Nawet giganci przegrywają w cyberprzestrzeni. Fala ataków i miliony utraconych danych

Cyberataki przestały być nadzwyczajnymi incydentami, które można tłumaczyć „pechem” albo pojedynczym błędem pracownika. Coraz częściej są efektem struktury współczesnego biznesu – opartego na sieci podwykonawców, dostawców usług chmurowych, zewnętrznych konsultantów i operatorów platform SaaS. W praktyce oznacza to, że kluczowym elementem bezpieczeństwa firmy bywa dziś nie jej własny dział IT, lecz partner technologiczny, którego infrastruktura została źle skonfigurowana albo zabezpieczona słabiej, niż zakładano.

Większość firm zaatakowanych w ostatnich tygodniach nie ujawnia szczegółów incydentów. Jednym z wyjątków była amerykańska firma McGraw Hill – jeden z największych wydawców edukacyjnych na świecie, osiągająca ponad 2 mld dolarów rocznych przychodów.

W kwietniu wyciekły dane 13,5 mln kont użytkowników firmy. Cyberprzestępcy wykorzystali lukę wynikającą z błędnej konfiguracji środowiska Salesforce. Problemem nie okazał się więc klasyczny „atak z zewnątrz”, lecz niewłaściwie zabezpieczony element infrastruktury wykorzystywanej przez firmę na co dzień.

Straty i znane marki

Podobny mechanizm pojawił się w przypadku platformy Snowflake. Cyberprzestępcy z grupy ShinyHunters wykorzystali błędy zabezpieczeń do ataku na Rockstar Games. Uzyskali dostęp do niemal 79 mln rekordów, obejmujących m.in. zgłoszenia błędów i problemy raportowane przez użytkowników. To pokazuje, że dzisiejsze cyberataki coraz rzadziej przypominają filmowe włamania do pojedynczego komputera. Znacznie częściej polegają na przejmowaniu dostępu do usług, które organizacje już wcześniej powierzyły zewnętrznym partnerom.

Nawet Komisja Europejska nie jest bezpieczna

Skala problemu dotyka również instytucji publicznych. Pod koniec marca ujawniono, że grupa TeamPCP zdobyła dostęp do klucza API wykorzystywanego w środowisku Amazon Web Services. Pozwoliło to uzyskać dostęp do części zasobów związanych z Komisją Europejską.

W efekcie do sieci trafiło ok. 340 GB danych. Wśród nich znalazły się nazwiska, adresy mailowe oraz treści wiadomości związane z funkcjonowaniem platformy europa.eu.

CERT-EU potwierdził, że incydent objął co najmniej 29 różnych jednostek Unii Europejskiej korzystających z usług hostingowych platformy.

„Atakujący wykorzystał przejęty dostęp do AWS do eksfiltracji danych z dotkniętego incydentem środowiska chmurowego. Wyprowadzone dane dotyczą stron internetowych hostowanych dla maksymalnie 71 klientów usługi hostingowej Europa: 42 klientów wewnętrznych Komisji Europejskiej oraz co najmniej 29 innych podmiotów unijnych” – poinformował CERT-EU.

Przeczytaj: Miały być tanie pizze, skończyło się cyberatakiem. Spryt w walce z polskim biznesem

Granica ryzyka coraz dalej

Kwietniowa seria incydentów dobrze pokazuje, jak bardzo przesunęła się granica ryzyka w cyberbezpieczeństwie. Nie chodzi już wyłącznie o to, czy duża firma ma własny dział bezpieczeństwa, zapory sieciowe i procedury reagowania na incydenty.

Dziś kluczowe staje się to, jaki dostęp do wewnętrznych systemów mają zewnętrzni dostawcy, partnerzy technologiczni i ich pracownicy. A także czy organizacja potrafi ten dostęp kontrolować, ograniczać i odbierać w momencie, gdy przestaje być potrzebny.

W gospodarce opartej na outsourcingu, kontraktorach, usługach chmurowych i platformach SaaS odpowiedzialność za cyberbezpieczeństwo nie kończy się tam, gdzie kończy się umowa o pracę.

Komentarz partnera cyklu

Gdzie kończy się odpowiedzialność?

