Jarosław Maj: Panie Sebastianie, dziękuję, że przyjął Pan zaproszenie do rozmowy. W czasach, gdy coraz większa część życia — zarówno prywatnego, jak i zawodowego — przenosi się do sieci, skala zagrożeń rośnie w tempie, którego nikt jeszcze dekadę temu nie przewidział. Z perspektywy eksperta cyberbezpieczenstwa i audytora IT i specjalisty od SOC2 – co dziś uważa Pan za największe wyzwanie w cyberbezpieczeństwie?
Sebastian Burgemejster: Dziękuję Panie Jarku. Rok 2025 to w pewnym sensie powrót do korzeni: socjotechnika, tylko że w wersji 2.0. Phishing, wyłudzenia, ransomware – to ciągle te same mechanizmy, ale dodatkowo napędzane AI i danymi pozyskanymi przez przestępców z mediów społecznościowych. Odbiorca dostaje komunikat dopasowany pod siebie: językiem, stylem, a czasem nawet z głosem znajomego wygenerowanym przez sztuczną inteligencję. Mówimy więc o nowym poziomie realizmu ataków. Do tego dochodzi ransomware-as-a-service i zakłócenia usług (DDoS, DoS), które stały się masowe. Warto dodać do całości pewien kontekst globalny – globalny rynek cyberprzestępczości wyceniany jest obecnie na 10,5 biliona dolarów i jeśli mielibyśmy pokazać to w kategorii GDP okazałoby się, że jest to 3 gospodarka świata, za USA i Chinami. Do tego jest to najszybciej rozwijający się obszar, gdyż notuje wzrosty rzędu 15% rok do roku. Dodatkowo Polska geopolitycznie jest w trakcie wojny hybrydowej. Oznacza to, że jesteśmy najczęściej atakowanym krajem w Unii Europejskiej, a trzecim w Europie, po Ukrainie i Wielkiej Brytanii. Sytuacja będzie się pogarszać, a nie polepszać.
W tak skomplikowanym świecie najbardziej niepokoi jednak coś innego — to, że często zawodzą nie same systemy, lecz procedury i ludzie.
JM: Czyli technologia nie wystarczy?
SB: Dokładnie. Technologia to narzędzie (nota bene coraz ważniejsze), a nie panaceum. Podczas jednego z audytów IT zobaczyłem sytuację: pracownik otrzymał wiadomość „pilne zatwierdzenie przelewu” z adresu podszywającego się pod CFO i wykonał polecenie bez dodatkowego sprawdzenia. Nie zadziałały żadne zabezpieczenia, bo proces nie przewidywał drugiej weryfikacji. To dlatego mówię: ludzie > kultura > proces > narzędzie. I tu przykład YourSafeBox.eu jest ciekawy – bo wprowadzenie dwuskładnikowego uwierzytelniania i biometrii to nie tylko warstwa techniczna, ale też decyzja organizacyjna, która buduje zaufanie i odporność.
JM: W YourSafeBox.eu rzeczywiście standardem jest MFA oraz biometria w procesie autoryzacji – użytkownik potwierdza tożsamość zarówno hasłem, jak i np. odciskiem palca. Jak Pan ocenia taki model z perspektywy praktyka?
SB: To model zgodny z najlepszymi praktykami. Weryfikacja dwuetapowa (2FA/MFA) łączy trzy filary – coś, co znam (hasło), coś, co mam (token, telefon), i coś, kim jestem (biometria). Dzięki temu kompromitacja jednego składnika nie kończy się katastrofą. Biometria dodaje warstwę, której nie da się złamać tak łatwo jak hasła. Jeśli użytkownik YourSafeBox ma dostęp do swojej skrytki depozytowej w skarbcu czy autoryzuje dostęp do dokumentu, system wymaga potwierdzenia odciskiem palca lub skanem twarzy – to moment, w którym atakujący zatrzymuje się na ścianie. To właśnie ta warstwa zaufania, o której często zapominają mniejsze firmy.
JM: Z tego, co Pan mówi, wynika, że kluczowe błędy nie tkwią jedynie w infrastrukturze, a w jej odpowiednim zarządzaniu, nawykach i braku planów reakcji.
