Dwa lata, 500 mln dolarów na okupy. Tak cyberprzestępcy pokonują firmy

Dwa lata działania i 500 mln dolarów zebranych z okupu. To wynik tylko jednej organizacji, która od czerwca 2023 r. do czerwca 2025 r. paraliżowała światowe firmy z branży produkcyjnej, badawczo-rozwojowej i opieki medycznej. Nieprzypadkowo.

Organizacja BlackSuite (tak nazywała się grupa) miała bardzo określoną grupę docelową i specyficzny model działania. Polegało to na celowym ataku na osoby pracujące w firmach mających potencjalnie najwięcej do stracenia. Po przejęciu dostępów do wewnętrznej infrastruktury była ona blokowana.

Jedyne wyjście? Okup. Eksperci Bitdefender, którzy pomogli globalnemu sojuszowi policji (w tym europejskiemu Europolowi) w likwidacji grupy, znaleźli przypadki, gdzie okup sięgał milionów euro. Bo zaszyfrowana została infrastruktura krytyczna, bez której przetrwanie organizacji nie było możliwe.

Mowa tylko o jednej grupie. Skala wyzwań jest coraz większa.

Jak infrastruktura krytyczna staje się przedmiotem ataku

W 2025 r. polski rząd odnotował wzrost liczby cyberataków na poziomie 150 proc. w porównaniu do roku poprzedniego.

– Prowadzimy realnie wojnę w cyberprzestrzeni już od wielu lat. Liczba incydentów, ataków z roku na rok w sposób zasadniczy i radykalny się zwiększa – powiedział wiceminister cyfryzacji Paweł Olszewski.

W polskiej gospodarce coraz trudniej znaleźć firmę, która żyje „poza infrastrukturą krytyczną”. Nawet jeśli nie jesteśmy operatorem sieci energetycznej, wodociągów czy telekomunikacji, to nasze przychody, płatności i logistyka są od nich zależne. A to oznacza jedno: ochrona infrastruktury krytycznej staje się nie tyle tematem dla działu bezpieczeństwa, ile wskaźnikiem ryzyka biznesowego. Takim jak kurs waluty czy koszt energii.

A przecież infrastrukturę mamy także wewnątrz firmy.

– W kontekście przedsiębiorstw „infrastruktura krytyczna” oznacza wszystkie systemy, zasoby i procesy, bez których firma nie jest w stanie funkcjonować lub których awaria powoduje poważne straty finansowe, operacyjne lub wizerunkowe. Nie chodzi tu o infrastrukturę państwową. Lecz także o kluczowe elementy działalności biznesowej – zaznacza Anna Kwaśnik, ekspertka ds. budowania świadomości cyberbezpieczeństwa w NASK.

Mowa o takich elementach, jak systemy IT, bazy danych, środowiska chmurowe i centra danych, systemy komunikacyjne, infrastruktura techniczna, dane (np. dane klientów, własność intelektualna) czy systemy logistyczne i elementy łańcucha dostaw.

– Współcześnie znaczenie tej infrastruktury rośnie wraz z postępującą cyfryzacją. Ponadto wydarzenia geopolityczne, takie jak wojna w Ukrainie czy napięcia na Bliskim Wschodzie, pokazują, że zakłócenia mogą mieć charakter nie tylko techniczny, ale również cybernetyczny i hybrydowy – dodaje Anna Kwaśnik.

Biznes cierpi. Dlaczego?

Obiektem ataków są nie tylko duże firmy. Eksperci zwracają uwagę na trend rozszerzenia się skali działania także na mniejszy biznes. Ten dysponuje niezwykle cennymi danymi, ale ma słabsze zabezpieczenia.

– Ponadto są one częścią łańcuchów dostaw większych organizacji. To sprawia, że mogą być wykorzystywane jako punkt wejścia do bardziej zaawansowanych ataków [np. supply chain attack – red.] Ograniczone zasoby, brak odpowiednich procedur oraz niższa świadomość zagrożeń powodują, że MŚP są szczególnie podatne na incydenty – komentuje Anna Kwaśnik.

I mowa tu nie tylko o utracie dostępu do danych. Wyobraźmy sobie scenariusz, w którym atak cybernetyczny doprowadza do utraty zasilania dla fabryki. Koszty przerw w działaniu da się w Polsce policzyć przynajmniej dla energii. Prezes URE opublikował wartość niedostarczonej energii (VoLL) dla Polski. Wynosi ona średnio 80,6 tys. zł/MWh (z wartościami sektorowymi m.in. handel 115,8 tys. zł/MWh, usługi 172,7 tys. zł/MWh, przemysł 75,7 tys. zł/MWh).

Komentarz partnera cyklu

Człowiek to filar obrony

Odporność usług jest jednym z fundamentów naszego działania jako czołowego dostawcy telekomunikacyjnego i operatora infrastruktury krytycznej. Choć termin ten kojarzy się głównie z zabezpieczeniami technologicznymi, traktujemy go znacznie szerzej - jako synergię trzech równorzędnych obszarów: technologii, procesów oraz ludzi. Tylko ich spójne współdziałanie gwarantuje najwyższy standard bezpieczeństwa.

