Większość poważnych incydentów bezpieczeństwa w polskich firmach nie zaczyna się od włamania do serwera. Zaczyna się od jednego kliknięcia, jednej wpisanej w pośpiechu pary login i hasło, jednej faktury opłaconej bez sprawdzenia. Pracujemy na co dzień z instytucjami kultury, jednostkami administracji, firmami komunalnymi i podmiotami ochrony zdrowia, więc dobrze wiemy, jak wygląda taka sytuacja od środka. W tym wpisie pokazujemy, dlaczego dobrze prowadzony program security awareness przestał być dodatkiem do polityki bezpieczeństwa i stał się jednym z głównych mechanizmów obronnych organizacji, jakie scenariusze ataków obserwujemy u klientów i jak zacząć budować odporność zespołu krok po kroku.
Dlaczego większość incydentów zaczyna się od człowieka, a nie od kodu?
Świadomość bezpieczeństwa pracowników jest dziś tym samym, czym dwadzieścia lat temu była zapora sieciowa. Bez niej żadna inna ochrona nie działa do końca poprawnie. Analizy branżowe od lat pokazują, że około dziewięćdziesiąt pięć procent skutecznych ataków wykorzystuje w jakimś punkcie błąd człowieka, a nie podatność w kodzie czy konfiguracji. Atakujący wybierają najtańszą i najszybszą drogę. Łatwiej napisać przekonującą wiadomość niż złamać system Microsoft 365 zabezpieczony MFA.
W praktyce widzimy to przy każdym audycie. Firma ma zaktualizowane serwery, dobrze skonfigurowany firewall i kopie zapasowe. Mimo to dział księgowości opłaca fakturę na zmieniony numer konta. Dział kadr przekazuje dane pracowników osobie podszywającej się pod prezesa. Ktoś z biura instaluje program zdalnego dostępu, bo dzwoniący przedstawił się jako technik dostawcy.
Atak socjotechniczny obchodzi technologię, ponieważ celuje w to, czego technologia nie kontroluje. W ludzkie nawyki, presję czasu, hierarchię w organizacji i automatyzm reakcji na znajomo wyglądające komunikaty. Pracownik, który nie przeszedł świadomego szkolenia, działa zgodnie ze swoim doświadczeniem zawodowym, a nie zgodnie z procedurą bezpieczeństwa. To naturalne i sami atakujący na tym bazują.
Stąd nasze podejście. Traktujemy zespół klienta jak warstwę zabezpieczeń. Tak samo wymaga konfiguracji, testów i utrzymania jak każdy inny element infrastruktury IT.
Trzy scenariusze, które poprzedziły wdrożenia security awareness u naszych klientów
Programy świadomości bezpieczeństwa zazwyczaj nie pojawiają się w organizacji w wyniku spokojnej analizy ryzyka. Pojawiają się po konkretnym wydarzeniu, które otwiera oczy zarządowi. Te trzy scenariusze powtarzają się u naszych klientów najczęściej.
Pierwszy to opłacona fałszywa faktura. Dostawca, z którym firma współpracuje od lat, przysyła mailem informację o zmianie numeru rachunku. Wszystko wygląda standardowo. Stopka, logo, podobny adres mailowy. Przelew idzie na konto przestępców i zazwyczaj nie da się go już cofnąć. Strata bywa pięcio lub sześciocyfrowa.
Drugi to przejęcie skrzynki pocztowej pracownika. Ktoś wpisał login i hasło na fałszywej stronie logowania do poczty. Przez tydzień atakujący czyta wiadomości, uczy się sposobu komunikacji firmy, a potem pisze z tej skrzynki do klientów lub do księgowości. Wiadomości są naturalne, bo wychodzą z prawdziwego konta. Wykrycie zajmuje długo, a skutki sięgają daleko poza pojedynczego pracownika.
