| theprotocol.it Czy jesteś w stanie przedstawić jakąś prawdziwą historię polskiej firmy, która nie dopilnowała, delikatnie mówiąc, zasad cyberbezpieczeństwa? I to niedopilnowanie odbiło się na niej np. wizerunkowo albo finansowo?
Kamil Porembiński Jest kilka takich historii. Mamy tego bardzo dużo na rynku. Często tych firm już nie ma. Mam dla Was dwie historie.
Pierwsza to agencja interaktywna 360. Robią od SEO, po marketing, zarządzają reklamami na Facebooku. Nagle przestępcy przejmują konto jednej z juniorek tej agencji, która puszczała reklamy dla klientów. Przejmując konto główne, zaczynają w piątek wydawać pieniądze na fejk reklamy. To taki klasyk: wydają pieniądze na fejk reklamy, więc dla tych wszystkich podległych, dużych marek idą reklamy np. zachęcające do inwestycji w kryptowaluty. Meta szybko nie reaguje, idą na to budżety rzędu 60 tysięcy złotych. To ogólnie sporo, ale takie budżety są obsługiwane przez duże marki, więc Meta nie widzi na tyle nagłego skoku, żeby szybko zareagować. Jak ty wydajesz 10 tysięcy miesięcznie i nagle ten budżet jest większy, np. do 100 tysięcy, to zareagują szybciej. Albo bank zareaguje. Ale w takim przypadku cała akcja nie wydaje się być podejrzana. Po weekendzie, w poniedziałek, przychodzą pracownicy do pracy. Patrzą w raporty. Coś się wydarzyło. Wtedy już jest niestety za późno, jest gruba afera, bo Facebook w poniedziałek poblokował fanpage'y reklamujące kryptowaluty. Teraz wyobraź sobie dużą markę, która w ten sposób znika z internetu. Konkurencja zaciera rączki, bo ich nie ma. Myślą wtedy: o, to teraz wykosimy duży sektor rynku. Duże marki, które zniknęły, idą więc do tej agencji i ją oskarżają o np. uszczerbek na wizerunku albo o straty finansowe. Łącznie z kart zeszło 680 tysięcy złotych. 20 tysięcy z konta reklamowego, reszta poszła z kont podpiętych. Część Facebook oddaje, ale tak czy inaczej pojawiają się pozwy sądowe o zniszczenie wizerunku czy kary umowne. Właściciel tej firmy zgłasza się do mnie w momencie, kiedy inny właściciel był załamany, bo nie wytrzymywał tego, co się stało. I się pyta: co można zrobić? No, tylko że w takim momencie tej agencji już praktycznie nie ma. Wyobraź sobie, jakie to uczucie, gdy dowiadujesz się, jako właściciel, że będziesz miał pozwy od kilkudziesięciu firm na minimum bańkę. I to po spokojnym weekendzie. To jest jedna z takich prawdziwych, obrazowych historii.
theprotocol.it A druga historia?
Kamil Porembiński Firma, która miała tylko jeden komputer. Jest to catering, a właściwie kantyna w dużym przedsiębiorstwie, gdzie wydawane są posiłki. Polega to na tym, że przychodzi sobie pracownik dużej korporacji, podchodzi do Pani z komputerem, przykłada swoją kartę i mówi: poproszę schabowy. I Pani po numerze tej specjalnej karty wie, że pracownik firmy X zjada za 20 zł dany obiad. Potem ta kantyna rozlicza się z dużymi firmami - za to, ile ich pracownik zjadł. Obiad jest jako benefit. Miesięczny obrót wynosi około 400 tysięcy przychodu, dane dotyczą 5 tysięcy osób, pracujących w halach. Jeden komputer obsługuje i zlicza: nazwa firmy, ID pracownika, kwota. I oni na podstawie tego generują fakturę do wystawienia. No i ten komputer został zaszyfrowany. Przypadkowo. Nikt nie miał kopii zapasowych. To był stary XP. Wszystko się zaszyfrowało, więc nie wiedzą za ile złotych wystawić fakturę. No i wtedy dzwonią do mnie. Ja mówię wprost: nie da się tego odszyfrować, po prostu będziecie miesiąc w plecy, te pół bańki do tyłu. Ale róbcie od następnego miesiąca wszystko od zera. Postawimy system informatyczny, zrobimy backup itd. Właściciel przyjmuje to na klatę, mówi: dobra, będę w plecy, zadłużę się, no ale szybko odrobię tą stratę, prawda? W poniedziałek więc mam do nich jechać, pomagać, ratować sytuację. A oni mi mówią: nie, nie, Panie Kamilu, za chwilę wszystko będzie działało. Zapłaciliśmy okup przestępcom, oddadzą nam te pliki. Okup na 200 tysięcy złotych. Właściciel sobie pewnie pomyślał, że jak wystawi fakturę na pół bańki i zapłaci okupu 200 tys., to ma tak jakby 300 tys. przychodów. Ja mówię: no nie, nie płaci się okupu. Ale i tak zapłacili. Dzwoni właściciel we wtorek i mówi: Panie Kamilu, czy możemy coś zrobić, jakoś zmusić tych przestępców, bo nie chcą nam oddać plików i żądają kolejnego okupu? No kto by się spodziewał. Mówię więc: nie da się nic zrobić. I teraz uwaga, co się dzieje? Po zapłaceniu 200 tysięcy, właściciel kantyny nie chciał zapłacić kolejnego okupu. Co więc zrobili przestępcy? Napisali do tych wszystkich firm podwykonawczych, które jadały w stołówce: wiemy, co wasz Pan Tomek jadł na obiad. Co zatem zrobiły te firmy, gdy dostały taką wiadomość? Poszły do sądu i wypowiedziały umowę kantynie. W efekcie więc właściciel boryka się ze sprawami sądowymi i oczywiście ktoś inny wykonuje jego pracę. To jedna z takich większych spraw, ale ich jest naprawdę bardzo dużo. Dotyczy to także urzędów i banków. Nie mam nic do specjalistów z HR, ale to są często osoby, które nie mają odpowiednio wysokiego wykształcenia cyfrowego. I te wszystkie dokumenty, które zbierają, np. CV, lądują sobie na publicznych Google Dyskach i transferach. To nie są wtedy grube wycieki, ale takich “mikro” sytuacji ich sporo. W efekcie można sobie te dane odczytywać, one krążą i potem powstają takie historie, jak te.
|
Podsumowanie
Brak procedur i niska świadomość cyfrowa może doprowadzić do upadku stabilne finansowo przedsiębiorstwo. Przedstawione historie dowodzą, że nawet “niewinne” błędy pojedynczych osób oraz brak kopii zapasowych skutkuje nie tylko ogromnymi stratami finansowymi, ale też nieodwracalnym zniszczeniem wizerunku i lawiną pozwów. Mając na względzie te case studies warto pamiętać, że w obliczu cyberzagrożeń kluczowe jest zabezpieczanie danych wrażliwych, edukacja, przeprowadzanie audytów, krytyczne myślenie i prewencja.

