Witold Ziomek: Zacznijmy od podstaw. Firma zostaje zaatakowana przez cyberprzestępców. Jak wygląda pierwszy kontakt?
Krzysztof Dyki, prezes ComCERT, Grupa Asseco: Najczęściej mamy do czynienia z dwoma scenariuszami wykrycia problemu. Pierwszy polega na tym, że ofiara sama odnajduje ślady ataku w swojej infrastrukturze. Przykładowo, systemy przestają działać – częściowo lub całkowicie – co zmusza informatyków do diagnozy problemu. W trakcie tych działań natrafiają na pliki zawierające żądanie okupu. To klasyczny przypadek, w którym ofiara od razu wie, że ma do czynienia z atakiem ransomware.
Drugi scenariusz jest bardziej subtelny i często trudniejszy do wykrycia. W tym przypadku dochodzi do częściowego paraliżu systemów, który nie od razu wzbudza alarm na poziomie zarządu czy kierownictwa firmy. Często myślą oni, że to zwykła awaria IT. W takich sytuacjach ofiara może być nieświadoma ataku przez kilka dni, a nawet tygodni. Dopiero gdy cyberprzestępcy kontaktują się bezpośrednio – wysyłając e-maile, SMS-y czy nawet wykonując połączenia głosowe generowane przez sztuczną inteligencję – staje się jasne, że mogło dojść do poważnego naruszenia bezpieczeństwa.
Witold Ziomek: Czy zdarza się, że firmy ignorują te sygnały?
Krzysztof Dyki: Tak, zdarza się. Czasami ofiary próbują zaprzeczać rzeczywistości – twierdzą, że nie było ataku, bo ich dział IT nie odnotował żadnych nieprawidłowości. Jednak w końcu prawda wychodzi na jaw. Bywa, że zajmuje to kilka dni lub nawet dłużej, zanim zarząd zrozumie powagę sytuacji i zacznie traktować wiadomości od przestępców poważnie.
Witold Ziomek: Jakie są typowe żądania cyberprzestępców i jak wygląda ich komunikacja?
Krzysztof Dyki: Z reguły pierwsza wiadomość jest szablonowa. To prosty komunikat: „Zostałeś zaatakowany, możesz uniknąć kłopotów”. Zawiera kwotę okupu – najczęściej w kryptowalutach, głównie bitcoinach – oraz adres portfela do wpłaty. Jeśli jednak ofiara nie jest przypadkowym celem wirusów automatycznie atakujących, zamiast konkretnej kwoty dostaje zaproszenie do kontaktu.
Witold Ziomek: Co tak naprawdę można stracić w wyniku takiego ataku?
Krzysztof Dyki: Straty mogą być duże i wielowymiarowe. Z perspektywy biznesowej, a także instytucji publicznych, pierwszym, co się traci, jest wizerunek, opinia i renoma. To może przełożyć się na finanse – utrata klientów oznacza utratę zaufania, a w konsekwencji dochodów.
Problem polega na tym, że klienci często nie wiedzą dokładnie, co zostało wykradzione. Przestępcy przekonują, że mają wszystko. W takich przypadkach pomagamy ustalić zakres wycieku danych i ocenić ryzyko ich upublicznienia.
Czasami dochodzi do sytuacji, w których upublicznienie danych staje się bezcenne dla konkurencji. Przykładem może być przypadek dużej polskiej firmy informatycznej sprzed około roku. Upubliczniono wtedy dane dotyczące kontraktów, marż, ofert, cenników czy vendorów. Konkurencja miała dostęp do pełnej dokumentacji biznesowej tej firmy, potencjalnie mogąc to wykorzystać.
Witold Ziomek: Firma dowiedziała się o ataku, przeczytała wiadomość, zna kwotę okupu. Co dzieje się dalej?
Krzysztof Dyki: Niezależnie od tego, czy mówimy o urzędzie miejskim, czy korporacji, schemat jest bardzo podobny. W momencie, gdy zarząd uświadamia sobie powagę sytuacji, organizowane jest spotkanie kryzysowe. I wtedy najczęściej pada jedno pytanie: „Czy płacić?”. Rzadko kiedy rozpoczynają się merytoryczne analizy czy refleksje. Dominuje strach i paraliż decyzyjny.
