Kiedy kilka lat temu zaczynałam wdrażać automatyzację w firmach, głównym problemem było ogarnięcie chaosu procesów. Dziś coraz częściej zaczynamy od prostego pytania: „Co się stanie z pieniędzmi i danymi tej firmy, jeśli ktoś trafi w jej najsłabszy punkt?”. I niestety – coraz częściej odpowiedź brzmi: „Uderzy dokładnie tam, gdzie najbardziej boli: w finanse”.

Generatywna sztuczna inteligencja przyspieszyła tempo ataków nawet stukrotnie. To nie jest przenośnia. Ataki, które kiedyś rozwijały się dniami, dziś potrafią doprowadzić do wycieku danych w mniej niż pół godziny. W tym czasie da się co najwyżej zaparzyć kawę, a nie zareagować na incydent.

Z mojego doświadczenia wynika, że ten czasowy „skurcz ryzyka” przekłada się bezpośrednio na:

  • wzrost wycieków danych osobowych i kradzieży tożsamości,
  • realne straty finansowe (od blokad operacji, przez okupy, po fraudy),
  • utratę zaufania klientów, które odbudowuje się miesiącami.

W jednym z projektów, który prowadziłam, klient był przekonany, że ma „w miarę ogarnięte bezpieczeństwo”, bo korzysta z antywirusa i firewalla. Po symulowanym ataku okazało się, że od momentu kliknięcia w spreparowany link do wyprowadzenia pierwszych danych mijają… 22 minuty.

Dlatego pytanie nie brzmi już „czy zabezpieczać firmę”, tylko jak chronić finanse firmy w świecie, w którym atak może wydarzyć się zawsze, a jego efekt zobaczysz szybciej niż zdążysz zareagować ręcznie. I tutaj nie wystarczy zestaw „gadżetów bezpieczeństwa” – potrzebujesz spójnego, skalowalnego ekosystemu, który łączy technologię, procesy i ludzi.

Największe cyberzagrożenia 2025: co realnie uderza w dane i pieniądze

Gdy rozmawiam z zespołami zarządczymi, często słyszę: „wiemy, że cyberataki istnieją, ale nas raczej to nie dotyczy”. A potem pokazuję im, jak wygląda dzisiejszy krajobraz zagrożeń, zasilany generatywną AI.

Dzisiaj cyberprzestępcy korzystają z tych samych mechanizmów, które wykorzystujemy w automatyzacji biznesu: przyspieszenie, skalowanie, masowe eksperymentowanie. AI generuje tysiące spersonalizowanych phishingów, tekstów, głosów i obrazów w czasie, gdy człowiek napisałby kilka maili. Do tego dochodzi model Ransomware-as-a-Service (RaaS) – gotowa platforma do ataków, którą można wynająć jak SaaS. Nie trzeba być już „genialnym hakerem” – wystarczy karta płatnicza i minimalne obycie techniczne.

Rośnie też presja na urządzenia IoT. Widziałam w jednej firmie sytuację, w której wejściem do sieci okazała się… inteligentna kamera w magazynie. Statystyki pokazują ponad 50-procentowy wzrost ataków na IoT – to nie są pojedyncze przypadki, tylko nowa normalność.

Drugie narzędzie, które robi karierę wśród przestępców, to deepfake. Podszywanie się pod prezesa, dyrektorkę finansową czy członka zarządu w formie wideo albo audio staje się codziennością w tzw. CEO fraud. Tu nie chodzi już o „kliknięcie w zły link”, ale o zmanipulowaną rozmowę, w której słyszysz znany głos, proszący o „pilny przelew poza procedurą”.

Do tego dochodzą:

  • fałszywe komunikaty i „aktualizacje” systemowe na Windows i Androidzie, które instalują złośliwy kod zamiast łatać luki,
  • złośliwe aplikacje i rozszerzenia przeglądarki, które z oficjalnych sklepów przedostają się na firmowe urządzenia i wyciągają dane – bardzo często finansowe.

Coraz większe żniwo zbierają też infostealery – złośliwe programy, które w 2025 roku korzystają z AI do precyzyjnego phishingu i automatycznego skanowania luk. Ich celem są loginy, hasła, sesje przeglądarki i dane finansowe. Widziałam firmę, której księgowość miała „wszystko w jednym” – hasła zapisane w przeglądarce. Po infekcji infostealerem atakujący spokojnie logował się do systemu bankowego jak „prawowity użytkownik”.