Trzeci to ransomware uruchomiony z załącznika. Pracownik otworzył plik wyglądający jak zamówienie albo dokument przewozowy. Po kilku godzinach zaszyfrowane są udziały sieciowe, czasem także kopie zapasowe podpięte do tej samej sieci. Firma staje na kilka dni, a koszty obejmują nie tylko odtworzenie danych, ale też utracone przychody.
W każdym z tych przypadków technologia działała poprawnie. Brakowało jednego ogniwa, czyli pracownika potrafiącego zatrzymać się na sekundę przed wykonaniem akcji.
Phishing ukierunkowany czyli atak, którego pracownik nie rozpoznaje
Phishing masowy zna już prawie każdy. Te niedopracowane wiadomości od kuriera albo z banku, w których aż widać, że coś jest nie tak. Problem polega na tym, że dziś nie z tym walczymy. Realne zagrożenie to phishing ukierunkowany, czasem nazywany spear phishingiem.
Atakujący przed wysłaniem wiadomości robi rozeznanie. Sprawdza LinkedIn, stronę firmy, sprawozdania finansowe w KRS, profile zarządu, ogłoszenia o przetargach. Wie, kto u kogo raportuje, jak nazywają się projekty, kto odpowiada za płatności. Następnie pisze wiadomość, która pasuje do kontekstu organizacji jak ulał.
W praktyce wygląda to tak. Specjalista do spraw zakupów dostaje mail od osoby podającej się za przedstawiciela firmy logistycznej, z którą współpracuje od dwóch lat. W treści jest odniesienie do ostatniej dostawy i prośba o pilne potwierdzenie danych do nowej umowy ramowej. Link prowadzi do strony łudząco podobnej do panelu logowania dostawcy. Po wpisaniu danych pracownik widzi standardowy komunikat o błędzie, więc próbuje jeszcze raz na prawdziwej stronie. Wszystko wygląda normalnie. Tymczasem dane już są przejęte.
Tego rodzaju wiadomość przechodzi przez filtry antyspamowe, ponieważ nie ma w niej masowych cech phishingu. Jest jedna, dobrze napisana, kierowana do konkretnej osoby. Skuteczność takich kampanii bywa kilkukrotnie wyższa niż phishingu masowego.
Z tego powodu podczas naszych testów penetracyjnych ten typ ataku zostawiamy zawsze. Pokazuje on dokładnie, w którym miejscu organizacja jest najsłabsza i na czym powinno skupić się szkolenie pracowników.
Fałszywe faktury i podszywanie się pod prezesa BEC w praktyce
Business Email Compromise to dziś jeden z najkosztowniejszych rodzajów oszustw w polskich firmach. Mechanizm jest prosty, ale skutki dotkliwe. Atakujący podszywa się pod osobę z najwyższego kierownictwa albo pod znanego kontrahenta i wykorzystuje autorytet do wymuszenia szybkiej decyzji finansowej.
Typowy scenariusz CEO fraud wygląda następująco. Pracownica działu finansowego dostaje wiadomość od prezesa. Treść mówi o pilnej transakcji, o której nie może na razie nikomu powiedzieć, bo dotyczy poufnych negocjacji. Prezes prosi o natychmiastowy przelew na wskazane konto, obiecuje, że wszystko wyjaśni po powrocie z delegacji. Wiadomość przychodzi pod koniec tygodnia, kiedy weryfikacja telefoniczna jest utrudniona. Pracownica chce dobrze wykonać swoją pracę, więc realizuje polecenie.
Wariant z fakturą działa inaczej. Atakujący przejmuje skrzynkę pocztową kontrahenta albo tworzy bardzo podobną domenę. Wysyła z niej fakturę za usługę, która rzeczywiście była realizowana, ale podmienia numer rachunku bankowego. Wszystko inne się zgadza. Kwota, numer dokumentu, nazwa usługi. Przelew trafia do przestępcy.
