Sektor Obronny Logo

Sektor Obronny

analizy, raporty, komentarze ekspertów

Atak na firmę nie zaczyna się od włamania, ale od zdobycia informacji, które często sami udostępniamy

Koszczynski
Wojciech Koszczyński, detektyw, były oficer CBŚ. fot. INFO FOTO FACTORY
Wojciech Koszczyński – były oficer Centralnego Biura Śledczego, dziś doświadczony detektyw i ekspert do spraw bezpieczeństwa biznesu – w wywiadzie dla Sektora Obronny opowiada o realnych zagrożeniach, z którymi mierzą się polskie firmy i ich kadra zarządzająca. Rozmowa dotyczy wielu wątków – od cyberataków i socjotechniki, przez sabotaż przemysłowy i infiltrację, po kradzież tożsamości i brak systemowego, prewencyjnego wsparcia ze strony służb państwowych. To rozmowa o praktyce, o tym, co dzieje się naprawdę – o codziennych decyzjach, nawykach i zaniechaniach, które mogą kosztować firmę i nas – jako osoby prywatne – utratę danych, pieniędzy i reputacji.

Klaudiusz Kaleta: Nie zawsze byłeś detektywem. Jak wyglądała Twoja droga zawodowa i co z niej wyniosłeś?

Wojciech Koszczyński: Zaczynałem w Centralnym Biurze Śledczym w Gdańsku. Pracowałem operacyjnie, co nauczyło mnie metodycznego działania, cierpliwości i rozumienia, że informacja jest często cenniejsza niż fizyczny dowód. Po odejściu ze służby trafiłem do działów bezpieczeństwa dużych korporacji amerykańskich. Tam zobaczyłem, jak wygląda ochrona biznesu od środka: planowanie, zabezpieczania projektów, utrzymywanie ciągłości inwestycji, tworzenie procedur i egzekwowanie standardów. Dopiero później założyłem własne biuro detektywistyczne. Dziś łączę doświadczenia ze świata służb i z praktyki korporacyjnej – to pozwala mi patrzeć na każdą firmę jako na żywy organizm, narażony na różne wektory ataku: od sieci, przez ludzi, po codzienne nawyki i relacje z kontrahentami.

Jak oceniasz poziom świadomości zagrożeń wśród właścicieli firm i zarządów w Polsce?

Świadomość rośnie, ale wciąż jest niewystarczająca. Wielu przedsiębiorców czuje, że coś powinni zrobić, ale nie potrafią nazwać konkretnych ryzyk. Wciąż pokutuje myślenie, że skoro firma nie jest wpisana na listę podmiotów strategicznych, to nie stanowi celu. Tymczasem skala przedsiębiorstwa nie ma większego znaczenia. Celem może stać się zarówno spółka giełdowa, jak i rodzinny zakład zatrudniający kilkanaście czy kilkadziesiąt osób. Przestępcy szukają miejsc, gdzie wektor ataku jest najprostszy: brak procedur, brak ludzi od bezpieczeństwa, pośpiech i chaos. Te cztery rzeczy powtarzają się w większości przypadków ataków, które widzę.

Zobacz też wywiad wideo dostępny na kanale YouTube Sektora Obronnego:

 

Mówisz, że skala firmy nie ma znaczenia. Dlaczego małe i średnie przedsiębiorstwa są atrakcyjnym celem?

Bo często mają niepełne lub iluzoryczne zabezpieczenia. W praktyce dział bezpieczeństwa sprowadza się do informatyka, który utrzymuje sieć i sprzęt. Tymczasem człowiek – nie firewall – jest najsłabszym ogniwem. Wystarczy jeden błąd: kliknięcie w spreparowany link, otwarcie załącznika, przepisanie faktury z podmienionym numerem konta. Do tego dochodzi praca z domu na prywatnych urządzeniach, brak monitoringu 24/7, tempo i presja terminów. To idealne warunki dla oszustów i grup przestępczych, które działają szybko i metodycznie.

Na ile na bezpieczeństwo biznesu wpływa obecna sytuacja geopolityczna i wojna tuż za naszą granicą?