Nieco obrazowo, wyobraźmy sobie menadżerówz dużym doświadczeniem, błyskotliwych i skutecznych. Kiedy jednak stają w obliczu cyberataku, często korzystają z pomocy doradców z przeszłością w służbach. Ci doradcy często znają świat przestępczy, ale rzadko kiedy cyberprzestępczy. To dwa różne światy. Cyberprzestępczość – zwłaszcza ta najbardziej zaawansowana i profesjonalna – jest zupełnie inna. Największe grupy działają jak korporacje: są skomercjalizowane i sprofesjonalizowane.
Witold Ziomek: Wspomniałeś o profesjonalizacji tych grup. Jak wygląda ich struktura?
Krzysztof Dyki: Profesjonalne grupy przestępcze składają się z dwóch głównych kategorii osób: inżynierów oraz menedżerów. Inżynierowie to autorzy wirusów i narzędzi hakerskich – techniczni specjaliści odpowiedzialni za stworzenie złośliwego oprogramowania. Menedżerowie natomiast pełnią rolę koordynatorów – to oni koordynują negocjacje i zarządzają całym procesem ataku oraz wymuszenia okupu.
Witold Ziomek: Te negocjacje wymagają specyficznego podejścia?
Krzysztof Dyki: Jeśli wchodzisz w rozmowę i od razu deklarujesz chęć zapłaty okupu bez żadnej próby negocjacji, zapłacisz dokładnie tyle, ile podano w pierwszym żądaniu. Natomiast jeśli podejdziesz do tego profesjonalnie – przedstawisz problem jako incydent wymagający eksperckiego wsparcia, pokażesz znajomość tematu i zaczniesz negocjować – masz szansę obniżyć kwotę. Wszystko zależy od twojego podejścia i sposobu prowadzenia rozmowy.
Witold Ziomek: Czy zdarza się, że ktoś podszywa się pod znane grupy przestępcze?
Krzysztof Dyki: Tak, zdarza się. Czasami ktoś próbuje wykorzystać renomę dużej grupy przestępczej, aby wzbudzić większy strach i wiarygodność u ofiary. Jednak metody działania mogą ujawnić prawdę. Profesjonalne grupy mają swoje standardy – zarówno w komunikacji, jak i w sposobie prowadzenia ataków. Jeśli widzę niespójności w ich działaniach lub komunikatach, wiem, że mam do czynienia z oszustem.
Witold Ziomek: Czyli kluczowe jest to, z kim negocjujesz?
Krzysztof Dyki: Dokładnie tak. Musisz wiedzieć, z kim masz do czynienia. Albo musisz mieć kogoś, kto potrafi ocenić wiarygodność danej grupy i przekonać cię, że warto podjąć negocjacje. Pewność można mieć tylko w przypadku dużych, weryfikowalnych grup przestępczych, które mają swoją renomę i działają według określonych, charakterystycznych dla siebie zasad.
Witold Ziomek: Sformułowanie „wiarygodność grupy przestępczej” brzmi nieco absurdalnie, ale pójdźmy w tę stronę. Na czym ona polega i jak wpływa na proces negocjacji?
Krzysztof Dyki: Wiarygodność jest kluczowa zarówno dla ofiar ataków, jak i dla samych grup przestępczych. Duże grupy budują swoją renomę poprzez konsekwentne działanie i publikowanie danych na znanych platformach – coś w rodzaju „expo” przestępczego. Jeśli ktoś próbuje działać poza tymi standardami lub podszywa się pod dużą grupę bez odpowiednich metod pracy, szybko zostaje zdemaskowany.
Często proszę przestępców o przesłanie kilku odszyfrowanych plików jako dowodu ich wiarygodności. To standardowa praktyka – muszą udowodnić, że rzeczywiście posiadają dane i mogą je odszyfrować. Jeśli znam grupę przestępczą z wcześniejszych negocjacji, proces przebiega szybciej i bardziej sprawnie. Jeśli jej nie znam, muszę najpierw upewnić się co do jej wiarygodności.
Witold Ziomek: Często miewasz do czynienia z amatorami?
Krzysztof Dyki: Zdarza się. Przykładem może być sytuacja sprzed roku. Klient był przekonany, że został zaatakowany przez profesjonalną grupę przestępczą. Okazało się jednak, że to były osoby nieprofesjonalne. Byli zbyt mało doświadczeni i, pomimo przedostania się do infrastruktury ofiary, nie mogli wyrządzić jej poważnych szkód publicznych.