To połączenie generatywnej AI, RaaS, deepfake’ów, IoT, infostealerów i socjotechniki tworzy mieszankę, która uderza w fundamenty: dane, płynność finansową i reputację. I właśnie dlatego sama lista „narzędzi bezpieczeństwa” przestaje wystarczać – potrzebne jest myślenie systemowe.

Szybkość ataków, skala strat i twarde liczby

Jeśli cokolwiek w tym obszarze jest naprawdę bezlitosne, to są to dane. W projektach, które prowadzę, zawsze zaczynam od pokazania liczb – bo one mocno zdejmują złudzenia.

Dziś:

  • czas wyprowadzenia danych z firmy spadł z 9 dni do ok. 25 minut,
  • generatywna AI zwiększa szybkość ataków nawet 100 razy,
  • średnia wartość okupu w atakach ransomware w pierwszej połowie 2025 roku to 841 tys. dolarów, przy czym przestępcy coraz częściej wybierają mniejsze firmy i konkretne sektory (np. usługi profesjonalne, logistykę, zdrowie).

Dorzucam do tego jeszcze jedną niewygodną statystykę: tylko 37% organizacji realnie ocenia bezpieczeństwo narzędzi AI przed ich wdrożeniem, mimo że dwie trzecie z nich spodziewa się dużego wpływu AI na cyberbezpieczeństwo. Innymi słowy – wszyscy korzystają, mało kto sprawdza, z czym tak naprawdę się integruje.

Do tego:

  • 43% firm wskazuje brak umiejętności w obszarze cyberbezpieczeństwa jako główną przeszkodę w zarządzaniu ryzykiem,
  • 54% dużych organizacji mówi wprost, że złożoność łańcuchów dostaw i brak widoczności bezpieczeństwa po stronie dostawców jest jedną z głównych barier w budowaniu cyberodporności,
  • 32% firm miało w 2025 roku styczność z fraudami technologicznymi (w tym wyłudzeniami finansowymi) – straty są już dwukrotnie wyższe niż w poprzednich latach.

Poniższa tabela dobrze pokazuje, jak zmieniło się środowisko ryzyka:

Element Wartość / Zmiana Skutki dla firmy
Szybkość cyberataków Wzrost do 100 razy dzięki AI generatywnej Konieczność natychmiastowej reakcji i zaawansowanej detekcji
Średni czas wyprowadzania danych Ze 9 dni do 25 minut Ryzyko szybkiej utraty danych i strat finansowych
Wzrost ataków na IoT Ponad 50% wzrost Rosnące ryzyko naruszeń przez urządzenia podłączone do sieci
Maksymalne kary finansowe Do 10 milionów euro lub 2% rocznego obrotu Potencjalne poważne obciążenie finansowe i utrata reputacji
Przełamanie szyfrowania kwantowego Złamanie 50-bitowego RSA Potrzeba wdrożenia nowego typu zabezpieczeń odpornych na ataki kwantowe

Kiedy na jednym z warsztatów wyświetliłam tę tabelę i dopisałam obok „+ 841 tys. dolarów średniego okupu”, zapadła zupełna cisza. Dopiero wtedy zarząd uświadomił sobie, że „to nie jest problem działu IT”, ale realne ryzyko dla cash flow.

Do tego dochodzi jeszcze jeden, często pomijany obszar: dostawcy i łańcuch dostaw. Wielu incydentów nie zaczyna się w Twojej infrastrukturze, ale u partnera, z którym wymieniasz dane. Bez zarządzania tym ryzykiem „odziedziczasz” cudze problemy jako swoje.

NIS2 – co realnie znaczy dla Twoich finansów

Dyrektywa NIS2 to dla wielu firm „jakaś unijna regulacja, którą trzeba odhaczyć”. Gdy zaczynamy ją rozpakowywać, okazuje się, że to w praktyce mapa wymagań, którą można przekuć na przewidywalność i odporność biznesu.

Jeśli działasz w sektorach kluczowych (energia, zdrowie, transport, finanse, cyfrowa infrastruktura) lub świadczysz ważne usługi cyfrowe w UE, NIS2 wymaga od Ciebie:

  • regularnych audytów bezpieczeństwa,
  • posiadania gotowych, działających procedur reagowania,
  • zgłaszania incydentów w ciągu 24 godzin do odpowiednich organów.

