W lutym 2026 roku miliony Irańczyków otworzyły swoją ulubioną aplikację do codziennych modlitw i zamiast wersetu z Koranu zobaczyły komunikaty: „Czas się poddać”, „Nadeszła Godzina Zemsty”, „Wasze dowództwo was opuściło”. Zekr – prosta, apolityczna aplikacja religijna (open source) została przejęta przez napastników i zamieniona w narzędzie psychologicznej presji wyprzedzającej operację wojskową „Epicka Furia”. Kilkanaście dni wcześniej specjaliści na całym świecie odkryli, że Notepad++ – skromny edytor tekstu stanowiący alternatywę dla windowsowego notatnika, od lat obecny na setkach milionów komputerów i kojarzony wyłącznie z pisaniem notatek i kodu, przez wiele miesięcy potajemnie dostarczał złośliwe oprogramowanie na zlecenie chińskiego wywiadu.
Dwa różne zdarzenia, dwa różne konteksty i dwa różne programy, ale jeden wspólny mechanizm: nie zaatakowano systemów obronnych ani bankowych. Zaatakowano narzędzia, którym ludzie ufają bezrefleksyjnie – bo są z nimi od lat, bo są małe, bo nikomu nie przyszłoby na myśl, że właśnie tam kryje się ryzyko.
To jest dzisiaj istota cyberzagrożeń, o której mówi się zbyt rzadko. Branża cyberbezpieczeństwa od dekad skupia się na ochronie „ważnych” systemów: bankowości, infrastruktury krytycznej, danych osobowych. Tymczasem atakujący doskonale wiedzą, że najkrótsza droga do udanego ataku wiedzie przez narzędzia, które wszyscy zainstalowali lata temu i o których nikt już nie myśli.
Jak to działa w praktyce? Wyobraź sobie firmę, w której każdy pracownik ma na komputerze kilkadziesiąt programów – edytory, przeglądarki, wtyczki, rozszerzenia, komunikatory. Każde z nich regularnie pobiera aktualizacje. W większości firm nikt nie weryfikuje, czy ta aktualizacja rzeczywiście pochodzi od producenta i czy zawiera tylko to, co powinna. To właśnie ten mechanizm – atak na łańcuch dostaw oprogramowania – został wykorzystany przeciwko użytkownikom Notepad++. Przez miesiące program działał normalnie, a przy okazji wykonywał rozkazy napastników.
Dla polskiego biznesu ten scenariusz jest bliższy niż się wydaje. Polska jest w pierwszej dziesiątce krajów najczęściej atakowanych ransomware, a jednocześnie większość polskich firm w ogóle nie ma listy dozwolonego oprogramowania zainstalowanego na służbowych komputerach, nie mówiąc już o monitorowaniu, skąd przychodzą aktualizacje. To nie zarzut – to po prostu stan, w którym działa większość organizacji, niezależnie od branży i wielkości.
Co więcej, to zaufanie jest zaraźliwe. Jeśli pracownik ufa swojemu edytorowi tekstu, bo działa bez zarzutu od pięciu lat, jego czujność wobec tego i innych (podobnych) narzędzi spada do zera. Atakujący liczą właśnie na to. Nie szukają luki w trudno dostępnym systemie ochrony – szukają miejsca, gdzie nikt nie patrzy.
Jakie wnioski płyną z wydarzeń ostatnich tygodni? Przede wszystkim jeden, fundamentalny: zaufanie w cyberbezpieczeństwie musi być regularnie weryfikowane, nawet w stosunku do rzeczy, które wydają się oczywiste i bezpieczne. Wspomniana aplikacja do modlitwy. Edytor tekstu. Rozszerzenie do przeglądarki, narzędzie do kompresji plików. To właśnie tam, gdzie czujność śpi, ryzyko jest dziś najwyższe.
Zanim zapytasz, czy Twoja firma jest gotowa na cyberatak, warto zadać prostsze pytanie: Jak wygląda u ciebie zarządzanie inwentarzem (asset management), czy wiesz, ile programów i aplikacji działa właśnie teraz na stacjach roboczych Twoich pracowników i kiedy ostatnio ktokolwiek na to spojrzał?
Autor:
Dariusz Czerniawski,
Ekspert ds. Cyberbezpieczeństwa i Governance w KIGC