Witold Ziomek: Zdarzają się sytuacje, w których mówisz: „Nie, z tymi ludźmi nie warto negocjować”? Na przykład dlatego, że są niewiarygodni lub nieweryfikowalni?
Krzysztof Dyki: Zasada jest prosta: im mniejsza grupa przestępcza, tym większe problemy podczas negocjacji. Mniejsze grupy są mniej profesjonalne i wiarygodne, a ich zachowania trudniejsze do przewidzenia. Z kolei większe grupy działają bardziej profesjonalnie – mają swoje standardy i procedury. To może brzmieć przewrotnie, ale im większa grupa, tym łatwiej prowadzić negocjacje.
Witold Ziomek: Co robisz w sytuacji, gdy grupa okazuje się niewiarygodna?
Krzysztof Dyki: Jeśli uznam, że grupa jest niewiarygodna lub jej działania budzą moje wątpliwości, często doradzam klientowi alternatywne podejście. Jeżeli ofiara nie jest dużym podmiotem to może rozważyć ryzyko upublicznienia informacji, oczywiście pod warunkiem akceptacji ewentualnych skutków. Zamiast inwestować poważne kwoty w negocjacje i okup dla takiej grupy, czasami lepiej przeznaczyć te środki na odbudowę infrastruktury – nowe serwery czy inne rozwiązania technologiczne.
Witold Ziomek: Załóżmy, że firma podejmuje decyzję o rozpoczęciu negocjacji. Jak wygląda kontakt z cyberprzestępcami?
Krzysztof Dyki: Obecnie najczęstszym sposobem kontaktu jest e-mail. Może to dziwić, ale przestępcy dbają o swoją wiarygodność i czas pracy – zarówno swój, jak i ofiary. Nazwa domeny e-mail wygląda normalnie, ale infrastruktura stojąca za tym mailem jest zaawansowana i trudna do namierzenia. Drugim popularnym sposobem są linki do sieci Tor, gdzie komunikacja odbywa się poprzez czaty tekstowe w przeglądarce internetowej.
Co ciekawe, profesjonalne grupy przestępcze mają swoje własne technologie czatowe i systemy logowania dla „klientów”. Jeśli trafisz na naprawdę dużągrupę, możesz liczyć na 24-godzinną obsługę klienta przez 7 dni w tygodniu.
Witold Ziomek: Jakie są pierwsze kroki, które podejmujesz jako negocjator w przypadku kontaktu z cyberprzestępcami?
Krzysztof Dyki: Pierwszym krokiem jest ustalenie, czy ktokolwiek z firmy próbował wcześniej nawiązać kontakt z cyberprzestępcami lub czy oni sami się kontaktowali. Jeżeli taki kontakt miał miejsce, muszę rozmawiać bezpośrednio z osobą, która prowadziła tę interakcję.
Nie interesują mnie plotki czy relacje pośrednie – potrzebuję dokładnych informacji z pierwszej ręki. Czasami zdarza się, że ktoś w firmie próbował już negocjować, ale zrobił to nieudolnie, co prowadziło do eskalacji problemu, na przykład do zerwania negocjacji lub podniesienia kwoty okupu.
Witold Ziomek: Doradzasz firmom zapłatę okupu?
Krzysztof Dyki: Zakładam, że to będzie pierwsze pytanie, zanim jeszcze wejdę na spotkanie. Jednak to nie jest pytanie do mnie. Następuje więc konsternacja po stronie ofiary. Prezes patrzy na wiceprezesa, ten na szefa IT, szef IT na szefa bezpieczeństwa – nie ma chętnego do odpowiedzialności.
Wyjaśniam klientowi, że decyzja o ewentualnych negocjacjach i zapłacie zawsze należy do niego, do mnie należy wyjaśnienie co się stało, kim jest dana grupa przestępcza, jakie są opcje i metody działania. To moment kluczowy – kierownictwo musi zrozumieć, że nikt lepiej niż ofiara nie wie, czy opłaca im się zapłacić okup. Mogę długo odpowiadać na pytania, ale nie odpowiadam na pytanie czy płacić.
Witold Ziomek: Załóżmy, że dochodzi do przekazania okupu i firma dokonuje płatności. Na ile można mieć pewność, że sprawa zostanie zakończona pozytywnie, a dane nie zostaną upublicznione?