Dla finansów kluczowe są jednak kary: sięgające nawet kilkunastu milionów euro albo procentu rocznego obrotu. Połączenie potencjalnego okupu, przestoju operacyjnego, kar regulacyjnych i utraty klientów potrafi „przekroczyć” niejeden budżet.

W polskich firmach dochodzi jeszcze inny problem – Shadow AI. Rozmawiając z zespołami, bardzo często słyszę: „u nas nikt nie używa ChatGPT do danych klientów”. Po krótkim sprawdzeniu okazuje się, że zespół marketingu korzysta z niego regularnie, dział sprzedaży loguje tam dane z CRM, a HR wrzuca fragmenty CV.

Badania pokazują, że 63% polskich firm nie jest pewnych, czy w ogóle potrafi wykrywać nieautoryzowane użycie AI w organizacji. To klasyczny przykład sytuacji, w której regulacje (jak NIS2) wymagają od Ciebie kontroli, a kultura pracy wpycha dane w narzędzia, których nikt nie ocenił pod kątem bezpieczeństwa.

Z praktyki widzę jeszcze jedną korzyść: firmy, które naprawdę wdrażają wymagania NIS2, porządkują przy okazji swoją architekturę i procesy. Z chaosu „każdy robi swoje” przechodzą na system, w którym wiadomo, kto za co odpowiada, jak klasyfikowane są dane i co dzieje się przy incydencie. To procentuje daleko poza samym bezpieczeństwem.

Fundamenty ochrony finansów i danych: polityki, procesy, technologia

Ochrona finansów i danych nigdy nie zaczyna się od zakupu narzędzia. W każdej firmie, z którą pracuję, zaczynam od trzech bardzo przyziemnych pytań: co chronimy, kto ma do tego dostęp i co robimy, kiedy coś pójdzie nie tak.

Dobrze zdefiniowana polityka bezpieczeństwa nie jest plikiem PDF leżącym na SharePoincie, tylko zbiorem zasad, które:

  • jasno określają, czym są dane wrażliwe (np. numer PESEL, dane finansowe, dane klientów),
  • przypisują role i uprawnienia – kto widzi co, w jakim zakresie i w jakim systemie,
  • opisują sposób przechowywania, udostępniania i niszczenia informacji,
  • zawierają procedury reagowania – krok po kroku, a nie „zadzwonić do informatyka”.

W jednej z firm, którą wspierałam, polityka bezpieczeństwa istniała „na papierze”, ale nikt jej nie znał. Po inspekcji okazało się, że w codziennej pracy dokumenty z danymi klientów były wymieniane przez prywatne maile i komunikatory. Dla przestępcy to prezent.

Na tym fundamencie dopiero budujemy warstwę technologiczną: systemy detekcji anomalii, narzędzia oparte na uczeniu maszynowym, segmentację sieci, monitoring urządzeń IoT, kontrolę dostępu do chmury. Przy obecnym poziomie zaawansowania ataków klasyczne zabezpieczenia „sygnaturowe” nie wystarczają – potrzebujesz mechanizmów, które widzą nietypowe zachowania, a nie tylko znane wzorce zagrożeń.

I wreszcie trzeci element: ludzie. 43% firm przyznaje wprost, że brak umiejętności w obszarze cyberbezpieczeństwa jest główną barierą w zarządzaniu ryzykiem. W praktyce to oznacza, że możesz mieć świetny system, ale jeśli pracownik kliknie „tak” w fałszywą aktualizację albo prześle dane do „nowego banku zarządu” podanego w mailu, technologia będzie sprzątać skutki, a nie zapobiegać problemom.

Mocne hasła i menedżery haseł: mały wysiłek, ogromny efekt

Najbardziej przyziemny temat, który wraca jak bumerang, to hasła. Jeśli widzę w firmie hasło w stylu „Firma2024!” lub – jeszcze lepiej – to samo hasło w pięciu systemach, wiem, że mamy poważny problem, niezależnie od tego, jakie inne narzędzia bezpieczeństwa tam działają.

Słabe, powtarzalne hasła są dla dzisiejszych ataków tym, czym otwarte drzwi z kartką „proszę nie wchodzić”. Przy generatywnej AI łamanie haseł metodą słownikową czy brute force staje się jeszcze szybsze i tańsze.

Dlatego przechodzimy na:

  • hasła długie, losowe, zróżnicowane,
  • inne hasło dla każdego systemu,
  • brak przechowywania ich „w pamięci pracownika” czy w przeglądarce.