W naszej praktyce widzimy, że BEC udaje się głównie tam, gdzie nie ma jasnej procedury weryfikacji zmian danych rozliczeniowych. Wystarczy jeden telefon do znanego numeru kontrahenta, żeby zatrzymać atak. Bez tego nawyku nawet zaawansowane filtry antyphishingowe nie pomogą, bo wiadomość przychodzi z prawdziwego konta lub z domeny różniącej się jedną literą, której nikt nie sprawdza.
Dlatego w naszych programach security awareness BEC omawiamy zawsze osobno, z konkretnymi przykładami z lokalnego rynku i z gotowymi procedurami do wdrożenia w firmie.
Co zmienia regularny program szkoleniowy zamiast jednorazowego kursu?
Jednorazowe szkolenie wygląda na liście kontrolnej dobrze. Daje certyfikat, daje wpis do dokumentacji, daje poczucie, że temat został odhaczony. W praktyce po trzech miesiącach od takiego szkolenia większość pracowników nie pamięta już szczegółów, a po pół roku zachowuje się tak, jakby kursu nigdy nie było.
Mózg człowieka działa w określony sposób. Bez powtórek i bez ćwiczeń w kontekście pracy wiedza po prostu się ulatnia. Atakujący o tym wiedzą. Najwięcej skutecznych kampanii phishingowych przeprowadza się właśnie kilka miesięcy po szkoleniach branżowych, kiedy ludzie znów obniżyli czujność.
Regularny program działa inaczej. Wdrażamy u klientów cykl, w którym co kilka tygodni dzieje się coś nowego. Krótki mikromoduł e-learningowy zajmujący kwadrans. Symulowana kampania phishingowa dopasowana do realiów konkretnej firmy. Komunikat o aktualnym zagrożeniu obserwowanym na rynku. Quiz sprawdzający kilka praktycznych sytuacji.
Najważniejsza zmiana zachodzi w nastawieniu zespołu. Pracownicy przyzwyczajają się, że bezpieczeństwo jest częścią ich codziennej pracy, a nie wydarzeniem raz w roku. Zaczynają zgłaszać podejrzane wiadomości, zanim ktokolwiek je o to poprosi. Pytają zespół IT, kiedy nie są pewni. Sprawdzają numery kont przy nietypowych przelewach.
Korzystamy z platformy Moxso, której jesteśmy pierwszym oficjalnym partnerem w Polsce. Daje ona możliwość prowadzenia adaptacyjnych kampanii phishingowych. Osoby, które klikają w symulowane wiadomości, dostają więcej testów do momentu zmiany zachowania. Pracownicy radzący sobie dobrze przechodzą do trudniejszych scenariuszy. Cały proces jest mierzalny, więc widać, jak odporność organizacji rośnie miesiąc po miesiącu.
Jak mierzyć skuteczność security awareness czyli metryki, które mają sens?
Bez pomiaru program szkoleniowy zamienia się w deklarację. Robimy, więc działa. Tymczasem zarząd i audytorzy mają prawo zapytać, ile faktycznie zmieniło się w organizacji po roku inwestowania w świadomość bezpieczeństwa. Dobre programy odpowiadają na to pytanie liczbami.
Najbardziej praktyczna metryka to wskaźnik klikalności w symulowanych kampaniach phishingowych. Pokazuje, jaki procent zespołu daje się złapać na realnie wyglądającą wiadomość. Wartość początkowa potrafi przekroczyć trzydzieści procent. Po roku regularnych ćwiczeń schodzi poniżej dziesięciu, a w dojrzałych organizacjach poniżej pięciu.
Druga metryka to wskaźnik raportowania. Mierzy, ilu pracowników aktywnie zgłasza podejrzane wiadomości, zamiast je usuwać bez akcji. To wskaźnik często ważniejszy od samej klikalności, ponieważ pokazuje, że zespół zaczął traktować bezpieczeństwo jako wspólną odpowiedzialność.
