Wiele dużych firm działa w przekonaniu, że skoro systemy bezpieczeństwa nie pokazują błędów, wszystko jest pod kontrolą. Codzienne raporty nie zgłaszają incydentów, monitoring działa, a klienci nie sygnalizują problemów. Taka sytuacja daje poczucie stabilności, ale nie zawsze oddaje rzeczywisty stan zagrożeń.
Z naszych obserwacji wynika, że dane firmowe np. loginy pracowników czy numery PESEL klientów mogą już być dostępne w sieci. Czasem trafiają na fora przestępcze, czasem do baz wycieków, które nie są jeszcze publicznie znane.
Problem nie polega na tym, że coś już się wydarzyło. Problemem jest brak wiedzy, że coś może się dziać teraz. W takich przypadkach nie mówimy już o zapobieganiu, tylko o tym, jak zareagować, gdy sytuacja wymknie się spod kontroli.
Cyber Threat Intelligence – czym naprawdę jest?
Cyber Threat Intelligence (CTI) to narzędzie, które pozwala firmie śledzić to, co dzieje się wokół niej w sieci, od dark webu po bazy danych z wyciekami. Dzięki temu może wcześniej zauważyć potencjalne zagrożenia.
CTI dostarcza aktualnych i szczegółowych informacji o zagrożeniach, np. adresy e-mail z domeny firmowej, loginy pracowników, dane klientów. CTI wspiera również monitorowanie podatności w używanym oprogramowaniu i infrastrukturze IT, w tym informuje o nowych lukach, które mogą zostać wykorzystane do ataku, oraz o tym, czy dana podatność dotyczy systemów używanych w organizacji.
CTI korzysta z danych pochodzących m.in. dark webu i forów cyberprzestępczych, niedostępnych publicznie baz danych z incydentów bezpieczeństwa, komercyjnych i prywatnych źródeł analitycznych, specjalizujących się w wykrywaniu danych pochodzących z wycieków.
Warto pamiętać, że dostęp do wielu tego typu źródeł, zwłaszcza w środowiskach cyberprzestępczych, wymaga nie tylko odpowiednich narzędzi i doświadczenia, ale także renomy. Użytkownicy korzystający z kont zbudowanych przez lata i znanych w danym środowisku mają często dostęp do informacji, które są całkowicie niedostępne dla nowych uczestników. Tylko wyspecjalizowane zespoły potrafią efektywnie poruszać się w takich przestrzeniach.
W ComCERT każdego dnia monitorujemy dziesiątki źródeł od zamkniętych forów cyberprzestępczych po prywatne kanały komunikacji w darknecie. Wiele z tych miejsc wymaga specjalistycznych narzędzi, doświadczenia i autoryzowanego dostępu. To informacje, których nie znajdziemy w otwartym internecie. Największym problemem, jaki obserwujemy, jest przekonanie wielu firm, że skoro nie widzą incydentu, to znaczy, że wszystko jest w porządku. Tymczasem regularnie natrafiamy na loginy, hasła i inne dane należące do organizacji, które nigdy nie zgłosiły żadnego naruszenia i często nawet nie wiedzą, że ich dane już krążą w sieci.
Piotr Piętka, Analityk CERT, ComCERT
Jak działa CTI w praktyce?
Wiele branż, szczególnie sektor finansowy, telekomunikacyjny czy dostawcy usług cyfrowych, muszą dziś spełniać konkretne wymagania związane z bezpieczeństwem informacji. Regulacje takie jak NIS2, DORA czy normy ISO 27001 nakładają obowiązek monitorowania zagrożeń, reagowania na incydenty i dokumentowania działań prewencyjnych. Jednym z narzędzi, które pomaga spełniać te wymagania w praktyce jest właśnie Cyber Threat Intelligence.
CTI nie tylko wspiera techniczny monitoring, ale pozwala też realnie zredukować ryzyko biznesowe i udowodnić przed audytorami, że organizacja działa proaktywnie.