Wpływa znacząco. Widzimy więcej rozproszonych grup przestępczych, które działają mobilnie i ponad granicami. To już nie kilka znanych gangów, jak kiedyś. Dziś są to sieci współpracowników – od specjalistów IT po ludzi od kryptowalut – które łatwo zmieniają miejsca i jurysdykcje. Grupy te korzystają z międzynarodowej infrastruktury: serwerów umieszczonych poza Polską, rozliczeń w kryptowalutach, pośredników i słupów. Skuteczność rośnie, bo mają budżety z poprzednich udanych akcji i uczą się na własnych błędach.

Wspomniałeś o zmianie metod. Co dziś jest najgroźniejsze dla firm?

Po pierwsze – ataki socjotechniczne, czyli uderzenie w człowieka. Podszywanie się pod prezesa (tzw. CEO fraud), podmiana numeru konta na fakturze, wyłudzanie dostępu do skrzynki e-mail.

Po drugie – ataki na infrastrukturę: szyfrowanie serwerów, przejęcie kont i poczty, blokada usług z żądaniem okupu w kryptowalutach.

Po trzecie – wejście do firmy przez jej otoczenie: kontrahentów, podwykonawców, a nawet personel sprzątający czy ochronę. Gdy firma wpuszcza do krytycznych stref zewnętrzne podmioty bez kontroli, ryzyko kradzieży lub sabotażu gwałtownie rośnie.

I wreszcie – wywiad gospodarczy, rozpoznanie, profilowanie osób kluczowych i próby ich kompromitacji lub szantażu.

Jak przestępcy czy szpiedzy zdobywają informacje potrzebne do ataku?

Ogromną rolę odgrywa OSINT, czyli analiza otwartych źródeł. Publiczne rejestry, media społecznościowe, ślady po konferencjach i targach, ogłoszenia o pracę, informacje prasowe – to wszystko układa się w prostą mapę: kto jest właścicielem, kto zarządza finansami, jakie są dostawy i harmonogramy, kto odpowiada za kluczowy projekt. Wiele firm nie zdaje sobie sprawy, że na podstawie publicznych danych można przygotować precyzyjny, szyty na miarę scenariusz ataku. Czasem wystarczy też „wejść” jako kontrahent: złożyć niewielkie zlecenia, zbudować zaufanie, a potem uderzyć wtedy, gdy firma zgodzi się na odroczoną płatność lub udostępni szerszy dostęp do systemów i ludzi.

Jakie sygnały ostrzegawcze powinny zapalić lampkę w głowie prezesa lub dyrektora?

Nagłe naciski na pośpiech przy przelewach, zmiana numeru konta „na już”, prośby o przesyłanie plików poza standardowe kanały, propozycje wyjątkowo korzystnych umów bez możliwości weryfikacji partnera, nowi „znajomi” w branży, którzy niezwykle szybko zdobywają zaufanie. Z poziomu organizacji – niejasne ścieżki akceptacji płatności, brak zasady dwóch par oczu przy przelewach wysokokwotowych, praca na prywatnych urządzeniach, zbyt szerokie uprawnienia do systemów i brak rejestrowania wejść do stref newralgicznych.

Gdzie najczęściej pojawiają się luki w procedurach?

W miejscach prozaicznych: w skrzynce e-mail i w kalendarzu tego, kto „nie ma czasu”. W firmach rzadko istnieje jasna, egzekwowana polityka obrotu informacją. Umowy o poufności bywają ogólne, a pracownicy nie wiedzą, co konkretnie jest tajemnicą przedsiębiorstwa.

Zdarza się też, że w praktyce nikt nie kontroluje dostępu firm zewnętrznych do pomieszczeń – sprzątanie, serwis, ochrona. W konsekwencji nawet starannie sprawdzone IT przegrywa z codziennym nawykiem zostawienia telefonu na stole czy pendrive’a w komputerze.

Warto pracowników edukować i cały czas kontrolować.

Czy weryfikacja i permanentna kontrola ludzi to nie przesada?

Nie chodzi o obsesję kontroli, tylko o rozsądek. Warto też patrzeć szczególnie na stanowiska krytyczne – finansowe, operacyjne, inżynierskie.

W praktyce najgroźniejsze są dwie rzeczy: kłusownictwo pracownicze (celowe wyciąganie kluczowych ludzi przez konkurencję) oraz wpływanie na osoby z problemami – długi, hazard, słabości. Czasem celem staje się nie firma jako całość, ale konkretna osoba z zarządu. Wykorzystuje się kompromitację, przypadkowe nagranie, nocną „przygodę” po dosypaniu czegoś do drinka. To nie są filmowe scenariusze – takie sytuacje się zdarzają i później te osoby są nakłaniane do działań na szkodę firmy.