SB: Zgadza się. Najczęstsze błędy to brak MFA (w dzisiejszych czasach samo hasło nie jest już wystarczające), brak możliwości wykrywania zagrożen, czyli monitoringu naszych systemów i sieci, zarządzania incydentami i odtwarzania po incydencie, jak i jasno zdefiniowanych ról i sposobów działania. Kiedy dochodzi do ataku, występuje wysoki stres i ludzie przestają działać racjonalnie – włącza się widzenie tunelowe. Przez 12 lat pracowałem w lotnictwie cywilnym. W lotnictwie procedury awaryjne są m.in po to, aby w sytuacji wysokiego stresu operator mógł odwołać się do dokumentu, który pomoże mu rozwiązać problem. A chyba możemy się zgodzić, że lotnictwo to najbezpieczniejszy środek transportu, więc warto przenosić praktyki tam stosowane do innych branż i zastosowan. Często też zawodzi bezpieczeństwo pracy zdalnej, szczególnie kiedy pracownicy mogą korzystać do pracy z prywatnego sprzętu, nie będącego po kontrolą organizacji. W takich sytuacjach całość infrastruktury użytkownika koncowego może stać się bramą dla atakujących. Niezabezpieczony laptop, router, smart TV czy kamera IP – dodatkowo wszystko w tej samej siecitna pewno zwiększają ryzyko incydentu. Stąd rekomendacja: praca jedynie na odpowiednio skonfigurowanych komputerach służbowych, najlepiej dodatkowo chronionych oprogramowaniem MDM, a praca jedynie poprzez VPN. Dla samego bezpieczestwa pracownika i jego danych warto, aby aktualizował firmware urządzen sieciowych, włączył szyfrowanie WiFi- WPA3, orsaz stworzył osobną sieć dla urządze IoT (takich jak kamery, smartTV, czy inne domowe urządzenia podpięte do Internetu).
JM: Czy to znaczy, że nasze inteligentne domy stają się zagrożeniem?
SB: W pewnym sensie tak. Często dom to nowe biuro. Wielu przedsiębiorców nie zdaje sobie sprawy, że słabe zabezpieczenie urządzen sieciowych lub urządzen domowych podpiętych do sieci, mogą doprowadzić do ich kompromitacji i potencjalnie dalszych przykrych konsekwencji.
JM: A jeśli użytkownik padnie ofiarą oszustwa – np. wyłudzenia BLIK lub SMS-owego phishingu – jak powinien zareagować?
SB: Szybko, ale z głową. W zależności czego dotyczył atak takie powinny być nasze pierwsze kroki. Jeśli mówimy o wyłudzeniu pieniędzy lub danych karty – to staramy się jak najszybciej skontaktować z bankiem, aby zablokować kartę, transakcję, czy w ogóle dostęp do samego konta. Potem zgłoszenie na Policję, którego celem jest zabezpieczenie późniejszej drogi prawnej, czy związanej z odzyskaniem środków, czy zabezpieczeniem się na wypadek kradzieży tożsamości. Warto również zgłosić każdy wypadek ataku – skutecznego, czy nie do CSIRT NASK. Można to zrobić przez stronę www lub numer 8080. Jeśli mamy aplikację mObywatel to jest tam odpowiednia zakładka, która powinna nas poprowadzić jak po sznurku. Oczywiście zawsze nalkeży zmienić hasła i włączyć MFA.Jeśli atak nastąpił na komunikatorze – poinformować znajomych, bo oszust często idzie dalej tym samym łańcuchem. Jednak ja wolę zapobiegać, niż leczyć, szczególnie, że w tym wypadku kuracja może być bardzo bolesna. Najważniejsza w atakach socjotechnicznych, czyli takich, które wykorzystują słabości ludzkiej psychiki, jest świadomość. Nie podejmowanie pochopnych decyzji, pod wpływem emocji. Przestępcy wykorzystują nasze pierwotne instynkty: strach, możliwość uzyskania łatwej nagrody, pośpiech. Takie sytuacje, w których przez różne kanały (SMS, komunikator, email, telefon, video) ktoś próbuje oddziaływać na nasze emocje, powinny zapalić u nas w głowie czerwoną żarówkę ostrzegawczą. Nawet jeśli w odebranym telefonie usłyszymy głos naszej córki, która prosi o przelanie kilkunastu tysięcy złotych, bo właśnie miała wypadek samochodowy.
Aby pomóc przedsiębiorcom przygotowaliśmy dla przedsiębiorców Podręcznik cyber bezpieczeństwa i odporności, który opisuje różne zagrożenia, ale również mechanizmy obrony, w tym podstawowy poziom ochrony (PPO), czyli 20 podstawowych zabezpieczen stanowiących dzisiaj minimalny zakres cyberhigieny dla MŚP. Podręcznik jest pod patronatem jedynego w Polsce Klastra cyber bezpieczestwa CyberMadeinPoland oraz YourSafeBox.eu
W tym miejscu warto wskazać, iż użytkownicy YourSafeBox.eu mają tu przewagę – mogą sprawdzić historię logowań i weryfikację biometryczną w panelu, więc łatwiej wykryć anomalię. Natomiast nikt nie zwalnia nas od myślenia, bo nawet najlepsze zabezpieczenia techniczne nie uchronią nas od sytuacji, kiedy sami podamy przestępcy wszystkie dane do logowania lub zatwierdzimy transakcję przelewu.