I tutaj wchodzą menedżery haseł – LastPass, Bitwarden, 1Password i inne. W firmach, które automatyzuję, standardem staje się centralny menedżer z kontrolą dostępu, gdzie:

  • hasła są generowane automatycznie i przechowywane w zaszyfrowanej formie,
  • dostęp jest nadawany i odbierany wraz z cyklem życia pracownika,
  • nie ma potrzeby „pamiętania” hasła, więc znika pokusa jego upraszczania.

W jednej z małych firm usługowych, z którą pracowałam, pełny przegląd haseł zakończył się resetem ponad 120 kont i wdrożeniem menedżera. Po trzech miesiącach zespół przyznał, że loguje się szybciej niż wcześniej, a ryzyko wycieku haseł z przeglądarek praktycznie zniknęło.

PRO TIP: do menedżera haseł dołóż monitoring wycieków. Jeśli narzędzie wykryje Twoje hasło w publicznych bazach, zresetuj je natychmiast. Dobrze jest też skracać czas ważności sesji cookie w kluczowych systemach (np. bankowość, CRM) – dzięki temu przejęta sesja jest mniej warta dla atakującego.

Autoryzacja dwuskładnikowa (2FA): drugi klucz do sejfu

Drugim filarem zabezpieczenia kont jest autoryzacja dwuskładnikowa (2FA). W praktyce oznacza to prostą rzecz: samo hasło nie wystarcza, potrzebny jest drugi składnik – kod z aplikacji, klucz sprzętowy, powiadomienie push, itp.

Przy atakach, które widzieliśmy w ostatnich latach (od głośnych włamań na konta w mediach społecznościowych po przejęcia skrzynek mailowych zarządu), scenariusz jest podobny: hasło gdzieś wycieka, ktoś je przechwytuje, loguje się z nowego urządzenia… i już.

2FA wprowadza dodatkowy krok: nawet jeśli ktoś zna Twoje hasło, nadal potrzebuje czegoś, co masz tylko Ty – telefonu z aplikacją (np. Google Authenticator, Authy, Microsoft Authenticator) albo fizycznego klucza. Dla przestępcy to ogromna bariera.

W jednej z firm, z którą współpracuję, wprowadziliśmy zasadę: brak 2FA = brak dostępu do systemu krytycznego. Po początkowym narzekaniu („kolejna aplikacja na telefon…”) po pierwszym zablokowanym logowaniu z Rosji czy innego egzotycznego miejsca wszyscy zrozumieli, o co chodzi.

Szyfrowanie danych: ostatnia linia obrony

Szyfrowanie traktuję jak pas bezpieczeństwa – nie zastąpi dobrej jazdy, ale kiedy zdarzy się „wypadek”, decyduje o skali szkód.

Dziś samo „używamy szyfrowania” to za mało. Komputery kwantowe już pokazują, że część dawnych standardów (jak 50-bitowe RSA) da się złamać. To sygnał, żeby przechodzić na nowoczesne, silne algorytmy i – co równie ważne – mądrze zarządzać kluczami deszyfrującymi.

W praktyce oznacza to:

  • korzystanie z nowoczesnych bibliotek kryptograficznych,
  • trzymanie kluczy w bezpiecznych modułach (HSM, dedykowane usługi chmurowe),
  • rotację kluczy według zdefiniowanej polityki,
  • ograniczony dostęp do kluczy – tylko dla wybranych ról.

W jednym projekcie migracji do chmury odkryliśmy, że klucze szyfrujące były… w tym samym repozytorium, co kod aplikacji. Wystarczyłby jeden wyciek Git-a, żeby cała ochrona stała się iluzoryczna.

Szyfrowanie to też wymaganie regulacyjne – bez niego trudno mówić o realnej ochronie danych osobowych, finansowych czy medycznych. Dlatego łączę techniczną warstwę szyfrowania z polityką uprawnień: kto może zobaczyć dane w formie jawnej i w jakim celu.

Aktualizacje oprogramowania: między WannaCry a fałszywymi łatami

Atak WannaCry do dziś jest przykładem tego, do czego prowadzi odkładanie aktualizacji „na później”. Niezaktualizowane systemy Windows były idealnym celem – luka istniała, łatka była dostępna, ale wiele organizacji jej nie wdrożyło na czas. Efekt: zaszyfrowane dane, przestoje, straty.