A co z kontrahentami i partnerami?

Tu także konieczna jest weryfikacja. Widziałem przypadki fikcyjnych funduszy i „inwestorów”, którzy obiecywali szybkie finansowanie pod warunkiem wpłaty „wkładu uruchamiającego”. Brzmi absurdalnie, ale w pośpiechu i przy presji projektu ludzie akceptują skróty.

Zdarza się również cały czas model stopniowego budowania zaufania – kilka małych zamówień opłaconych wzorowo, potem jedno duże z odroczonym terminem – i towar znika.

Prosty schemat, a działa, gdy nikt nie sprawdza wiarygodności partnera bardziej szczegółowo niż tylko ładnie przygotowaną stronę www.

Jak wygląda techniczna strona ochrony – czy wystarczy „mocniejsze IT”?

IT jest konieczne, ale nie wystarczy. Sieć musi być monitorowana 24/7, bo ataki nie dzieją się tylko między godziną 9:00 a 16:00. Trzeba też jasno określić, co wolno, a czego nie – na przykład wprowadzić i poinformować pracowników o zakazie pracy służbowej na prywatnych komputerach, rozdzielić sieci wi-fi dla gości i pracowników, posegmentować uprawnienia, logowanie i archiwizację zdarzeń.

Jednak nawet najlepsza infrastruktura zawiedzie, jeśli pracownik zignoruje procedurę. Dlatego poza technologią potrzebne są testy socjotechniczne, szkolenia i regularne ćwiczenia reakcji na incydent.

Czy w przypadku ataku na firmę lub wykrycia zagrożenia sabotażem przedsiębiorcy mogą liczyć na wsparcie i zapewnienie „parasola ochronnego” nad biznesem przez służby? Jak to wygląda w praktyce?

Nie ma w naszym kraju instytucji, które prewencyjnie chroniłyby przedsiębiorstwa. Służby reagują po fakcie. Częściej i chętniej zajmują się też weryfikacją donosów na prezesów lub członków zarządów niż ochroną kluczowych projektów gospodarczych. Służby nie chcą brać odpowiedzialności, bo to wymaga pomysłu, dużego zaangażowania środków i ludzi, a braki kadrowe i rozproszenie kompetencji sprawiają, że nie wiadomo, jak do tego podejść w praktyce. Luka prewencyjna jest tutaj ogromna, dlatego tak istotna jest w tym przypadku rola podmiotów prywatnych, zajmujących się bezpieczeństwem. Takich firm, które zajmują się audytami, stałymi konsultacjami, monitoringiem procesów czy weryfikacją partnerów biznesowych i podwykonawców.

Skoro mowa o audytach – jak powinien wyglądać ten pierwszy krok w firmie, która wcześniej nic szczególnego nie robiła pod względem bezpieczeństwa?

Zaczynamy od rozmowy o specyfice firmy – branża, procesy, miejsca newralgiczne, kluczowe role i projekty.

Potem mapujemy ryzyka – cyber (poczta, faktury, dostęp zdalny), ludzie (uprawnienia, szkolenia, rotacja), kontrahenci (weryfikacja, płatności), i infrastruktura (pomieszczenia, dostęp fizyczny, ochrona).

Na końcu przedstawiamy plan naprawczy z priorytetami – co zrobić natychmiast, co w najbliższym kwartale, co w półroczu, i tak dalej. Ważne, żeby od razu wdrożyć szybkie usprawnienia – choćby zasadę dwóch podpisów przy przelewach powyżej określonego progu.

Czy to wszystko nie jest zbyt kosztowne dla małej firmy?

Budżet można skalować. Nie każda firma potrzebuje całodobowego wsparcia i monitoringu, ale każda potrzebuje jasnych zasad i osoby odpowiedzialnej za bezpieczeństwo. Można pracować projektowo – uruchamiać budżet przy krytycznych przedsięwzięciach lub w momentach podwyższonego ryzyka. Koszt prewencji jest ułamkiem kosztów kryzysu. Gdy systemy zostaną zaszyfrowane, a produkcja stanie, straty liczy się w godzinach, dniach, a nawet tygodniach. A to są realne straty finansowe.