Dostawcy IT, firmy outsourcingowe, konsultanci czy partnerzy B2B mają dziś realny dostęp do systemów, danych i procesów biznesowych. Z perspektywy cyberbezpieczeństwa oznacza to jedno: granice organizacji się zatarły, ale granice odpowiedzialności – już nie. To firma nadal odpowiada za ochronę danych i ciągłość działania, nawet jeśli incydent zaczyna się po stronie zewnętrznego partnera.

Dlatego pojęcie „pracownika” w cyberbezpieczeństwie wymaga redefinicji. Nie chodzi już o formę zatrudnienia, lecz o poziom dostępu i wpływu na organizację. Każda osoba logująca się do systemów, przetwarzająca dane lub uczestnicząca w kluczowych procesach staje się częścią cyberkultury firmy – niezależnie od tego, czy pracuje na etacie, kontrakcie B2B czy po stronie dostawcy.

Praktyka pokazuje, że partnerzy zewnętrzni często okazują się najsłabszym ogniwem całego ekosystemu. Firmy skupiają się na własnych procedurach i zabezpieczeniach, zaniedbując ludzki czynnik po drugiej stronie umowy.

Jak temu przeciwdziałać? Coraz większe znaczenie ma odejście od myślenia, że „umowa załatwia wszystko”. Same kwestionariusze bezpieczeństwa czy punktowe audyty przestają wystarczać w środowisku dynamicznych relacji biznesowych.

Najbardziej dojrzałe organizacje rozszerzają cyberkulturę także na partnerów zewnętrznych. Stosują zasadę minimalnych uprawnień, precyzyjnie definiują odpowiedzialność dostawców, angażują ich w działania związane ze świadomością cyberzagrożeń i monitorują realne zachowania, a nie tylko deklaracje zgodności.

W praktyce oznacza to traktowanie ryzyka dostawcy jak własnego ryzyka organizacji – bo właśnie tak postrzegają je dziś regulatorzy, klienci i rynek.

Cyberbezpieczeństwo przestaje być sprawą pojedynczej firmy. Staje się cechą całego ekosystemu, w którym najsłabsze ogniwo bardzo rzadko znajduje się dokładnie tam, gdzie kończy się struktura organizacyjna. 

Mariusz Kaczmarek

dyrektor zarządzający Pionem Transformacji Cyfrowej w Totalizatorze Sportowym

Umowa o pracę i cyberbezpieczeństwo

Stawka rośnie, bo współczesne cyberataki coraz rzadziej zaczynają się od spektakularnego przełamania głównej bariery firewall. Znacznie częściej wykorzystują istniejące już połączenia – konto konsultanta, dostęp dostawcy, źle skonfigurowane narzędzie SaaS albo laptop osoby, która formalnie nie jest pracownikiem firmy, ale codziennie pracuje na jej danych.

W raporcie Verizon Data Breach Investigations Report 2025 wskazano, że udział stron trzecich stał się jednym z największych wyzwań dla organizacji. Aż 60 proc. incydentów miało związek z błędami ludzkimi, a 30 proc. naruszeń wiązało się z przełamaniem zabezpieczeń po stronie partnerów zewnętrznych.

Jak ma się to do modeli zatrudnienia? Outsourcing, kontrakty B2B, umowy zlecenia i umowy o dzieło obniżają koszty stałe oraz zwiększają elastyczność biznesu. Jednocześnie rozciągają granice przedsiębiorstwa daleko poza jego formalną strukturę. Z perspektywy cyberbezpieczeństwa ma to ogromne znaczenie, bo coraz mniej liczy się sama forma współpracy, a coraz bardziej – poziom uprawnień, dostęp do systemów, urządzeń, tokenów i danych.

Przeczytaj: NIS2 obnaża prawdę o polskich firmach. „Są kompletnie nieprzygotowane na ataki przez dostawców"

NIS2 nadeszło

Znaczenie tego problemu rośnie również za sprawą unijnej dyrektywy NIS2 – próby podniesienia poziomu cyberbezpieczeństwa w sektorach kluczowych dla gospodarki. Komisja Europejska opisuje NIS2 jako jednolite ramy prawne dla cyberbezpieczeństwa w 18 krytycznych sektorach Unii Europejskiej. Polskie przepisy wdrażające dyrektywę obowiązują od 2 kwietnia br.