W mojej pracy widzę jednak drugi biegun ryzyka: fałszywe aktualizacje. Komunikaty łudząco przypominające okienka z Windowsa czy Androida zachęcają do „zainstalowania krytycznej łatki bezpieczeństwa”. Jedno kliknięcie i w systemie ląduje malware.

Dlatego w dojrzałych środowiskach robię dwie rzeczy:

  • centralizuję aktualizacje (np. WSUS, MDM, systemy zarządzania endpointami), żeby użytkownik nie instalował „czegokolwiek z internetu”,
  • uczę ludzi, że jeśli aktualizacja pojawia się w dziwnym momencie, wyświetla reklamy albo prosi o hasło – to sygnał alarmowy, nie rutynowy komunikat.

W jednej firmie produkcyjnej wykryliśmy, że pracownicy instalowali „sterowniki do drukarki” z przypadkowej strony, bo „tam działało”. Po audycie zablokowaliśmy instalacje z nieautoryzowanych źródeł i wdrożyliśmy prostą zasadę: nowe oprogramowanie przechodzi przez IT lub security.

Kopie zapasowe i plan ciągłości działania: Twoja poduszka bezpieczeństwa

Przy ransomware, awariach czy błędach ludzkich kopie zapasowe decydują, czy płacisz okup i stoisz, czy po prostu przywracasz systemy i jedziesz dalej.

Zaskakująco często widzę firmy, które „mają backup”, ale:

  • nigdy nie testowały procesu odtwarzania,
  • trzymają kopie w tej samej infrastrukturze, którą może zaszyfrować ransomware,
  • backupy nie obejmują wszystkich krytycznych systemów.

W jednym z projektów zrobiliśmy prosty test: symulacja utraty głównego serwera. Okazało się, że odtworzenie wymaga ręcznego łączenia kilku różnych kopii, a czas powrotu do działania przekraczał trzy dni. Dopiero wtedy zarząd zrozumiał, że backup to proces, nie „ptaszek w checklistcie”.

Dlatego łączę backup z planem ciągłości działania. Ten plan odpowiada na pytania:

  • które systemy i dane muszą wrócić jako pierwsze,
  • jaki maksymalny czas przestoju jest akceptowalny,
  • kto co robi w sytuacji kryzysowej (technicznie, komunikacyjnie, decyzyjnie).

Po takim ćwiczeniu firma ma nie tylko kopie zapasowe, ale też scenariusz, w którym nikt nie biega z pytaniem „co teraz?”, tylko realizuje znany plan.

IoT, urządzenia mobilne, chmura i kryptojacking – ataki z cienia

Nowoczesne firmy stoją dziś na IoT, mobile’u i chmurze. To świetnie dla biznesu, ale równie atrakcyjnie dla przestępców.

Urządzenia IoT – kamery, czujniki, czytniki, systemy budynkowe – często mają:

  • domyślne hasła,
  • brak aktualizacji,
  • podłączenie do tej samej sieci, co systemy biznesowe.

To idealna brama wejściowa. Widziałam firmę, w której włamanie zaczęło się od zhakowanej klimatyzacji podłączonej do sieci biurowej. Z pozoru absurd, w praktyce – bardzo częsty scenariusz.

W chmurze coraz częściej obserwujemy kryptojacking – przejęcie zasobów obliczeniowych do kopania kryptowalut. Dzieje się to zazwyczaj przez błędne konfiguracje (np. otwarte porty, brak segmentacji) i współdzieloną infrastrukturę. Efekt? Rosnące rachunki za chmurę, spadek wydajności, a czasem kolejne ataki prowadzone już z Twojego środowiska.

Na urządzeniach mobilnych, szczególnie z Androidem, dużym problemem są fałszywe aplikacje i rozszerzenia przeglądarki, które:

  • zbierają loginy i hasła,
  • przechwytują sesje bankowości elektronicznej,
  • łączą dane z wielu kont, budując pełny profil ofiary.

Tu wchodzą do gry wspomniane już infostealery, których celem są właśnie dane finansowe, sesje przeglądarki i zapisane hasła.

PRO TIP: wdrażaj przeglądarki biznesowe z centralnymi, globalnymi zabezpieczeniami dla wszystkich pracowników. Takie rozwiązania pozwalają blokować infostealery na poziomie sesji, wymuszać polityki haseł, kontrolować rozszerzenia i skracać czas życia cookie w kluczowych systemach.