Krzysztof Dyki: Żadnej. To jest dokładnie tak, jak w przypadku negocjacji haraczu za lokal, na przykład restaurację. Płacisz co miesiąc haracz, a ktoś obiecuje, że nie będzie podpaleń ani wybitych szyb. Taka sama gwarancja – żadna.
Witold Ziomek: Czy możesz podać przykład skutecznych negocjacji?
Krzysztof Dyki: Oczywiście. Jedna z takich sytuacji dotyczyła dużego sklepu internetowego, którego sprzedaż została sparaliżowana przez atak ransomware. Z innych negocjacji znałem grupę przestępczą odpowiedzialną za ten atak i wiedziałem, że można z nimi szybko dojść do porozumienia. Zaproponowałem im, że zrobimy szybkie negocjacje i szybką płatnością, innymi kryptowalutami niż Bitcoin – co zmniejszało ich koszty prania pieniędzy. Ale w zamian poprosiłem o udostępnienie części ważnych plików od razu, żeby umożliwić klientowi dalsze działanie. Udało się to wynegocjować ku zaskoczeniu klienta.
Witold Ziomek: Rozmawialiśmy o przestępcach, porozmawiajmy przez chwilę o policjantach. Na ile organy ścigania są w stanie skutecznie ująć sprawców takich ataków?
Krzysztof Dyki: Statystyki dotyczące liczby ataków są oficjalnie publikowane przez rząd i dostępne publicznie. Natomiast dane dotyczące wykrywalności sprawców lub pociągania ich do odpowiedzialności są znacznie mniej transparentne – głównie dlatego, że wyniki w tej dziedzinie są bardzo słabe.
Z mojego doświadczenia wynika, że w sprawach, które widziałem nie tylko nie pociągnięto nikogo do odpowiedzialności, ale nawet nie ustalono sprawcy. Rozmawiając ze znajomymi z innych krajów czy kolegami ze służb, słyszę podobne historie.
Witold Ziomek: Dlaczego tak się dzieje?
Krzysztof Dyki: Problem polega na tym, że brakuje specjalistów w służbach zajmujących się cyberprzestępczością. Priorytetem nadal jest zapewnienie bezpieczeństwa publicznego na ulicach, a nie budowanie zespołów ekspertów do walki z cyberprzestępczością. Oczywiście mamy Biuro do Zwalczania Cyberprzestępczości w Komendzie Głównej Policji, ale ono skupia się głównie na przestępstwach powszechnych – oszustwach na platformach e-commerce czy zastraszaniu na forach internetowych – a nie na ściganiu profesjonalnych grup przestępczych.
Witold Ziomek: A jak wygląda sytuacja polskich grup przestępczych? Czy liczą się one na arenie międzynarodowej?
Krzysztof Dyki: Polska ma wielu wybitnych inżynierów– jednostkowo jesteśmy bardzo silni. Jednak jako kraj mamy problem ze współpracą zespołową. To samo widzę w świecie cyberprzestępczości: polscy specjaliści osiągają światowy poziom indywidualnie, ale nasze grupy przestępcze nie należą do światowej czołówki.
Nie oznacza to jednak, że nie ma Polaków, którzy dorobili się fortun na cyberprzestępczości – są multimilionerzy mieszkający w Polsce lub za granicą. Ale jeśli chodzi o dobrze zorganizowane grupy, to dominują inne kraje, typu Rosja, czy Korea Północna. Zdarzają się też kraje Unii Europejskiej, takie jak Niemcy czy Francja.
Witold Ziomek: A co z hakerami z Korei Północnej? Jak działa tamtejsza scena cyberprzestępcza?
Krzysztof Dyki: W Korei Północnej cyberprzestępczość odbywa się pod kontrolą rządu. Tamtejsze grupy są silnie związane ze strukturami państwowymi i działają zgodnie z interesami rządu.
Witold Ziomek: A Rosja? Czy tam wygląda to podobnie?
Krzysztof Dyki: W Rosji sytuacja jest trochę inna. Rząd i służby specjalne przeważnie wiedzą, kto stoi za poszczególnymi grupami przestępczymi. Dopóki te grupy działają zgodnie ze strategią państwa rosyjskiego, ich ściganie nie jest priorytetem. Jednak jeśli ktoś próbuje działać samodzielnie lub wychodzi poza ramy wyznaczone przez państwo – może skończyć jak oligarchowie próbujący karier politycznych.
