange Polska. Jak podkreślają eksperci, szybka blokada działań hakerów może ochronić nie tylko firmę, która atak rozpoznała, ale i wielu innych internautów. Orange Polska udostępnia też swoim klientom tzw. CyberTarczę, która przede wszystkim blokuje domeny phishingowe i chroni użytkowników przed konsekwencjami ataków. – Początkiem CyberTarczy dekadę temu był incydent, podczas którego hakerzy zaatakowali „dziurawe” rutery naszych klientów. Atak polegał na tym, że cyberprzestępcy wpisywali w te rutery inne numery DNS (Domain Name System), które przekierowywały użytkowników naszej sieci na fałszywe strony banków – wspomina Przemysław Dęba. – Musieliśmy wówczas ręcznie odciąć naszych klientów od internetu i odizolować ten ruch, jednocześnie udostępniając im informacje o tym, co się wydarzyło i skąd takie działanie po naszej stronie. Dziś to zadanie wykonuje za nas właśnie CyberTarcza, i to w czasie rzeczywistym – wyjaśnia ekspert.

Warto pamiętać o tym, że nie wszystkie cyberprzestępstwa są oszustwami. Czasami pojawia się element socjotechniczny, a czasami nie. Mimo wszystko warto, aby firmy zwracały uwagę na edukację swoich pracowników w zakresie cyberochrony i dawały szanse tym osobom, które chciałyby zaangażować się w ten temat. – Branża żyje faktem, że globalnie mamy do czynienia z deficytem specjalistów od cyberbezpieczeństwa. Tymczasem osobiście znam wiele przypadków osób, które wdrożyły się w ten zawód bardzo szybko – o ile mają jakikolwiek background technologiczny. Warto zatem, aby pracodawcy, z myślą o ochronie swoich firm, dawali szanse takim ludziom. Zamiast czekać na budżet, odpowiedni czas czy odpowiedniego specjalistę, zacznijcie coś robić, bo obok tematu cyberbezpieczeństwa nie można przechodzić obojętnie – apeluje ekspert. •

O autorach
Tematy

Może Cię zainteresować

BYOD_bring your own device BYOD wraca z nową siłą

Przez lata kojarzony z elastycznością i oszczędnościami, model Bring Your Own Device znów zyskuje na popularności – tym razem w realiach pracy zdalnej i hybrydowej. Jednak współczesne zagrożenia, zwłaszcza cybernetyczne, sprawiają, że BYOD staje się poważnym wyzwaniem strategicznym. Czy liderzy są gotowi na nowe ryzyka związane z prywatnymi urządzeniami w służbowym środowisku?

Kiedy zmiana stanowiska na równorzędne ma sens Kiedy zmiana stanowiska na równorzędne ma sens

Ugrzązłeś w miejscu zawodowo? Przeniesienie się na inne, ale równorzędne stanowisko w firmie wiąże się z pewnym ryzykiem, jednak może być właśnie tym, czego potrzebujesz.
Wydłużony w czasie proces awansów i słabszy rynek pracy sprawiły, że wiele osób czuje, jakby utkSama kilkukrotnie zmieniałam stanowisko na równorzędne, a zdarzyło się nawet, że przeszłam „niżej” pod względem władzy i odpowiedzialności, z kilku powodów.nęło w miejscu. Rozwiązaniem może być zmiana stanowiska na inne, ale wciąż w obrębie tej samej firmy. Taki ruch może pomóc się rozwijać, pozostać zaangażowanym i zacieśniać współpracę między różnymi działami.

Grafika promocyjna w czerwonej kolorystyce prezentująca książkę dr n. med. Anny Słowikowskiej pt. „Serce w dobrym stylu. Jak zatroszczyć się o swoje zdrowie”. Po lewej stronie znajduje się biały napis: „MIT SMRP poleca książkę dr Anny Słowikowskiej”. Po prawej stronie okładka książki z dużym sercem z wykresu EKG na tle, tytułem i nazwiskiem autorki. „Serce w dobrym stylu. Jak zatroszczyć się o swoje zdrowie” – recenzja