Automatyzacja zarządzania tym środowiskiem (MDM, polityki bezpieczeństwa, segmentacja sieci, centralny monitoring) to jedyny skalowalny sposób, żeby nie gasić pojedynczych pożarów, tylko zmniejszyć palność całej infrastruktury.

Sztuczna inteligencja w cyberobronie: algorytmiczna precyzja + ludzka intuicja

Zawodowo stoję dokładnie w miejscu, w którym AI spotyka się z bezpieczeństwem. Widzę z pierwszej ręki, jak te same mechanizmy, które napędzają ataki, mogą też działać na korzyść obrony.

Klasyczne systemy bezpieczeństwa opierały się na sygnaturach: jeśli coś wygląda jak znane zagrożenie, blokujemy to. Dzisiaj ataki są zbyt zróżnicowane i zmienne, żeby taka logika wystarczyła. Stąd rola wykrywania anomalii w czasie rzeczywistym:

  • AI obserwuje normalne zachowania użytkowników i systemów,
  • wychwytuje odchylenia (np. nietypowe logowanie, masowy eksport danych, ruch do dziwnych lokalizacji),
  • automatycznie reaguje – blokuje dostęp, izoluje stację roboczą, podnosi alert.

W jednej z firm wprowadziliśmy system, który samoczynnie odcinał podejrzane sesje, kiedy widział nietypowy transfer danych do chmury spoza standardowych godzin pracy. Pierwszy raz, gdy zadziałał, użytkownik zadzwonił oburzony, że „system go wylogował”. Po analizie okazało się, że atakujący przejął jego dane logowania i próbował ściągnąć większą paczkę danych na zewnętrzny serwer.

Coraz częściej firmy sięgają po zintegrowane platformy bezpieczeństwa, łączące SIEM, SOAR, EDR, NDR i inne skróty w jedną, spójną całość. Dzięki temu:

  • zespół widzi pełny obraz, a nie wycinki z różnych narzędzi,
  • można automatyzować reakcje zamiast ręcznie sprawdzać każdy alert,
  • łatwiej egzekwować spójne polityki bezpieczeństwa.

Dla mnie kluczowe jest, żeby pamiętać o jednym: AI nie zastąpi zespołu bezpieczeństwa, ale może radykalnie podnieść jego skuteczność. Idealny model to symbioza ludzkiej kreatywności i algorytmicznej precyzji – ludzie projektują scenariusze, AI pilnuje ich w skali, której człowiek nie jest w stanie ogarnąć ręcznie.

Edukacja i kultura bezpieczeństwa: od „problem IT” do wspólnej odpowiedzialności

Największą zmianę w firmach widzę wtedy, gdy cyberbezpieczeństwo przestaje być traktowane jako „temat IT”, a staje się elementem kultury organizacyjnej.

Podczas jednego ze szkoleń zrobiłyśmy z zespołem prosty eksperyment: wygenerowałam kilka maili phishingowych przy użyciu AI, dopasowanych do ich realnych projektów. Ponad połowa osób przyznała, że „pewnie by kliknęła”. To była najlepsza ilustracja tego, że technologia ataku jest dziś naprawdę dobra – i że bez świadomych ludzi będzie wygrywać.

Pracownicy potrzebują:

  • praktycznych przykładów (jak wygląda dobry phishing, jak brzmi deepfake),
  • prostych zasad zgłaszania incydentów („lepiej zgłosić za dużo niż za mało”),
  • jasnej polityki: jakie kanały są dopuszczalne, jak weryfikujemy nietypowe prośby, jak działamy pod presją czasu.

Bez kultury, w której każdy czuje się współodpowiedzialny za bezpieczeństwo, nawet najlepsze technologie będą „łatać skutki”, a nie zapobiegać przyczynom.

Deepfake, CEO fraud i nowa generacja fraudów technologicznych

Deepfake’i to dziś nie ciekawostka z internetu, tylko narzędzie realnych fraudów finansowych. Coraz częściej słyszę historie firm, w których:

  • głos „prezesa” dzwoni do działu finansowego z prośbą o ominięcie procedury „bo kontrakt życia właśnie się zamyka”,
  • „dyrektorka” na wideo prosi o zmianę numeru konta dla wielomilionowej płatności,
  • nagrania wideo są wykorzystywane jako „dowód” autentyczności poleceń.