Z kolei odporność technologiczna to precyzyjna identyfikacja słabych punktów infrastruktury (single point of failure) oraz rzetelna ocena ryzyka. Wdrożenie zabezpieczeń to kolejny, naturalny krok. Stosujemy zaawansowane redundancje i geograficzne rozproszenie usług, protekcję łączy oraz kompleksowe systemy Disaster Recovery. Bezpieczeństwo danych zapewniają wielopoziomowe backupy i nowoczesne protokoły transmisji, które chronią przed cyberzagrożeniami. Jednocześnie stale upraszczamy architekturę rozwiązań, co minimalizuje ryzyko awarii, a w sytuacjach krytycznych wdrażamy tryb pracy ograniczonej (degraded mode) - zachowujemy w ten sposób ciągłość kluczowych funkcji usługi.

Technologie to jednak nie wszystko. Niezbędne są procesy, które ograniczają ryzyko niedostępności usług. Nasz model opiera się na ścisłej standaryzacji i "złotych zasadach", których przestrzeganie jest bezwzględne. Wprowadziliśmy rygorystyczne procedury weryfikacji, takie jak zasada "dwojga oczu" (double eye check) przy zmianach o wysokim ryzyku, a także kompleksowe ramy zarządzania ciągłością działania (BCM) i zarządzania kryzysowego.

I oczywiście niezwykle istotny aspekt ludzki, bo to człowiek jest filarem całego systemu.  Stąd inwestujemy w ciągłe szkolenia, ponieważ biegłość w obsłudze sprzętu i znajomość procedur reagowania są niezbędne, by technologie i procesy spełniały swoją rolę. Równie ważna jest dla nas kultura organizacyjna - to ona buduje świadomość i odpowiedzialność każdego pracownika za naszą wspólną odporność.

Aby mieć pewność, że wdrożone mechanizmy są skuteczne, regularnie poddajemy je testom i ćwiczeniom. Cykliczne symulacje sytuacji kryzysowych pozwalają nam weryfikować założenia i na bieżąco korygować ewentualne niedoskonałości. Odporność jest dla nas czymś więcej niż cechą biznesową - to nasza misja społeczna. Zapewniamy komunikację zawsze i wszędzie: zarówno w codziennym życiu, jak i w najbardziej krytycznych momentach.

Radek Koza

dyrektor Centrum Zarządzania Usługami, Orange Polska

Bywa i atak fizyczny

Podejście do infrastruktury krytycznej staje się coraz bardziej rozmyte.

– Dziś infrastrukturą krytyczną jest wszystko, co w razie awarii zatrzymuje biznes – przede wszystkim systemy IT, dane i ich dostępność. Granica między „krytycznym” a „zwykłym” IT w wielu organizacjach praktycznie przestała istnieć – zauważa Konrad Badowski, Business Relationships Manager, Axis Communications.

I wraz z postępem technologicznym, kategoria pęcznieje.

– Dziś obejmuje to nie tylko sieci, serwery czy systemy ERP i CRM, ale także chmurę, systemy zarządzania tożsamością oraz technologie operacyjne, takie jak SCADA czy PLC. Kluczowym trendem jest konwergencja IT i OT. Incydent cybernetyczny może dziś bezpośrednio przełożyć się na zatrzymanie produkcji lub logistyki – dodaje Konrad Badowski.

Dotyczy to także infrastruktury fizycznej. Dlatego, jak zauważają eksperci, ochrona infrastruktury krytycznej wymaga podejścia całościowego.

– W zakresie dobrych praktyk kluczowe jest wdrożenie podejścia holistycznego. Obejmuje ono m.in. segmentację sieci, ograniczanie dostępu według zasady „najmniejszych uprawnień”, centralizację polityk bezpieczeństwa oraz ścisłą współpracę między zespołami IT, OT i działami odpowiedzialnymi za bezpieczeństwo fizyczne – komentuje Jakub Kozak, Area Sales Director CEE, Genete.

Jak zaznacza, rosnące znaczenie ma również analiza danych w czasie rzeczywistym oraz automatyzacja procesów wykrywających anomalie i potencjalne zagrożenia.

– Nieodzownym elementem jest także przestrzeganie regulacji dotyczących ochrony danych osobowych oraz dbałość o cały ich tzw. cykl życia. Począwszy od gromadzenia, przez przechowywanie, aż po usuwanie – dodaje Jakub Kozak.

Napad na chmurę

Istotne jest zrozumienie, że infrastruktura krytyczna to pojęcie płynne. Przykładowo, dziś coraz więcej firm inwestuje w centra danych i serwery AI znajdujące się nie w wielkich obiektach należących do gigantów technologicznych, ale i wewnątrz przedsiębiorstw.

– Widzimy wyraźnie, że organizacje – szczególnie z sektorów takich jak energetyka, telekomunikacja, ochrona zdrowia, transport czy administracja publiczna, zaczynają traktować lokalizację i jurysdykcję danych jako jeden z filarów cyberbezpieczeństwa – komentuje Albert Szczepaniak, dyrektor Działu Bezpieczeństwa i Jakości w Polcom.