Przykład z praktyki:
Firma z sektora finansowego wykrywa, że adresy e-mail i hasła jej klientów pojawiły się w nowej bazie danych dostępnej w darknecie. Dzięki CTI możliwe jest szybkie powiązanie danych z konkretnymi kontami w systemie bankowym. Klienci otrzymują natychmiastowe powiadomienie z informacją o potencjalnym zagrożeniu i instrukcją resetu hasła oraz włączenia 2FA. Firma nie tylko zapobiega przejęciu kont i potencjalnym oszustwom, ale też aktywnie buduje zaufanie, pokazując, że realnie chroni dane swoich użytkowników.
Alerty BIK – jak działa skuteczny model ostrzegania?
Na rynku działa kilka zaawansowanych rozwiązań CTI. Na przykład ComCERT – firma specjalizująca się w cyberbezpieczeństwie, rozwija usługę C3TI, która umożliwia dużym firmom automatyczne monitorowanie danych i integrację z własnymi systemami.
Ze źródeł CTI dostarczanego przez ComCERT korzysta Biuro Informacji Kredytowej oferując usługę Alerty BIK, z funkcją monitorowania darknetu.
Jest to usługa skierowana do klientów indywidualnych, która informuje użytkownika kiedy jego dane zostaną użyte do wnioskowania o kredyt lub pojawią się w wycieku. W takim przypadku użytkownik dostaje alert SMS/email z informacją o tym, co się wydarzyło. Alert pozwala na szybką reakcję i zminimalizowanie skutków nieuprawnionego wykorzystania danych.
Alerty BIK pełnią dwie ważne funkcje:
- Proaktywnie chronią użytkownika
- Budują zaufanie do instytucji
Warto podkreślić, że z CTI mogą korzystać też inne organizacje np.:
- Banki, które chcą monitorować dane klientów pod kątem nadużyć kredytowych,
- firmy telekomunikacyjne chroniące loginy do paneli klienta,
- firmy z sektora technologii finansowych oferujące ochronę kont i portfeli cyfrowych.
- podmioty zaufania publicznego przetwarzające dane wrażliwe (np. szpitale, urzędy gmin i miast, szkoły, sądy).
Tego typu rozwiązania sprawdzą się też w e-commerce, ubezpieczeniach czy u operatorów masowych usług, czyli tam gdzie ochrona danych klienta ma bezpośredni wpływ na reputację i zgodność z regulacjami (NIS2, UoKSC, DORA).
Sprawdź, czy Twoja firma potrzebuje CTI:
Warto rozważyć wdrożenie CTI, jeśli:
- Twoja organizacja przetwarza dane klientów, użytkowników lub partnerów biznesowych, niezależnie od skali, każdy taki proces może być celem ataku lub nadużycia.
- Współdzielisz systemy, konta B2B, API lub platformy z zewnętrznymi partnerami, dostawcami, fintechami, a więc dane i dostępy do nich wychodzą poza granice Twojej organizacji.
- Wystąpił incydent bezpieczeństwa, błąd pracownika lub inne naruszenie i nie przeprowadzono pełnej analizy po incydencie.
- Twoja organizacja podlega regulacjom prawnym, takim jak NIS2, DORA, Ustawa o Krajowym Systemie Cyberbezpieczeństwa czy ISO/IEC 27001 – te wymagają wykazania aktywnego podejścia do zarządzania ryzykiem i incydentami.
Jeśli którykolwiek z powyższych punktów Cię dotyczy to warto przyjrzeć się bliżej rozwiązaniom Cyber Threat Intelligence.
Brak monitoringu danych często wiąże się z kosztami
Największe skutki wycieku lub przejęcia danych firmowych to:
- Konieczność zgłoszenia incydentu klientom i do UODO – co wpływa negatywnie na wizerunek marki.
- Wdrażanie awaryjnych procedur, wymiana haseł, blokady dostępów dla pracowników/klientów.
- Utrata zaufania klientów i zwiększone ryzyko ich odejścia.
- Pytania ze strony zarządu, audytorów lub regulatorów: dlaczego organizacja nie korzystała z narzędzi umożliwiających jej ochronę?
- Wzrost kosztów związanych z reakcją na incydent, np. koszty prawne, odszkodowania czy kary finansowe.
Wdrożenie CTI to nie tylko kwestia technologii – to dowód, że organizacja dojrzale podchodzi do zarządzania ryzykiem i potrafi przewidywać ryzyka.
Autor: Piotr Piętka, Analityk CERT, ComCERT