NIS2 nie dotyczy wyłącznie operatorów infrastruktury krytycznej czy największych firm technologicznych. Zarządzanie ryzykiem zgodnie z dyrektywą obejmuje także bezpieczeństwo łańcucha dostaw – relacje z dostawcami oraz usługi, z których korzysta organizacja.

European Union Agency for Cybersecurity (ENISA) w swoich rekomendacjach dotyczących bezpieczeństwa łańcucha dostaw podkreśla, że bezpieczeństwo partnerów zewnętrznych jest integralnym elementem zarządzania ryzykiem cybernetycznym.

W praktyce oznacza to przesunięcie odpowiedzialności z poziomu „czy mamy politykę bezpieczeństwa” na poziom „czy potrafimy wykazać, że kontrolujemy ryzyko wynikające z dostępu osób i firm zewnętrznych”.

Taka kontrola obejmuje m.in. rejestry dostępów, audyty, procedury nadawania i odbierania uprawnień, segmentację systemów, monitoring aktywności oraz reakcję na incydenty. Coraz większe znaczenie mają także szkolenia, testy bezpieczeństwa i odpowiednie klauzule w umowach z dostawcami.

Ryzyko przestało być abstrakcyjne. Z raportu IBM „Cost of a Data Breach 2025” wynika, że średni globalny koszt naruszenia danych wyniósł 4,4 mln dolarów. To wprawdzie o 9 proc. mniej niż rok wcześniej – głównie dzięki szybszemu wykrywaniu i ograniczaniu skutków incydentów – ale ataki związane z dostawcami i łańcuchem dostaw należały do najdroższych kategorii naruszeń. Średni koszt takich incydentów sięgał 4,91 mln dolarów.

Umowa o pracę daje kontrolę, B2B wymaga innych mechanizmów

Z perspektywy cyberbezpieczeństwa różnica między pracownikiem etatowym a osobą współpracującą na zasadach B2B czy umowy cywilnoprawnej nie polega na tym, że jedna grupa jest „bezpieczna”, a druga „ryzykowna”. Chodzi raczej o zupełnie inne mechanizmy kontroli i odpowiedzialności.

Pracownik zatrudniony na umowie o pracę jest częścią organizacji w sensie prawnym, operacyjnym i kadrowym. Pracodawca może wydawać polecenia służbowe, narzucać procedury, kontrolować wykonywanie obowiązków w granicach prawa pracy oraz stosować środki dyscyplinarne.

Jednocześnie etat zapewnia pracownikowi znacznie silniejszą ochronę niż umowy cywilnoprawne. Dotyczy to nie tylko czasu pracy, urlopu czy minimalnego wynagrodzenia, lecz także odpowiedzialności materialnej wobec pracodawcy.

Zgodnie z art. 119 kodeksu pracy odszkodowanie za szkodę wyrządzoną nieumyślnie nie może przekraczać równowartości trzymiesięcznego wynagrodzenia pracownika. W przypadku poważnego incydentu cybernetycznego – wycieku danych, paraliżu systemów czy utraty reputacji – taki limit bardzo rzadko odpowiada rzeczywistej skali szkody.

B2B i większy zakres odpowiedzialności

W relacji B2B albo przy umowie cywilnoprawnej ciężar odpowiedzialności przesuwa się na treść kontraktu. Zleceniobiorca czy jednoosobowy przedsiębiorca nie jest zwykłym pracownikiem, lecz odrębną stroną umowy. Co do zasady odpowiedzialność kontraktowa wynika z art. 471 kodeksu cywilnego. Dłużnik musi naprawić szkodę wynikającą z niewykonania lub nienależytego wykonania zobowiązania, chyba że nastąpiło to z przyczyn, za które nie ponosi odpowiedzialności.

Teoretycznie więc podwykonawca odpowiada szerzej niż pracownik etatowy. W praktyce taka przewaga często okazuje się pozorna. Jeżeli umowa B2B nie zawiera precyzyjnych zapisów dotyczących zakresu odpowiedzialności, zabezpieczeń czy zasad dostępu do danych, spór po incydencie może szybko przenieść się do sądu.