Czy temat podsłuchów i sprawdzania pomieszczeń to w obecnych czasach realny problem?

Tak. Znajdowaliśmy ślady po urządzeniach podsłuchowych w salach spotkań. Nie zawsze da się je wykryć w trakcie, ale ślady montażu już tak. A skoro zostały zamontowane, a następnie zdemontowane, to prawdopodobnie spełniły swoje zadanie.

Dlatego ważne jest nie tylko sprawdzenie, lecz także utrzymanie czystości pomieszczeń – kontrola kluczy, harmonogramów wejść, wyłączenie z dostępu osób postronnych tuż przed spotkaniami. W dobie miniaturowych rejestratorów i urządzeń GSM lekceważenie tego elementu może zniweczyć cały wysiłek zachowania poufności informacji i danych.

Ostatnio coraz częściej mówi się też o kradzieży tożsamości – na czym polega to ryzyko – nie tylko dla przedsiębiorcy, ale też dla każdego z nas?

Ryzyko kradzieży tożsamości polega na wiarygodnym podszyciu się pod nas lub pod pracownika. Jeśli przestępca ma zestaw danych – imię, nazwisko, stanowisko, numery, charakter relacji z kontrahentem – potrafi złożyć zamówienie, przejąć towar, wymusić zmiany płatności.

Dużo ostatnio mówi się także o możliwości zastrzegania numeru PESEL, które m nas chronić, jako osoby fizyczne, przed ryzykiem zawarcia na nasze dane umowy czy wzięcia pożyczki. Zastrzeżenie numeru PESEL ma sens, ale nie jest panaceum. Wiele danych jest jawnych: rejestry, sprawozdania, publikacje. Dlatego kluczowa jest oszczędność informacyjna i weryfikacja nietypowych próśb kanałem alternatywnym, na przykład telefonem do znanej osoby kontaktowej.

Jak uczyć zespół uważności i nie wprowadzić paniki?

Poprzez regularność i praktykę. Krótkie, cykliczne szkolenia, przykłady z życia, ćwiczenia reakcji na incydent. Nie chodzi o straszenie, lecz o budowanie nawyków. Sprawdzam nadawcę, weryfikuję numer konta, nie wysyłam plików poza system, zgłaszam nietypowe sytuacje. Warto też zorganizować testy phishingowe i omówić ich wyniki, oczywiście bez stygmatyzowania – tylko w celu poprawy, nie kar.

Czy możesz podać przykłady sytuacji, które dobrze ilustrują mechanizmy zagrożeń, o których mówisz?

Bez wchodzenia w szczegóły:

po pierwsze, przypadek przedsiębiorcy z południa Polski, który został brutalnie zaatakowany we własnym domu – napastnicy byli dobrze przygotowani i wiedzieli, czego szukają,

po drugie, oszustwo „funduszowe” – obietnica dużych środków po wpłacie wkładu uruchamiającego; sprawcy podszywali się pod zagraniczny podmiot, a w tle stali zwykli oszuści,

po trzecie, wykryte ślady po podsłuchach w salach spotkań u klienta – urządzeń nie było, ale było widać, że wcześniej działały.

Wszystkie te przypadki łączy dobre rozpoznanie, cierpliwość i atak w momencie, kiedy ofiara najmniej się go spodziewa.

Gdybyś miał wskazać pierwszy, najprostszy krok dla zarządu, który po przeczytaniu tego wywiadu chciałby zadbać i sprawdzić poziom bezpieczeństwa firmy, co by to było?

Wyznaczenie odpowiedzialnego za bezpieczeństwo, nawet w niepełnym wymiarze, i zlecenie mu szybkiego przeglądu krytycznych obszarów – poczty i autoryzacji przelewów, polityki haseł, uprawnień użytkowników, dostępu do pomieszczeń, listy kontrahentów o podwyższonym ryzyku.

Następnym krokiem jest wprowadzenie kilku prostych zasad – weryfikacja numerów kont u dostawców przy każdej zmianie, zasada dwóch par oczu przy płatnościach, oddzielenie sieci wi-fi dla gości od firmowej, zakaz pracy służbowej na prywatnym sprzęcie.

Te proste kroki dają szybki efekt i znacząco wpływają na poziom bezpieczeństwa.

Na koniec – czy uważasz, że edukacja przedsiębiorców jest dziś kluczowym zadaniem?