JM: AI – sojusznik czy wróg? Deepfake’i brzmią jak scenariusz science fiction, a jednak stają się rzeczywistością.
SB: To już realne zagrożenie. Deepfake głosu lub wideo wykorzystano do wyłudzeń na miliony euro. Scenariusz: dyrektor finansowy odbiera wideo połączenie od „prezesa”, który prosi o natychmiastowy przelew. AI jest na obu frontach – atakującym i broniącym. Bronimy się dzięki analizie głosu, biometrii, behawioralnym algorytmom. W tym kontekście wdrożenie wieloetapowej weryfikacji, czy na poziomie technicznym, czy proceduralnym to już konieczność.
AI to nie tylko Deepfake, czy pisanie spersonalizownaych emaili phisingowych, ale również analiza profilu psychologicznego ofiary poprzez analizę profili w mediach społecznościowych, tworzenie szkodliwego oprogramowania, czy automatyzowanie ataków.
Oczywiście AI jest również wykorzystywane po jasnej stronie mocy, szczególnie w rozwiązaniach technicznych, takie jak analiza ruchu sieciowego, wykrywanie anomalii, analizę szkodliwego oprogramowania, czy wykrywanie deepfaków.
JM: Coraz częściej słychać też głos, że w cyberbezpieczeństwie ważniejsza od technologii jest kultura organizacyjna. Podziela Pan ten pogląd?
SB: W pełni. To kultura bezpieczeństwa, w której jednym z elementów jest „just culture” – nie karzemy za błędy, uczymy się z nich. Jeśli pracownik boi się zgłosić incydent, system nigdy nie będzie odporny. W pracy z naszymi klientami widzimy, że firmy, które wprowadziły takie podejście, mają więcej zgłoszeń, a mniej realnych incydentów. Pracownicy są czujni na różnego typu podejrzane zachowania i jeśli coś zauważają to podnoszą alarm.
JM: Jak zatem wygląda przyszłość bezpieczeństwa – powiedzmy, za pięć lat?
SB: Przy tak szybkim rozwoju technologicznym może mi się nie trafić z predykcją, ale spróbuję. Zobaczymy świat, w którym MFA będzie domyślnie włączone, a biometria, lub inne rozwiązanie techniczne zastąpi hasła. Organizacje będą stosować rozwiązania Zero Trust, AI pomoże wykrywać anomalia w czasie rzeczywistym, a audyt ciągły z wykorzystaniem narzędzi AI będzie standardem. Ataki staną się jeszcze szybsze, więc reakcja musi być automatyczna – runbooki, monitoring, alerty i oczywiście zautomatyzowana odpowiedź na atak, często bez udziału człowieka Do tego dojdą już realne zagrożenia związane z komputerami kwantowymi.
Natomiast użytkownik indywidualny – wyposażony w MFA, biometrię, coraz lepsze i bezpieczniejsze rozwiązania bezpieczeństwa natywnie wbudowane w komputery, smartfony, tablety – będzie bezpieczniejszy niż wielu pracowników korporacji pięć, czy dziesięć lat temu. A firmy, które nie wdrożą nowoczesnych rozwiązań cyberbezpieczenstwa, po prostu znikną z rynku.
JM: I na koniec – jedno zdanie dla liderów, którzy ciągle odkładają kwestie bezpieczeństwa na „po wdrożeniu systemu”, „po audytach”, „po nowym budżecie”.
SB: Bezpieczeństwo to nie jednorazowa inwestycja, czy zadanie, tylko długotrwały proces, który wymaga ciągłego dopasowywania do nowych zagrożen i zmian w organizacji i technologii. Bezpieczeństwa nie da się odroczyć w czasie, bez podjęcia ryzyka, że to ktoś inny wyznaczy granice Twojego biznesu. W dzisiejszych czasach bezpieczeństwo to warunek bycia w grze.
Skrytki bankowe dla firm
Skrytki bankowe dla firm to bezpieczne rozwiązanie do przechowywania dokumentów, nośników danych, pieczęci oraz innych wartościowych przedmiotów związanych z działalnością. Korzystanie ze skrytki firmowej zwiększa poziom ochrony ważnych zasobów i ogranicza ryzyko ich utraty lub kradzieży. Sprawdź dostępne skrytki bankowe dla firm i wybierz opcję dopasowaną do potrzeb swojego biznesu.