Niejeden lider biznesu przekonał się zbyt późno, że największe zagrożenie dla jego imperium czaiło się nie na rynku, lecz we własnej piersi. W salach posiedzeń zarządów rzadko dyskutuje się o stanie tętnic prezesa – a przecież mogą one zaważyć na losach firmy równie mocno, co wyniki finansowe. Od lat korporacyjna kultura hołubi samopoświęcenie i żelazną wytrzymałość, przymykając oko na tlący się pod garniturem kryzys zdrowotny. Paradoksalnie ci sami menedżerowie, którzy szczycą się troską o swoje zespoły i deklarują dbałość o work-life balance, często ignorują własne symptomy i potrzeby ciała. Serce w dobrym stylu, książka dr n. med. Anny Słowikowskiej i Tomasza Słowikowskiego, stawia prowokacyjne pytanie: czy potrafisz zarządzać swoim zdrowiem równie świadomie, jak zarządzasz firmą? Autorzy nie mają wątpliwości, że zdrowie – a zwłaszcza serce – lidera to nie fanaberia, lecz strategiczny priorytet każdego człowieka sukcesu i każdej organizacji.

Multimedia
Myśli czy tylko udaje? O tym, czego AI długo jeszcze nie opanuje

Choć dzisiejsze generatywne modele językowe świetnie symulują wzorce językowe, to daleko im do prawdziwej inteligencji. Nie mają świadomości ani zdolności do adaptacji. Takie wnioski płyną z rozmowy Iwo Zmyślonego z Pawłem Szczęsnym z Neurofusion Lab, który podkreśla, że nadużywanie antropomorfizujących określeń („AI myśli”, „uczy się”) wynika głównie z marketingu i prowadzi do fałszywych oczekiwań. Krytykuje przy okazji pojęcie „halucynacji AI”, wskazując, że błędy modeli są nieuniknione ze względu na ich budowę. Ostatecznie AI może przynieść znaczące korzyści biznesowi, ale tylko gdy rozumiemy jej rzeczywiste możliwości i ograniczenia.

Pomoc AI przy podejmowaniu decyzji
Jak AI może pomóc podejmować lepsze decyzje pod presją?

Dane firmy Oracle wskazują, że aż 85% menedżerów doświadcza stresu decyzyjnego, a 75% z nich deklaruje dziesięciokrotny wzrost liczby podejmowanych decyzji w ciągu ostatnich trzech lat. Wsparcie ze strony sztucznej inteligencji wydaje się więc atrakcyjną alternatywą przy ciągłej pracy pod presją. Prawdziwy sukces w zarządzaniu zależy jednak od świadomego połączenia potencjału AI z ludzkimi możliwościami, takimi jak intuicja, doświadczenie i umiejętności interpersonalne.

Co potrafi AI, działając pod presją?

Potencjał technologiczny wzrasta z roku na rok. Sztuczna inteligencja, która jeszcze niedawno stanowiła bardziej symbol rozwoju niż realne wsparcie w codziennych obowiązkach, stała się obecnie powszechnym narzędziem pracy. W jakich obszarach wykorzystuje się ją najczęściej?

  • Monitoring i predykcja. Firmy takie jak Unilever wykorzystują sztuczną inteligencję do monitorowania łańcuchów dostaw w czasie rzeczywistym. Dzięki algorytmom AI możliwe jest wychwycenie anomalii, zanim doprowadzą one do poważnych konsekwencji biznesowych. Oprócz sfery biznesowej, inteligentne algorytmy są wykorzystywane w ten sposób na przykład do wykrywania na podstawie zdjęć satelitarnych powstających zagrożeń ekologicznych, które mogłyby zakłócić łańcuchy dostaw.

Horyzontalna ilustracja w realistycznym stylu przedstawia zmęczonego lidera siedzącego samotnie przy biurku w półmroku. Wokół niego porozrzucane są pomięte notatki, pusta filiżanka po kawie i otwarty laptop emitujący chłodne, niebieskie światło. Mężczyzna opiera głowę na dłoni, z pochyloną sylwetką i oznakami wyczerpania. Całość utrzymana jest w stonowanej kolorystyce, symbolizując przeciążenie pracą i emocjonalne wypalenie. Ilustracja odwołuje się do problematyki, jaką porusza psychologia pracy w kontekście przywództwa. Jak liderzy radzą sobie z przepracowaniem

Uważność nie wystarczy, gdy toniemy w nadmiarze obowiązków. Poznaj zaskakujące strategie zapracowanych liderów, które naprawdę działają.