Tak, bo czasy są coraz trudniejsze. Grupy przestępcze są lepiej przygotowane, bardziej rozproszone i skuteczniejsze.

Edukacja to najtańsza forma prewencji. Rozmowa, audyt, szkolenie – to inwestycje, które zwracają się, zanim dojdzie do incydentu. Nie ma sensu czekać na kryzys. Warto rozmawiać i działać, zanim będzie za późno.

Mam nadzieję, że ten materiał pomoże przedsiębiorcom zobaczyć, jak wiele można zrobić zawczasu. Bo bezpieczeństwo to dziś nie luksus, lecz warunek przetrwania i rozwoju.

Klaudiusz Kaleta

redaktor naczelny SektorObronny.pl
Data publikacji:
październik 2025
bezpieczeństwo firmy | cyberbezpieczeństwo | kradzież danych | kradzież tożsamości | ochrona firmy | sabotaż
Udostepnij:

Ochrona i Obrona Cywilna

Zagrożenia dla infrastruktury wrażliwej rosną, regulacje prawne czekają – ataki nie!

Zagrożenia dla infrastruktury wrażliwej rosną, regulacje prawne czekają – ataki nie!

Dyrektywa NIS 2, rozporządzenie DORA oraz dyrektywa CER wyznaczają fundament nowego systemu bezpieczeństwa w Unii Europejskiej – zarówno dla infrastruktury krytycznej, jak i szeroko pojętych zasobów wrażliwych. Polska wciąż nie wdrożyła przepisów NIS 2, mimo że termin implementacji minął ponad rok temu, a czas na przygotowania kurczy się błyskawicznie. Nie można traktować tego opóźnienia jako zwykłej zwłoki legislacyjnej czy wygodnego alibi dla zarządów firm, by odsuwać konieczne decyzje. Stawką są konkretne standardy i praktyczne procedury, które mają pomóc przedsiębiorstwom w realnej obronie przed cyberatakami i zagrożeniami o charakterze fizycznym. Wyzwania te nie są teoretyczne – to codzienność, z którą musimy się mierzyć już dziś. Jak zatem skutecznie wzmocnić odporność infrastruktury wrażliwej?

Zakaz fotografowania obiektów istotnych dla państwa – złagodzenie nieżyciowych przepisów

Zakaz fotografowania obiektów istotnych dla państwa – złagodzenie nieżyciowych przepisów

Przez ostatnie cztery miesiące w Polsce obowiązywały niezwykle rygorystyczne przepisy zakazujące fotografowania obiektów uznawanych za istotne dla bezpieczeństwa i obronności państwa. Zakaz ten był na tyle szeroki i szczegółowo ustalony, że w praktyce mało życiowy i nierealny, jeśli chodzi o egzekucję prawa. Obejmował obiekty szczególnie ważne dla bezpieczeństwa lub obronności państwa, ale również dotyczył mostów, wiaduktów, tuneli, portów czy dworców kolejowych. Łącznie ponad 25.000 obiektów w całej Polsce. Nowelizacja ustawy, która weszła w życie 12 sierpnia 2025 roku, wprowadziła zmiany i ograniczyła zakres regulacji do bardziej racjonalnej formy.

Mec. Maciej Moryc: Bezpieczeństwo infrastruktury wrażliwej – procedury to za mało, ważna jest zmiana mentalności

Mec. Maciej Moryc: Bezpieczeństwo infrastruktury wrażliwej – procedury to za mało, ważna jest zmiana mentalności

Sabotaż infrastruktury krytycznej, prowokacyjne ataki, podpalenia, akty wandalizmu, dezinformacja i wojna hybrydowa – to nie scenariusz filmu, lecz codzienność w Polsce i Europie, do której musimy się przyzwyczaić, ale przede wszystkim, na którą musimy się uodpornić. W rozmowie z portalem SektorObronny.pl mec. Maciej Moryc, ekspert ds. bezpieczeństwa, ujawnia, jak wygląda współczesne pole walki poniżej progu wojny, jak działają obce służby i co musimy zrobić, by chronić nasze państwo, firmy i społeczności. To analiza realnych zagrożeń i praktyczne wskazówki, które mogą zdecydować o naszej odporności.

Sektor Obronny
Powered by  Zgodności ciasteczek z RODO
Przegląd prywatności

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.