Trzeci obszar to czas reakcji. Od momentu pojawienia się phishingu w skrzynkach do pierwszego zgłoszenia. W zdrowej organizacji pierwsze zgłoszenia pojawiają się w ciągu kilku minut, a zespół IT potrafi zablokować kampanię, zanim ktokolwiek kliknie.
Czwarta metryka dotyczy kompetencji. Sprawdzamy, ilu pracowników ukończyło wymagane szkolenia, jak wypadli w testach końcowych i jak zmieniają się ich wyniki w czasie. Platforma Moxso, z której korzystamy, agreguje te dane w jednym panelu i pozwala porównać sytuację organizacji ze statystykami globalnymi.
Te liczby są bezpośrednio użyteczne podczas audytów ISO 27001, ocen zgodności z RODO oraz wewnętrznych przeglądów ryzyka. Pokazują, że bezpieczeństwo informacji jest zarządzane, a nie tylko opisane w dokumentach.
Od czego zacząć wdrożenie programu security awareness w firmie?
Najczęstszy błąd przy starcie to próba zrobienia wszystkiego naraz. Wielki plan, długa lista szkoleń, ambitne deklaracje. Po kwartale projekt grzęźnie, bo nikt nie ma czasu na taki zakres. Lepsze podejście to mały, ale mierzalny start, na którym buduje się kolejne etapy.
Pierwszy krok to diagnoza. Przeprowadzamy u klienta jedną kampanię phishingową bez wcześniejszego uprzedzenia zespołu, czasem także test penetracyjny obejmujący wejście fizyczne do siedziby. Otrzymujemy realny obraz tego, jak organizacja reaguje dziś, zanim cokolwiek zmieniamy. Bez tego nie da się rzetelnie ocenić postępów.
Drugi krok to szkolenie bazowe dopasowane do wyników diagnozy. Czterogodzinna sesja stacjonarna omawia konkretne sytuacje zaobserwowane podczas testów, a nie ogólne zasady z podręcznika. Ludzie widzą wyniki własnej firmy, swoje błędy i sposoby ich uniknięcia. Taka forma działa nieporównanie lepiej niż abstrakcyjne prezentacje.
Trzeci krok to wdrożenie cyklu. Platforma szkoleniowa wraz z regularnymi symulacjami phishingu, mikromodułami i raportowaniem. Konfigurujemy integrację z Microsoft Entra ID, Google Workspace lub Slackiem, żeby nowi pracownicy automatycznie trafiali do programu, a kliknięcie w symulowaną wiadomość uruchamiało dodatkowy moduł edukacyjny.
Czwarty krok to procedury. Bez jasnych instrukcji co robić w sytuacji incydentu nawet czujny pracownik nie pomoże firmie. Pomagamy spisać prostą procedurę zgłaszania incydentów bezpieczeństwa, klasyfikację zdarzeń oraz ścieżki eskalacji. Dokument powinien zmieścić się na jednej stronie i wisieć tam, gdzie pracownicy go zobaczą.
Naszą rolą jest poprowadzenie całego procesu od audytu zero, przez szkolenia, po utrzymanie programu w kolejnych latach. Klient otrzymuje opiekuna projektu i raporty, na podstawie których kierownictwo może podejmować decyzje.
Co warto zapamiętać?
Świadomy zespół jest dziś jednym z najbardziej opłacalnych zabezpieczeń, jakie firma może wdrożyć. Jego skuteczność rośnie z każdym miesiącem regularnej pracy, a koszty są nieporównywalnie niższe od skutków pojedynczego udanego ataku BEC czy ransomware. W ICT Future łączymy doświadczenie inżynierów cyberbezpieczeństwa z platformą Moxso i własnymi programami szkoleniowymi prowadzonymi dla instytucji kultury, administracji, firm komunalnych i podmiotów ochrony zdrowia. Jeśli chcesz porozmawiać o tym, jak zbudować taki program u siebie, napisz lub zadzwoń. Pokażemy konkretne ścieżki dopasowane do specyfiki Twojej organizacji.