zaktualizowano 10 czerwca 2026 4 min czytania
Okładka artykułu: Incydent bezpieczeństwa

Incydent bezpieczeństwa

Czyli historia o tym, jak audytor bezpieczeństwa zadzwonił do pracowników, a oni tak dobrze zdali test, że sami odcięli się od świata.

Avatar: uid two

uid two

IT · SysOps · Helpdesk

Firma staje się bezpieczna

Któregoś razu firma postanowiła przeprowadzić profesjonalny audyt bezpieczeństwa.

Taki prawdziwy.

Nie:

  • prezentacja w PowerPoincie,
  • szkolenie z certyfikatem PDF,
  • ani test pod tytułem:

Czy hasło ‘haslo123’ jest bezpieczne?

Przyjechała zewnętrzna firma.

Prawdziwi audytorzy.

Ludzie, którzy zawodowo sprawdzają, czy pracownicy przypadkiem nie oddaliby cyberprzestępcy:

  • haseł,
  • danych,
  • dostępu do systemów,
  • albo kluczy do serwerowni.

Trzy poziomy cierpienia

Audyt miał obejmować:

  • phishing,
  • vishing,
  • oraz próbę wejścia fizycznego do firmy.

Czyli sprawdzenie:

Jak szybko można nas oszukać?

Najbardziej interesował nas vishing.

Czyli telefoniczne podszywanie się pod kogoś z firmy.

W teorii wszyscy wiedzieliśmy, jak to działa.

W praktyce…

No właśnie.

Dzień telefonu

Audytor dostał listę wybranych osób.

Usiadł przy telefonie.

Wybrał numer.

I przedstawił się jako:

Dzień dobry, dział IT.

I tutaj wydarzyło się coś pięknego.

Bo dokładnie tak zaczyna się większość prawdziwych rozmów z działem IT.

Więc nikt niczego nie podejrzewał.

Współpraca wzorowa

Audytor zadawał pytania.

Dziewczyny odpowiadały.

Audytor prosił o informacje.

Dziewczyny podawały informacje.

Audytor prosił o wykonanie różnych czynności.

Dziewczyny wykonywały.

Współpraca układała się wręcz wzorcowo.

Gdyby był to prawdziwy cyberprzestępca, prawdopodobnie wystawiłby nam później ankietę satysfakcji klienta.

W pewnym momencie padło nawet klasyczne:

Proszę otworzyć takie czarne okienko.

Wiecie.

To czarne okienko.

To, które dla przeciętnego użytkownika wygląda jak narzędzie do włamania się do NASA.

Dziewczyny otworzyły.

Audytor kazał wpisać kilka komend.

Wpisały.

Potem jeszcze kilka.

Też wpisały.

A ponieważ przedstawił się jako dział IT, nikt nie widział w tym niczego podejrzanego.

Przecież dział IT zawsze każe wpisywać dziwne rzeczy w dziwnych okienkach.

Chwila refleksji

Po zakończonej rozmowie audytor grzecznie się pożegnał.

Rozłączył się.

I wtedy zaczęło docierać.

Powoli.

Bardzo powoli.

Tak jak człowiekowi dociera o 3 nad ranem, że wysłał maila do wszystkich zamiast do jednej osoby.

Dziewczyny zaczęły analizować rozmowę.

I nagle pojawiła się myśl:

Zaraz…

Potem:

Chwila…

A następnie:

PRZECIEŻ JA NIE WIEM, KIM ON BYŁ.

Faza paniki

Kilka sekund później nastąpiła pełna mobilizacja.

Poziom zagrożenia:

czerwony.

Skoro ktoś właśnie wyciągnął od nich informacje przez telefon, to najwyraźniej firma została przejęta.

Przez hakerów.

Przez mafię.

Przez wywiad obcego państwa.

Przez kogokolwiek.

W tym momencie logiczne myślenie przestało być potrzebne.

Procedury awaryjne

I wtedy jedna z nich podjęła jedyną słuszną decyzję.

Wyłączyła komputer.

Druga zrobiła to samo.

Potem kolejna.

I kolejna.

Bo skoro bezpieczeństwo zostało naruszone…

To trzeba działać.

Komputer wyłączony.

Monitor czarny.

Zagrożenie wyeliminowane.

Centrum kryzysowe

My w międzyczasie chodziliśmy po firmie sprawdzając efekty audytu.

Czy ktoś rozpoznał próbę manipulacji.

Czy ktoś się zorientował.

Czy ktoś odmówił podania danych.

I wtedy trafiliśmy do jednego z biur.

Widok niezapomniany

Widok był piękny.

Przed nami siedzi kilka osób.

Komputery wyłączone.

Monitory czarne.

Cisza.

Atmosfera jak po katastrofie lotniczej.

Jedna z dziewczyn siedzi nieruchomo i patrzy w biurko.

Druga wygląda jak człowiek, który właśnie wysłał wypowiedzenie do całej firmy.

A trzecia…

Siedzi ze łzami w oczach.

Dosłownie.

Pytamy:

Co się stało?

Na co słyszymy:

Bo ja mu wszystko powiedziałam…

I w tym momencie człowiek nie wie, czy powinien:

  • kontynuować audyt,
  • pocieszać użytkownika,
  • czy zadzwonić do audytora z gratulacjami.

Bo chłop właśnie przeprowadził tak skuteczny test socjotechniczny, że jedna z osób była przekonana, że przypadkiem sprzedała firmę obcemu wywiadowi.

Sukces audytu

I tutaj pojawia się pewien paradoks.

Technicznie rzecz biorąc…

Audyt zakończył się pełnym sukcesem.

Pracownicy zrozumieli zagrożenie.

Bardzo zrozumieli.

Być może nawet za bardzo.

Bo mało kto reaguje na incydent bezpieczeństwa natychmiastowym wyłączeniem całego stanowiska pracy.

Morał działu IT

Szkolenia bezpieczeństwa często nie działają.

Ludzie słuchają.

Potakują.

Podpisują listę obecności.

I zapominają wszystko po pięciu minutach.

Ale czasami wystarczy jeden telefon od człowieka mówiącego:

Dzień dobry, tu dział IT.

Żeby nagle wszyscy przypomnieli sobie, że cyberbezpieczeństwo istnieje.

A niektórzy nawet dla pewności wyłączą komputer i będą siedzieć w ciszy, czekając na dalszy rozwój wydarzeń.