Problemów jest znacznie więcej. Dotyczą choćby zasad korzystania ze sprzętu, zakazu używania prywatnych urządzeń, sposobu przechowywania danych czy procedur zgłaszania incydentów. W efekcie spór po cyberataku może okazać się kosztowny, długotrwały i trudny do jednoznacznego rozstrzygnięcia.

Przeczytaj: Cyberzagrożenia nie znikają. 10 sposobów, by je wyeliminować

Jak nie „wypchnąć” ryzyka poza organizację?

Z perspektywy bezpieczeństwa freelancer mający administracyjny dostęp do repozytorium kodu może mieć większy wpływ na bezpieczeństwo organizacji niż etatowy specjalista pracujący wyłącznie na wewnętrznych dokumentach.

Podobnie konsultant wdrażający system finansowy może widzieć więcej danych niż większość pracowników księgowości. Agencja marketingowa obsługująca kampanie reklamowe często uzyskuje dostęp do paneli reklamowych, kont społecznościowych, danych leadów, systemów analitycznych i narzędzi automatyzacji sprzedaży.

Dlatego granica organizacji przebiega dziś nie według prawa pracy, lecz według zakresu dostępów. Kto ma dostęp do danych, systemów, kodu, infrastruktury lub procesów decyzyjnych, staje się częścią potencjalnej powierzchni ataku. A więc powinien być objęty polityką bezpieczeństwa.

Coraz większego znaczenia nabiera pojęcie „cyberkultury organizacyjnej”. W praktyce oznacza ono codzienne nawyki związane z bezpieczeństwem cyfrowym – zarówno po stronie pracowników, jak i partnerów zewnętrznych.

Chodzi o pozornie proste kwestie: czy menedżerowie wiedzą, jakie uprawnienia nadawać pracownikom i podwykonawcom? Czy dostępy są odbierane po zakończeniu projektu? Czy firma wymusza uwierzytelnianie dwuskładnikowe? No i wreszcie – czy potrafi sprawdzić, kto pobrał określony plik i kiedy?

ENISA wskazywała w jednym z raportów dotyczących bezpieczeństwa łańcucha dostaw, że 86 proc. badanych organizacji posiadało polityki cyberbezpieczeństwa dla łańcucha ICT/OT. Problem polega jednak na tym, że tylko 47 proc. przeznaczało na ten obszar dedykowany budżet, a 76 proc. nie miało jasno przypisanych ról i odpowiedzialności.

Kto zyskuje, kto traci?

Wyzwania związane z cyberbezpieczeństwem nie kończą się na pracownikach czy kontraktach B2B. Coraz większe znaczenie ma także bezpieczeństwo poddostawców usług.

ENISA w raporcie „NIS Investments 2025” zwracała uwagę, że rosnące uzależnienie od zewnętrznych usług ICT i bezpieczeństwa tworzy nowe podatności – szczególnie wtedy, gdy dostawcami są małe i średnie firmy dysponujące ograniczonymi zasobami.

Ryzyko związane z łańcuchem dostaw i stronami trzecimi było drugą najczęściej wskazywaną obawą dotyczącą przyszłości cyberbezpieczeństwa. Wskazało je 47 proc. respondentów.

W praktyce oznacza to, że duże organizacje będą coraz częściej przerzucać wymagania bezpieczeństwa na mniejszych partnerów. Mały software house, agencja marketingowa czy konsultant IT mogą być zobowiązani do przedstawiania certyfikatów, polityk bezpieczeństwa, potwierdzeń szkoleń, polis cyberubezpieczeniowych, czy raportów z audytów.

Z drugiej strony, kontraktorzy i dostawcy będą próbować ograniczać nadmierne przerzucanie odpowiedzialności. Wymogi cyberbezpieczeństwa bywają bowiem asymetryczne – duży klient oczekuje standardów korporacyjnych, ale nie zawsze chce finansować czas i narzędzia potrzebne do ich spełnienia.

