Jak wynika z komunikatu opublikowanego na stronie Ministerstwa Cyfryzacji (MC), służby zidentyfikowały nowe sposoby działania cyberprzestępców, którzy działają w ramach tzw. grup APT (Advanced Persistent Threat).
Grupy tego typu specjalizują się w długofalowych i zaawansowanych cyberatakach i często są powiązane ze służbami wrogich państw - wyjaśnił resort. Wskazał, że zidentyfikowane ataki grup APT są skierowane wobec podmiotów krajowego systemu cyberbezpieczeństwa (KSC), czyli firm sektorów m.in. energii, transportu, ochrony zdrowia, bankowości, zaopatrzenia w wodę, zarządzania ICT, czy produkcji i dystrybucji żywności. Do KSC należy też część podmiotów publicznych.
Zalecił działom IT oraz HR podmiotów KSC, a także firmom zajmującym się rekrutacją do tych podmiotów, zachowanie szczególnej ostrożności oraz wprowadzenie rygorystycznych zasad weryfikacji kandydatów do pracy. Gawkowski zwrócił uwagę, że cyberprzestępcy mogą korzystać z AI, by podszyć się pod kandydata do pracy, np. specjalistę IT czy badacza.
Wśród zasad dla HR wicepremier wymienił sprawdzenie historii zatrudnienia kandydata bezpośrednio u poprzednich pracodawców, a nie tylko na podstawie CV czy profilu w serwisie LinkedIn. Osoby odpowiedzialne za rekrutację powinny też wymagać od kandydatów, by prowadzili wideorozmowy z włączoną kamerą. Rekruter powinien zwracać uwagę na nienaturalne pauzy, opóźnienia, czy wyciszenia dźwięku w momentach, gdy kandydat powinien mówić.
Należy też weryfikować domeny linków do wideokonferencji. Jak podkreślił pełnomocnik rządu, prawidłowe adresy dla popularnych narzędzi do wideokonferencji, takich jak Zoom i Teams, to odpowiednio zoom.us i teams.microsoft.com. Każda inna domena, np. micrusoft[.]us, stanowi sygnał ostrzegawczy - zaznaczył.
Kolejnym sygnałem powinna być pułapka „technicznych problemów”, czyli sytuacja, w której podczas rozmowy kandydat zgłasza błędy dźwięku i prosi o zainstalowanie „poprawki” lub „aktualizacji” - wskazał Gawkowski. Dodał, że nie należy instalować aplikacji dystrybuowanych poza oficjalnymi kanałami, na prośbę kandydatów czy nowo poznanych osób ze środowiska biznesowego.
Po przekazaniu sprzętu nowemu pracownikowi należy sprawdzić, czy faktycznie posiada komputer, czy też operuje zdalnie z innego kontynentu. Trzeba poprosić go o odczytanie numeru seryjnego urządzenia, co potwierdzi fizyczny dostęp do sprzętu. Nowo zatrudnione osoby powinny otrzymywać uprawnienia stopniowo - zaznaczył Gawkowski. Dodał, że każda próba nieuzasadnionej eskalacji dostępu musi być monitorowana.
Jeśli kandydat lub pracownik wydaje się podejrzany organizacja powinna niezwłocznie zablokować jego konto i dostęp do wszystkich systemów. Następnie należy przeprowadzić analizę zachowania użytkownika, m.in. sprawdzić historię logowań i używane narzędzia.
„Wszelkie incydenty i podejrzenia muszą być niezwłocznie zgłaszane do właściwych zespołów reagowania: CSIRT NASK, CSIRT GOV lub CSIRT MON” - podkreślił Gawkowski. Zaznaczył, że Ministerstwo Cyfryzacji oraz eksperci CSIRT KNF monitorują sytuację i podejmują działania ochronne.
Ustawa o Krajowym Systemie Cyberbezpieczeństwa z 2018 r. ustanowiła trzy krajowe Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego: CSIRT NASK, CSIRT GOV oraz CSIRT MON.
Rekomendacja Gawkowskiego została wydana także na podstawie ustawy o KSC. Według znowelizowanych w br. przepisów krajowym systemem cyberbezpieczeństwa objęte są m.in. sektory: energii, transportu, bankowości, uzdatniania wody, odprowadzania ścieków, ochrony zdrowia, przestrzeni kosmicznej, usług pocztowych, produkcji i dystrybucji, w tym chemikaliów i żywności. Do sektorów KSC zaliczono też część podmiotów publicznych, w tym urzędy, samorządy, szkoły, szpitale, instytuty badawcze i Polską Agencję Prasową.
źrodło Bankier.pl 29 kwiecień 2026 mbl/ mmu/
