Cyberbezpieczeństwo. To nie technologia zawodzi. To człowiek, który klika „dalej”

W świecie, w którym każda informacja ma wartość, najsłabszym ogniwem wciąż pozostaje człowiek. Coraz częściej to właśnie ludzie – świadomi i przeszkoleni – stają się jednak pierwszą linią obrony przed cyberprzestępcami. Pytanie brzmi: jak sprawić, by pracownicy i klienci zamiast podatnych ofiar stali się tarczą ochronną?

Gdy reklama na Facebooku staje się bramą do bankructwa

Raport CERT Orange Polska za 2024 r. nie pozostawia złudzeń. Fałszywe inwestycje stanowiły aż 60 proc. wszystkich ataków phishingowych – to dwukrotnie więcej niż rok wcześniej. Mechanizm jest prosty: w mediach społecznościowych pojawia się reklama obiecująca szybki zysk na kryptowalutach czy akcjach znanych firm. Kliknięcie prowadzi do strony do złudzenia przypominającej prawdziwą giełdę. Dalej – już tylko podanie danych i utrata pieniędzy.

Eksperci alarmują, że nie są to incydenty niszowe. Setki tysięcy osób dają się nabierać na ten sam schemat, mimo że banki i regulatorzy ostrzegają od lat. Dlaczego? Bo ludzka chciwość i ufność bywają silniejsze niż zdrowy rozsądek.

– Cyberprzestępcy wykorzystują emocje: strach przed utratą okazji, chęć szybkiego zysku, pośpiech. Klikamy, zanim pomyślimy – mówił Robert Grabowski, szef CERT Orange Polska podczas prezentacji raportu.

Ale fałszywe inwestycje to tylko wierzchołek góry lodowej. Smishing, czyli oszustwa przez SMS-y o rzekomych paczkach czy blokadzie konta, stał się w Polsce plagą. Podszywanie się pod banki, ubezpieczycieli czy platformy sprzedażowe to codzienność. To nie technologia zawodzi, lecz człowiek, który w stresie lub pośpiechu klika „dalej”.

Przeczytaj: Wirtualne finanse na celowniku cyberprzestępców. Oto incydenty, które stały się lekcją dla całej branży

Dlaczego banki i ubezpieczyciele muszą uczyć jak szkoły?

Firmy finansowe i ubezpieczeniowe mają szczególną odpowiedzialność. Operują nie tylko pieniędzmi, ale też najbardziej wrażliwymi danymi: polisami zdrowotnymi, historiami kredytowymi, danymi rodzinnymi. Jeden wyciek może oznaczać nie tylko straty, lecz także lawinę pozwów i wielomilionowe kary.

Dlatego edukacja to nie dodatek, ale twarda inwestycja w bezpieczeństwo. Regulacje unijne tylko przyspieszają ten proces. Dyrektywa NIS2, przepisy RODO czy wytyczne nadzorów finansowych jasno mówią: pracownik musi wiedzieć, jak rozpoznać cyberatak, a klient – jak się przed nim chronić. Edukacja przestaje być kwestią dobrej woli, staje się obowiązkiem.

Historie, które bolą najbardziej

Za każdą statystyką kryją się prawdziwe dramaty. W 2024 r. głośno było o 70-letniej kobiecie, która straciła oszczędności życia, bo uwierzyła w reklamy „ekskluzywnej inwestycji” promowanej przez celebrytę. Z kolei w jednym ze starostw powiatowych w Polsce porzucono tysiące teczek z danymi osobowymi klientów – klasyczny przykład niedbalstwa i braku procedur.

Błędnie wysłany plik z danymi, niewylogowany komputer, hasło zapisane na karteczce – to wciąż najczęstsze przyczyny naruszeń. Cyberprzestępcy świetnie o tym wiedzą i zamiast forsować zapory czy łamać szyfry, wolą… wysłać sprytnego maila.

Do historii przeszedł incydent w Polskiej Agencji Prasowej, kiedy po kradzieży danych dostępowych do systemu opublikowano fałszywe depesze o rzekomej mobilizacji w Polsce. PAP szybko je usunęła i zdementowała, a sprawa została potraktowana jako cyberatak.

Edukacja, która działa

Nie chodzi o nudne szkolenia raz do roku. Edukacja musi być jak fitness – regularna, praktyczna i trochę bolesna.