Dlatego w umowach coraz częściej pojawiają się rozbudowane klauzule odpowiedzialności, krótkie terminy zgłaszania incydentów, czy szerokie prawa do audytu. Dla jednoosobowej działalności lub niewielkiej firmy spełnienie takich wymagań może być trudne organizacyjnie i finansowo.

Granica odpowiedzialności

Gdzie więc kończy się cyberodpowiedzialność firmy? W praktyce tam, gdzie organizacja jest w stanie wykazać, że racjonalnie zidentyfikowała ryzyko, dobrała proporcjonalne środki bezpieczeństwa, egzekwowała je i reagowała na naruszenia.

Jeżeli zewnętrzny konsultant obchodzi zabezpieczenia, korzysta z prywatnej chmury mimo zakazu, udostępnia hasła albo kopiuje dane poza środowisko klienta, jego odpowiedzialność może być realna. Firma nadal będzie jednak oceniana przez pryzmat tego, czy takie zachowanie można było przewidzieć i ograniczyć.

Kluczowe stają się więc pytania: jaki był zakres dostępu? Czy dane można było pobierać masowo bez alarmu? Czy konto pozostało aktywne po zakończeniu współpracy? A może organizacja monitorowała nietypowe działania użytkowników?

Znaczenie tych problemów rośnie wraz ze zmianą otoczenia technologicznego. Firmy wdrażają narzędzia AI, automatyzują procesy i pozwalają zespołom testować nowe aplikacje, które często trafiają do organizacji poza formalnym procesem zakupowym.

IBM w raporcie z 2025 r. wskazywał, że 63 proc. organizacji nie miało polityk zarządzania AI ani procedur ograniczających zjawisko shadow AI. Co więcej, 97 proc. firm zgłaszających incydenty związane z AI nie posiadało odpowiednich mechanizmów kontroli dostępu do takich narzędzi.

To dodatkowo komplikuje sytuację kontraktorów i partnerów zewnętrznych. Specjalista pracujący dla firmy może wykorzystywać generatywną AI do analizy kodu, dokumentacji, danych klientów czy materiałów projektowych. Jeżeli organizacja nie określi zasad dotyczących wprowadzania danych, anonimizacji informacji oraz listy zatwierdzonych narzędzi, ryzyko będzie szybko rosło.

Główne wnioski

1. Cyberbezpieczeństwo coraz rzadziej zależy wyłącznie od wewnętrznych zabezpieczeń firmy. Realne ryzyko pojawia się dziś przede wszystkim na styku organizacji z dostawcami, konsultantami, podwykonawcami i usługami chmurowymi. Przypadki McGraw Hill, Rockstar Games czy instytucji Unii Europejskiej pokazują, że błędna konfiguracja, przejęty dostęp lub luka po stronie partnera mogą doprowadzić do ogromnych wycieków danych. Granica organizacji przebiega więc nie według formy zatrudnienia, lecz według zakresu dostępu do systemów, danych i procesów.
2. Model współpracy z pracownikami i kontraktorami ma bezpośredni wpływ na odpowiedzialność po incydencie. Umowa o pracę daje firmie większą kontrolę operacyjną nad pracownikiem, ale ogranicza jego odpowiedzialność materialną przy winie nieumyślnej. W modelu B2B odpowiedzialność może być szersza, jednak tylko wtedy, gdy kontrakt precyzyjnie określa obowiązki bezpieczeństwa, zasady korzystania ze sprzętu, procedury zgłaszania incydentów, audytów oraz ewentualne kary umowne. Sam outsourcing nie oznacza bowiem przeniesienia ryzyka poza organizację.
3. Nowe regulacje, w tym NIS2, wzmacniają wymóg zarządzania ryzykiem w całym łańcuchu dostaw. Firmy muszą nie tylko posiadać polityki bezpieczeństwa, lecz także umieć wykazać, że realnie kontrolują dostęp zewnętrznych osób i podmiotów. Obejmuje to m.in. rejestry uprawnień, segmentację systemów, monitoring, szkolenia, audyty oraz procedury odbierania dostępu po zakończeniu współpracy. Rozwój AI i zjawisko shadow AI dodatkowo komplikują sytuację, bo dane coraz częściej trafiają do narzędzi używanych poza formalnym nadzorem organizacji.