W tle widać szerszy trend: w 2025 roku 32% firm zgłosiło doświadczenie z fraudami technologicznymi, a straty finansowe z tego tytułu podwoiły się względem poprzednich lat.

Jak się przed tym realnie bronić?

Po pierwsze, procedury finansowe muszą być odporne na presję czasu i „autorytet nazwiska”. Każda większa płatność powinna wymagać:

  • wielostopniowego zatwierdzenia,
  • weryfikacji w drugim, niezależnym kanale (np. telefon na znany numer, nie na ten z maila),
  • udokumentowania całego procesu.

Po drugie, edukacja w zakresie inżynierii społecznej – pracownicy muszą wiedzieć, że:

  • „pilność” i „tajność” to najczęstsze narzędzia manipulacji,
  • zmiana rachunku bankowego bez formalnej procedury to czerwone światło,
  • deepfake może brzmieć jak znajoma osoba – ale to nadal tylko dane.

Po trzecie, narzędzia techniczne – systemy do wykrywania manipulacji w audio/wideo i analizy zachowań użytkowników mogą wychwycić nienaturalne sekwencje zachowań.

W Hivecluster.pl często powtarzam, że proces ma chronić ludzi przed byciem zmuszonymi do heroizmu. Jeśli system finansowy wymaga drugiego podpisu, niezależnej weryfikacji i czasu na sprawdzenie, znacznie trudniej jest wymusić szybką, błędną decyzję, nawet świetnie przygotowanym deepfake’iem.

Ransomware i RaaS: dlaczego płacenie okupu to zły model biznesowy

Ransomware stało się usługą. Dosłownie. W modelu Ransomware-as-a-Service (RaaS) ktoś tworzy narzędzie, inny ktoś kupuje dostęp i uruchamia ataki. Jeśli dołożymy do tego generatywną AI, która podsuwa dobre maile phishingowe, marketing tego „biznesu” jest przerażająco skuteczny.

Średni okup na poziomie 841 tys. dolarów pokazuje skalę problemu. Jeszcze bardziej niepokojące jest jednak to, że przestępcy coraz częściej celują w mniejsze firmy, które:

  • nie mają rozbudowanych działów bezpieczeństwa,
  • szybciej podejmują decyzję „zapłaćmy, byle ruszyć biznes”,
  • rzadko mają dobrze przetestowane procedury odzyskiwania danych.

W praktyce płacenie okupu:

  • nie gwarantuje pełnego odzyskania danych,
  • nie usuwa złośliwego kodu z systemów,
  • często prowadzi do ponownych ataków („skoro raz zapłacili, spróbujmy jeszcze raz”).

Dlatego w moich projektach traktuję płacenie okupu jako ostateczność, której chcemy uniknąć, a nie scenariusz bazowy. Kluczowa jest:

  • solidna strategia backupowa (z kopią offline / offsite),
  • plan odtwarzania (techniczny i operacyjny),
  • jasne procedury komunikacji z klientami i partnerami na wypadek incydentu.

Kiedy po jednym z ataków ransomware klient zapytał „ile by nas kosztowało przywrócenie wszystkiego z backupu, gdybyśmy nie musieli płacić?”, odpowiedź była brutalna: kilkukrotnie mniej niż zapłacony okup. Od tamtej pory backup i DR (disaster recovery) są na stałe w jego priorytetach inwestycyjnych.

7 kroków do podniesienia cyberbezpieczeństwa w małej i średniej firmie

Na koniec zbiorę to w praktyczną checklistę, z którą często pracuję z właścicielami MŚP. To nie jest „idealny stan korporacji”, tylko realny plan dojścia krok po kroku.

  1. Ustal i wdroż politykę bezpieczeństwa
    Opisz zasady korzystania z zasobów cyfrowych, podziel dane na kategorie wrażliwości, przypisz role i uprawnienia. Dokument ma żyć – omawiaj go z zespołem, aktualizuj, odwołuj się do niego w decyzjach.

  2. Rób regularne audyty bezpieczeństwa
    Nie chodzi tylko o skany podatności, ale o całościowe spojrzenie: systemy, procesy, ludzi, dostawców. W erze NIS2 audyty przestają być „fanaberią” – stają się koniecznością.