W ostatnich latach wiele nagłówków sugerowało, że wszyscy jesteśmy już nieco wypaleni zawodowo. Od pasywno-agresywnego „quiet quitting” po tajemniczo brzmiącą „ghost work” – narracja głosi, że ludzie zasypiają za kierownicą, a w najlepszym razie przysypiają co kilka kilometrów.

Ale co, jeśli ta diagnoza nie jest do końca trafna – przynajmniej w odniesieniu do sporej grupy z nas?

Co, jeśli istnieje znacząca liczba osób, które czują się przeciążone pracą, a mimo to pozostają zmotywowane i skuteczne? W dzisiejszej rzeczywistości, gdzie zmiana warunków zatrudnienia często wydaje się poza naszym zasięgiem, warto przyjrzeć się tym pracownikom i zastanowić, czego możemy się od nich nauczyć, by nadal działać efektywnie.

dobrostan Zadbaj o siebie i swój zespół. Jak budować dobrostan w niestabilnych czasach?

Współczesny świat biznesu to arena ciągłych zmian, która wystawia na próbę odporność psychiczną pracowników i liderów. Jak w obliczu narastającej presji i niepewności budować organizacje, gdzie dobrostan jest filarem sukcesu? Zapraszamy do lektury artykułu, w którym Agata Swornowska-Kurto, bazując na raporcie „Sukces na wagę zdrowia – o kondycji psychicznej i przyszłości pracy”, odkrywa kluczowe strategie dla liderów. Dowiedz się, jak przeciwdziałać wypaleniu, budować autentyczne wsparcie i tworzyć środowisko, które inspiruje, zamiast przytłaczać.

nękanie oddolne Co zrobić, gdy podwładni cię sabotują?
Jak reagować, gdy wiarygodność lidera jest podkopywana – otwarcie lub za kulisami – a atmosfera w zespole staje się coraz bardziej toksyczna? Nękanie w miejscu pracy nie zawsze płynie z góry na dół Contrapower harassment to rzadko poruszany, lecz istotny temat związany z nękaniem w pracy. W przeciwieństwie do tradycyjnego postrzegania tego zjawiska, dotyczy ono […]
EOD Jak automatyzacja obiegu dokumentów wspiera zarządzanie czasem pracy

W dzisiejszej rzeczywistości biznesowej niezbędne jest sięganie po innowacyjne rozwiązania technologiczne. Taką decyzję podjęła firma Vetrex, wdrażając w swoich strukturach elektroniczny obieg dokumentów Vario firmy Docusoft, członka grupy kapitałowej Arcus. O efektach tego działania opowiedział Przemysław Szkatuła – dyrektor działu IT w firmie Vetrex.

Jakie cele biznesowe przyświecały firmie przy podjęciu decyzji o wdrożeniu systemu elektronicznego obiegu dokumentów?

Przemysław Szkatuła: Przede wszystkim chodziło o usprawnienie procesów wewnętrznych. Wcześniej obieg dokumentów był głównie manualny, co generowało wiele problemów kumulujących się pod koniec każdego miesiąca. Dzięki wdrożeniu systemu Vario wszystko odbywa się elektronicznie i wiemy dokładnie, na którym etapie procesu znajduje się faktura. To usprawnia przepływ informacji nie tylko w działach finansowych, lecz także między zwykłymi użytkownikami systemu. Dzięki wprowadzeniu powiadomień mailowych każdy użytkownik otrzymuje niezwłocznie informację o nowej aktywności, a kierownicy działów są świadomi, jakie koszty wystąpiły.

quiet quitting Nie pozwól by quiet quitting zrujnowało twoją karierę

Quiet quitting to nie cicha rewolucja, lecz ryzykowna strategia wycofania się z aktywnego życia zawodowego. W świecie przeciążonych pracowników i liderów często niedostrzegających rzeczywistych wyzwań swoich zespołów, bierna rezygnacja z zaangażowania może być kusząca, ale długofalowo – szkodzi wszystkim.

Materiał dostępny tylko dla subskrybentów

Jeszcze nie masz subskrypcji? Dołącz do grona subskrybentów i korzystaj bez ograniczeń!

Subskrybuj

Newsletter

Otrzymuj najważniejsze artykuły biznesowe — zapisz się do newslettera!