Rosja jest jednym z nielicznych krajów, gdzie państwo ma dobrą wiedzę o działalności grup cyberprzestępczych i może mieć wpływ na ich działania – gdyby tylko chciało go wykorzystać.
Witold Ziomek: Porozmawialiśmy już o tym, jak wyglądają ataki i negocjacje z cyberprzestępcami. Na koniec chciałbym zapytać, jak oceniasz poziom cyberbezpieczeństwa w polskich firmach? Gdzie są największe dziury i „furtki” dla hakerów?
Krzysztof Dyki: Największą „furtką” dla hakerów, którą widzę, jest człowiek – zarówno jako ofiara, jak i jako wektor ataku. To właśnie socjotechnika i manipulacje stanowią największe ryzyko. Człowiek jest na pierwszym miejscu, jeśli chodzi o luki w bezpieczeństwie. Dopiero później pojawia się problem braku specjalistów w dziedzinie cyberbezpieczeństwa, a na trzecim miejscu znajduje się technologia.
Dzisiaj człowiek i jego świadomość są najważniejsze. Ale jutro – za dekadę – to sztuczna inteligencja stanie się głównym ogniwem i wektorem ataku. Już teraz widzimy, że brakuje kadr specjalistycznych, a sytuacja będzie się pogarszać. Młodzi ludzie, którzy chcą wejść na rynek cyberbezpieczeństwa, czasami rezygnują po zetknięciu się ze skalą wyzwań technologicznych.
Witold Ziomek: Czy rozwój sztucznej inteligencji wpłynie na szczelność zabezpieczeń?
Krzysztof Dyki: Już teraz sztuczna inteligencja odgrywa dużą rolę w systemach cyberbezpieczeństwa. Niestety najlepsi ludzie po drugiej stronie mocy – najbogatsi i najbardziej utalentowani cyberprzestępcy – również korzystają z AI. Co więcej, tworzą własne silniki oparte na faktach, które dla celów przestępczych są cenniejsze niż popularne narzędzia takie jak ChatGPT.
Problem polega na tym, że obecne silniki AI w rozwiązaniach cyberbezpieczeństwa opierają się głównie na prawdopodobieństwie i wzorcach. Tymczasem niektórzy przestępcy już pracują nad silnikami opartymi na faktach – niewykrywalnymi dla obecnych systemów ochrony.
Witold Ziomek: Czy ten „wyścig zbrojeń” między zabezpieczeniami a przestępcami będzie trwał w nieskończoność?
Krzysztof Dyki: Tak, ten wyścig nigdy się nie skończy. Jedynym rozwiązaniem jest ciągłe inwestowanie w coraz lepsze zabezpieczenia i bycie gotowym na zagrożenia. Cyberbezpieczeństwo to świadomość i zdolność zarządzania zagrożeniami, a nie brak zagrożeń. Nie da się być w 100% bezpiecznym – kluczowe jest minimalizowanie ryzyka.
Krzysztof Dyki przed objęciem funkcji Prezesa ComCERT S.A. był między innymi autorem oprogramowania dla organów państwowych objętego ochroną informacji niejawnych. Współpracował z urzędami administracji rządowej, organami rządowej administracji zespolonej oraz jednostkami sektora finansów publicznych, w tym państwowymi instytucjami publicznoprawnymi.
W latach 2016-2017 współtwórca i Członek Zarządu spółki Aplikacje Krytyczne należącej do Ministerstwa Finansów, tworzącej analityczne systemy informatyczne wspomagające Administrację Podatkową i inne organy państwa w działalności karno-skarbowej oraz przeciwdziałaniu nieprawidłowościom finansowym.
Pełnił funkcję Członka Rady do Spraw Cyfryzacji powołanej przez Ministra Cyfryzacji, Członka Rady Naukowej NASK oraz Doradcy Komitetu Sterującego projektu elektronicznego dowodu osobistego (e-Dowód) – będąc powołanym łącznie przez Ministra Spraw Wewnętrznych i Administracji, Ministra Cyfryzacji oraz Ministra Zdrowia. Pełnił funkcję doradcy Prezesów wybranych spółek Skarbu Państwa. Jest członkiem Naukowo-Eksperckiej Rady Cyberbezpieczeństwa przy Wyższej Szkole Policji w Szczytnie. Posiada uprawnienia biegłego sądowego z zakresu IT, inżynierii wstecznej, cyberbezpieczeństwa i praw autorskich w IT.