Jak zaznacza, z raportu Polcom „Barometr cyfrowej transformacji polskiego biznesu 2025-2026” wynika, że aż 93 proc. firm inwestuje w technologie związane z infrastrukturą IT, cyberbezpieczeństwem i ciągłością działania. Jednocześnie 91 proc. organizacji wdraża rozwiązania monitoringu i ochrony środowisk IT, takie jak Security Operations Center (SOC). Pokazuje to przejście od reaktywnego podejścia do modelu ciągłej, proaktywnej ochrony.

– Ten trend wpisuje się w szerszy kontekst globalny. Według prognoz Gartnera w 2026 r. wydatki na suwerenną infrastrukturę chmurową osiągną poziom 80 mld dolarów – rosnąc o 35,6 proc. rok do roku. Nawet 20 proc. obciążeń obsługiwanych dziś przez globalnych hyperscalerów może zostać przeniesionych do lokalnych dostawców usług data center. Oznacza to wyraźne przesunięcie w kierunku lokalnych modeli, które zapewniają większą kontrolę nad danymi i ich bezpieczeństwem – dodaje Albert Szczepaniak.

Jak zabezpieczyć firmę

Eksperci zwracają uwagę na kilka czynników, które należy wziąć pod uwagę, myśląc o zwiększeniu zabezpieczenia infrastruktury krytycznej.

– Punktem wyjścia jest identyfikacja kluczowych zasobów, analiza ryzyka oraz wdrożenie planów ciągłości działania i odtwarzania po awarii. Kluczowe jest podejście warstwowe (defence in depth), obejmujące m.in. segmentację sieci, uwierzytelnianie wieloskładnikowe, szyfrowanie, monitoring i regularne aktualizacje. Równolegle należy zadbać o bezpieczeństwo fizyczne, takie jak kontrola dostępu czy monitoring – wylicza Konrad Badowski.

Anna Kwaśnik zwraca uwagę na uwzględnianie wymagań regulacyjnych, takich jak dyrektywa NIS2 czy też nowelizowana ustawa o krajowym systemie cyberbezpieczeństwa (KSC). Wzmacniają one podejście oparte na zarządzaniu ryzykiem i ciągłością działania.

– Kluczowym elementem tego podejścia jest budowa kultury bezpieczeństwa w organizacji, czyli świadomości zagrożeń, odpowiedzialności pracowników oraz stosowania dobrych praktyk na co dzień – wylicza przedstawicielka NASK.

Nawet najlepsi muszą uważać

Dobrą lekcją także dla małego biznesu jest historia z grudnia 2025 r. Cyberprzestępcy zaatakowali wtedy firmy będące właścicielami prawdziwej infrastruktury krytycznej – m.in. elektrowni PV i farm wiatrowych. Przestępcy zaatakowali konkretny sterownik znajdujący się w jednym z urządzeń zabezpieczających sterowniki sprzętu. Atakujący wgrał uszkodzony firmware skutkujący pętlą restartu urządzenia.

W 2021 r. przed poważniejszym atakiem stanął amerykański operator rurociągów Colonial Pipeline Company. Firma zapłaciła ponad 4,4 mln dolarów okupu po ataku typu ransomware. Organy ścigania odzyskały część pieniędzy.

Główne wnioski

1. Przykład grupy BlackSuite, która w ciągu dwóch lat wyłudziła około 500 mln dolarów, obrazuje rosnącą skuteczność ukierunkowanych ataków ransomware. Organizacje te nie działają przypadkowo. Wybierają ofiary o najwyższej wrażliwości operacyjnej, a przejęcie dostępu do infrastruktury krytycznej pozwala im wymuszać wielomilionowe okupy. To potwierdza, że cyberataki stały się zorganizowanym i dochodowym modelem działalności przestępczej.
2. Współczesne przedsiębiorstwa są bardzo uzależnione od systemów IT, danych oraz powiązań w łańcuchach dostaw. Oznacza to, że praktycznie każda firma może stać się celem ataku. W Polsce liczba incydentów cybernetycznych wzrosła o 150 proc. rok do roku, co wskazuje na dynamiczne pogarszanie się sytuacji. Ponadto cyfryzacja i napięcia geopolityczne zwiększają ryzyko zakłóceń o charakterze zarówno technicznym, jak i hybrydowym.
3. Ochrona infrastruktury krytycznej przestaje być wyłącznie zadaniem działów IT i staje się elementem zarządzania ryzykiem biznesowym. Eksperci podkreślają znaczenie podejścia holistycznego, obejmującego zarówno systemy cyfrowe, jak i fizyczne, a także wdrażanie zaawansowanych metod ochrony, takich jak segmentacja sieci, uwierzytelnianie wieloskładnikowe czy monitoring w czasie rzeczywistym. Coraz większą rolę odgrywa również zgodność z regulacjami oraz budowanie świadomości pracowników.