Coraz więcej firm wprowadza „phishingowe testy” – wysyła do pracowników fałszywe maile, by sprawdzić ich czujność. Wyniki są wymowne: początkowo kilkadziesiąt proc. otwiera linki. Po kilku miesiącach – tylko kilku pracowników.

Inne organizacje stawiają na krótkie, angażujące formy: quizy, gry, aplikacje, które nagradzają za poprawne reakcje. Do klientów trafiają kampanie edukacyjne: „Nie klikaj w SMS o paczce”, „Twój bank nie prosi o przelanie pieniędzy w celu ich ochrony”.

Najważniejsze jest jednak to, by bezpieczeństwo stało się elementem kultury organizacyjnej. Kiedy pracownik wie, że zgłoszenie podejrzanej wiadomości jest nagradzane, a nie wyśmiewane – działa. Kiedy klient widzi, że bank aktywnie ostrzega przed oszustami, zamiast przerzucać winę na niego – ufa.

Coraz częściej sami klienci stają się częścią systemu wczesnego ostrzegania.

– W 2024 r. użytkownicy przesłali do CERT Orange Polska blisko cztery tysiące SMS-ów i stron, które po sprawdzeniu okazały się fałszywe. To dowód, że świadomość rośnie – i że edukacja działa – mówi Robert Grabowski.

Przeczytaj: Cyberkultura w firmie zaczyna się i kończy na człowieku. A bez niej polskie firmy są podatne na cyberprzestępców

Od najsłabszego ogniwa do największego kapitału

To prawda: człowiek bywa najsłabszym ogniwem w łańcuchu cyberbezpieczeństwa. Ale to nie jest wyrok. Ten sam człowiek, dobrze przygotowany i świadomy, staje się największym sprzymierzeńcem firmy.

Raport CERT Orange Polska pokazuje, że miliony Polaków uchroniono przed stratą dzięki CyberTarczy. Ale tarcza techniczna nie wystarczy. Potrzeba jeszcze tarczy ludzkiej – zbudowanej z wiedzy, nawyków i zdrowego sceptycyzmu wobec wszystkiego, co „za dobre, by było prawdziwe”.

Zdaniem partnera cyklu

Sama technologia nie wystarczy

Zawsze cieszy nas przemyślana reakcja internautów na cyberzagrożenia. To choćby wysyłanie na adres cert.opl@orange.com przykładów oszustw, które do nich dotarły. Sprawdza się też nasz nr 508 700 900, na który użytkownicy mogą SMS-em przesyłać niespodziewane wiadomości, np. o dopłacie do paczki czy rachunku. Reagujemy natychmiast.

Same zabezpieczenia techniczne nigdy nie zatrzymają ataków socjotechnicznych ukierunkowanych na nasze emocje, przejęcie konta bankowego czy naszych pieniędzy. Tu sama technologia nie wystarczy, jeśli sami damy dostęp do naszej cyfrowej tożsamości. Aby lepiej o nią zadbać, na stronie Hasło Alert można sprawdzić, czy nasze hasło lub login nie wyciekły. 

Ważne jest ciągłe zdobywanie aktualnej wiedzy na temat zagrożeń – zarówno tej dostarczanej przez CERT Orange Polska, jak i tej przekazywanej przez samych internautów. Myślę, iż świadomość i aktualność tego, co dzieje się w cyberświecie, jest nie do przecenienia.

Robert Grabowski,

szef CERT Orange Polska

Główne wnioski

1. Najczęstszą przyczyną udanych cyberataków nie są luki technologiczne, lecz błędy i nieuwaga ludzi – emocje, pośpiech czy brak świadomości sprawiają, że pracownicy i klienci stają się łatwym celem oszustów.
2. Edukacja w zakresie cyberbezpieczeństwa staje się obowiązkiem instytucji finansowych i organizacji – nie tylko ze względu na regulacje unijne, ale także realne ryzyko strat finansowych i reputacyjnych wynikających z wycieków danych.
3. Regularne i praktyczne szkolenia oraz budowanie kultury bezpieczeństwa w firmach pokazują skuteczność – dzięki nim pracownicy i klienci mogą stać się aktywną tarczą ochronną, zamiast najsłabszym ogniwem systemu.