  3. Ustal zasady zgłaszania incydentów i reaguj szybko
    Każdy w firmie musi wiedzieć, jak i komu zgłosić incydent. Czasem „dziwny mail” zgłoszony przez jedną osobę ratuje całą organizację. Model 24-godzinnego okna raportowania, który widzimy w NIS2, jest dobrym wzorcem.

  4. Zbuduj sensowną strategię backupu i ciągłości działania
    Regularne kopie zapasowe, przechowywane w bezpiecznej lokalizacji, plus przetestowany plan odtwarzania. W scenariuszu ransomware backup ma być Twoją kartą przetargową – nie okup.

  5. Inwestuj w edukację i świadomość zespołu
    Phishing, deepfake, fałszywe aktualizacje – to dziś codzienne narzędzia ataku. Szkolenia powinny być praktyczne, oparte na przykładach z Twojej branży, a nie ogólnych wykładach.

  6. Automatyzuj bezpieczeństwo i wykorzystuj AI po „jasnej stronie mocy”
    Zintegrowane platformy, systemy wykrywania anomalii, centralne zarządzanie urządzeniami, biznesowe przeglądarki z globalnymi politykami – to wszystko odciąża ludzi i redukuje ryzyko Shadow AI, błędów konfiguracyjnych i „samowolki” narzędziowej.

  7. Aktualizuj systemy i narzędzia zabezpieczeń, pilnuj dostawców
    Aktualizacje, przeglądy konfiguracji, testy, a do tego kontrola bezpieczeństwa w łańcuchu dostaw. Pamiętaj, że 54% dużych organizacji widzi w dostawcach jedno z głównych źródeł ryzyka – MŚP nie są tu wyjątkiem.

Wdrożenie nawet części z tych kroków podnosi poziom bezpieczeństwa zauważalnie. Im bardziej zautomatyzujesz i uporządkujesz te obszary, tym mniej czasu będziesz spędzać na gaszeniu pożarów, a więcej na rozwijaniu biznesu.

FAQ cyberbezpieczeństwo – pytania, które słyszę najczęściej

Czy moja firma musi dostosować się do dyrektywy NIS2?

Jeśli działasz w sektorach kluczowych lub świadczysz ważne usługi cyfrowe na terenie UE, odpowiedź najczęściej brzmi: tak. W praktyce oznacza to konieczność wdrożenia audytów, procedur reagowania, raportowania incydentów i odpowiednich zabezpieczeń technicznych. Nawet jeśli formalnie nie podlegasz NIS2, dobrze zaprojektowane procesy „pod tę dyrektywę” są po prostu zdrowym standardem bezpieczeństwa.

Jak realnie chronić się przed deepfake’ami i fraudami technologicznymi?

Podstawą jest procedura, nie „przeczucie”. Każde nietypowe polecenie finansowe (nowe konto, zmiana danych, pilny przelew) powinno przejść dodatkową weryfikację innym kanałem – np. telefonem na znany numer, a nie ten podany w mailu. Do tego dochodzi edukacja zespołu w zakresie inżynierii społecznej i, tam gdzie to ma sens, narzędzia techniczne do analizy audio/wideo. Pamiętaj też, że fraudy technologiczne to nie margines – w 2025 roku doświadczyło ich już 32% firm.

Czy powinniśmy płacić okup w przypadku ataku ransomware?

Z czysto biznesowego punktu widzenia to bardzo zły model obrony. Płacenie nie daje gwarancji odzyskania danych ani nie zabezpiecza przed kolejnym atakiem, a dodatkowo może rodzić ryzyka prawne i wizerunkowe. Zamiast zakładać, że „w razie czego zapłacimy”, lepiej zainwestować w:

  • solidne, przetestowane backupy,
  • plan ciągłości działania,
  • monitoring i automatyczne wykrywanie ataków.

W firmach, z którymi pracuję, celem jest sytuacja, w której na żądanie okupu możesz odpowiedzieć spokojnie: „dziękujemy za informację, przywrócimy dane z naszych systemów”.

Jeśli czujesz, że Twoja firma jest gdzieś pomiędzy „mamy antywirusa” a „chcemy prawdziwej odporności”, to znaczy, że jesteś w tym samym miejscu, w którym zaczyna większość moich klientów. Dobra wiadomość jest taka, że bezpieczeństwo da się zautomatyzować i zintegrować z codziennym działaniem firmy tak, by chroniło finanse, nie spowalniając rozwoju. I dokładnie do tego dążę, projektując cyfrowe ekosystemy w Hivecluster.pl.