Masz backup? Świetnie. Ransomware już na to nie czeka.

Przez lata rada dla właściciela firmy brzmiała: rób kopie zapasowe i będziesz bezpieczny. Backup jako tarcza przed ransomware — to była prosta, logiczna odpowiedź na proste, logiczne zagrożenie. Przestępcy szyfrują dane, ty przywracasz z kopii, płacisz tylko za czas przestoju.

Problem polega na tym, że przestępcy też to przeczytali. I zmienili model biznesowy.

Szyfrowanie jest passe

Współczesne grupy ransomware coraz rzadziej szyfrują dyski. To zajmuje czas, generuje hałas w sieci i daje systemom bezpieczeństwa szansę na reakcję. Zamiast tego robią coś prostszego i skuteczniejszego: wchodzą do sieci, siedzą cicho, kopiują wszystko co wartościowe — i wychodzą. Potem piszą wiadomość: mamy wasze dane. Zapłaćcie, albo trafiają do mediów, do konkurencji, do klientów.

Backup nie pomoże, bo dane nie zniknęły. Nadal są na serwerze. Problem polega na tym, że są też gdzie indziej.

Europol monitoruje ponad 120 aktywnych organizacji ransomware działających dokładnie według tego schematu. To nie są grupy hakerów siedzących w kapturach — to zorganizowane struktury przestępcze z działami sprzedaży, supportem technicznym i polityką rabatową dla firm, które płacą szybko.

Jak długo siedzą, zanim się odezwą

Tu zaczyna się część, która powinna zmienić sposób myślenia o cyberbezpieczeństwie w każdej firmie.

Mediana czasu obecności intruza w sieci przed wykryciem wynosi 24 dni. Nie godziny — dni. Przez prawie miesiąc ktoś może poruszać się po firmowej infrastrukturze, mapować zasoby, kopiować dane i eskalować uprawnienia, zanim ktokolwiek w firmie zorientuje się, że cokolwiek się dzieje. W tym czasie przestępcy zdążą dokładnie ocenić, ile firma może zapłacić i jakie dane mają największą wartość szantażową.

To liczba, która zmienia całą kalkulację. Nie chodzi o to, czy atak się wydarzy. Chodzi o to, ile czasu minie, zanim ktoś go zauważy.

Dla porównania: według danych przytaczanych przez dostawców usług klasy MDR (Managed Detection and Response), wdrożenie takiego systemu pozwala skrócić czas od wykrycia anomalii do zamknięcia incydentu do niespełna 24 minut. Warto odnotować, że liczba ta pochodzi z materiałów vendorów tej klasy rozwiązań — niezależna weryfikacja jest trudna, ale kierunek jest potwierdzany przez raporty branżowe. Różnica między 24 dniami a 24 minutami to różnica między katastrofą a kontrolowanym incydentem.

Phishing, który przechodzi przez filtr

Jest jeszcze jeden element układanki, który zmienił się w ostatnich latach — i zmienił się radykalnie.

Tradycyjny phishing był łatwy do rozpoznania. Zepsuta polszczyzna, podejrzany nadawca, prośba o kliknięcie w link prowadzący do strony z błędem SSL. Filtry pocztowe radziły sobie z tym całkiem nieźle.

Spear-phishing generowany przez AI wygląda inaczej. Wiadomość jest spersonalizowana — zawiera imię odbiorcy, nawiązanie do jego roli w firmie, czasem do konkretnego projektu lub kontrahenta. Ton jest poprawny, styl dopasowany. Link prowadzi do strony, która wygląda jak portal korporacyjny albo logowanie do usługi, z której firma faktycznie korzysta.

Według danych CERT Polska phishing stanowił w ubiegłym roku około 30 procent wszystkich zarejestrowanych naruszeń bezpieczeństwa w kraju. W skali europejskiej, według raportu Allianz Risk Barometer — który po raz piąty z rzędu wskazał incydenty cybernetyczne jako największe zagrożenie dla firm — phishing i socjotechniki odpowiadają za 44 procent analizowanych naruszeń. To nie jest problem marginalny. To jest główny wektor ataku.

Filtr pocztowy nie obroni przed wiadomością, która technicznie wygląda poprawnie. Jedyną linią obrony jest człowiek — który musi wiedzieć, że taka wiadomość może istnieć i jak ją rozpoznać.

Człowiek, którego nie zastąpi żaden system

To jest ten punkt, w którym rozmowa o cyberbezpieczeństwie zwykle się zatrzymuje. Firmy inwestują w narzędzia, platformy, subskrypcje. Szkolenia traktują jako obowiązkowy checkbox przy audycie — raz w roku, godzina e-learningu, zaliczone.

Problem polega na tym, że przestępcy nie atakują raz w roku. Atakują wtedy, gdy pracownik jest zmęczony, pod presją czasu, dostaje wiadomość od „prezesa” z prośbą o pilny przelew przed końcem dnia. Mechanizmy psychologiczne — autorytet, pilność, strach przed konsekwencjami — działają niezależnie od tego, ile certyfikatów ma dział IT.

Regularne symulacje ataków phishingowych, krótkie i powtarzalne szkolenia, kultura w której pracownik może zgłosić podejrzenie bez obawy o ocenę — to nie są miękkie dodatki do twardej infrastruktury. To jest element systemu bezpieczeństwa, bez którego reszta działa z dziurą.

SOC własny czy zewnętrzny — pytanie o proporcje

Dla dużej korporacji pytanie o budowę własnego centrum operacji bezpieczeństwa (SOC) ma sens. Dla firmy zatrudniającej kilkadziesiąt czy kilkaset osób — rzadko. Całodobowy monitoring, zespół analityków, narzędzia klasy enterprise — to koszt, który dla większości przedsiębiorstw jest po prostu nieproporcjonalny do skali działania.

Jak ujął to przedstawiciel jednej z firm oferujących zewnętrzne usługi MDR: „Budowa własnego, całodobowego centrum operacji generuje dziś nieproporcjonalnie wysokie koszty, na które pojedyncze przedsiębiorstwa nie mogą sobie pozwolić.” To zdanie pochodzi od vendora zainteresowanego sprzedażą własnej usługi — ale sama obserwacja jest trafna i potwierdzana przez rynek.

Outsourcing monitoringu bezpieczeństwa nie jest przyznaniem się do słabości. Jest decyzją o alokacji zasobów — podobną do tej, którą firmy podejmują przy obsłudze prawnej, księgowości czy infrastruktury IT. Pytanie nie brzmi „czy nas stać na MDR”, ale „czy nas stać na 24 dni nieświadomości, że ktoś siedzi w naszej sieci”.

Co z tego wynika

Backup jest potrzebny. MFA jest potrzebne. Firewall jest potrzebny. Ale żadne z tych narzędzi nie odpowiada na pytanie, które jest dziś najważniejsze: jak szybko firma dowie się, że ktoś już jest w środku — i co zrobi przez następne 24 minuty.

Ransomware bez szyfrowania nie zostawia widocznych śladów. Nie zatrzymuje serwerów, nie blokuje dostępu, nie wyświetla ekranu z żądaniem okupu. Siedzi cicho, zbiera dane i czeka na właściwy moment. Backup w tej sytuacji jest odpowiedzią na pytanie, którego już nikt nie zadaje.