Przejdź do głównej treści
Dragonfly
pomoc@dragonfly.pl ul. Stargardzka 7, 54-156 Wrocław tel. 71 716 52 69
Czy mityczni chińscy hakerzy to realne zagrożenie dla twojej firmy?

Czy mityczni chińscy hakerzy to realne zagrożenie dla twojej firmy?

Patryk Dawidziuk

Patryk Dawidziuk

Współwłaściciel · 01.12.2025

Każdy atak na firmę wyjaśniany jako najazd “chińskich hakerów” warto przepuścić przez filtr: kto tak naprawdę zawiódł? Odpowiedź jest niemal zawsze ta sama — nie służby specjalne Chin, lecz ktoś, kto od lat nie aktualizował oprogramowania, nie wdrożył MFA, nie monitorował sieci, nie wymieniał starego oprogramowania, nie wymieniał starego sprzętu. Takich “nie” można by mnożyć…”

Co kryje się za doniesieniami o atakach?

Raporty o APT (Advanced Persistent Threat) z Chin — grupy takie jak APT10, APT41 czy Volt Typhoon (nazwy brzmią grożnie, prawda?) — dotyczą głównie infrastruktury krytycznej, administracji państwowej i dużych korporacji z sektorów: obronny, energetyczny, telekomunikacyjny. Jeśli jesteś właścicielem firmy 20–200 osób zajmującej się handlem, produkcją czy usługami, jesteś dla nich nieatrakcyjny. Nie dlatego, że masz dobrą ochronę — po prostu nie masz nic, co da się spieniężyć albo inaczej wykorzystać.

Cyberataki, które faktycznie uderzają w małe i średnie firmy, to:

  • ransomware — szyfrowanie danych i żądanie okupu (grupy przestępcze, głównie z Rosji i Europy Wschodniej)
  • phishing — wyłudzenie danych do logowania lub przelewu
  • credential stuffing — używanie wyciekłych haseł do włamania na firmowe konta
  • exploitation botnetów — automatyczne skanowanie internetu w poszukiwaniu niezałatanych usług

Żaden z tych wektorów nie wymaga chińskiego wywiadu. Wystarczy bot i niezaktualizowany router.

Jak naprawdę wygląda podatna firma?

Kiedy słyszysz od swojego IT “to chiński atak, nic nie dało się zrobić” — zadaj konkretne pytania:

Infrastruktura:

  • Kiedy ostatnio aktualizowano firmware routerów i firewalla?
  • Czy VPN ma mocne hasła i wymaga MFA?
  • Czy port RDP (3389) jest dostępny bezpośrednio z internetu?
  • Kiedy ostatni raz robiono test penetracyjny?

Monitoring:

  • Czy logi systemowe są agregowane i analizowane (SIEM)?
  • Czy masz alerty na logowania poza godzinami pracy?
  • Ile czasu minęło od włamania do jego wykrycia?

Procedury:

  • Czy istnieje plan reagowania na incydent (IRP)?
  • Kiedy ostatni raz testowano odtwarzanie z backupu?
  • Czy jest backup w trybie offline (odcięty od sieci)?

Jeśli odpowiedzi brzmią “nie wiem” lub “dawno” — masz problem niezwiązany z Chinami.

Najczęściej eksploatowane podatności w polskich MŚP

Niezałatany VPN — urządzenia Fortinet, Pulse Secure, Citrix mają udokumentowane CVE z lat 2020–2023, które do dziś działają na niezaktualizowanych instancjach. Wystarczy publiczny exploit i skaner.

Otwarte RDP — protokół pulpitu zdalnego wystawiony bezpośrednio na internet to zaproszenie dla ataków brute-force. Narzędzie: 5 minut i Shodan.

Exchange bez poprawek — ProxyLogon (2021), ProxyShell (2021), ProxyNotShell (2022) — każda z tych podatności pozwalała na pełne przejęcie serwera pocztowego. Firmy, które nie aktualizowały Exchange, były masowo skanowane i przejmowane przez boty w ciągu godzin od publikacji exploitów.

Hasła bez MFA — wyciekły bazydanych zawierają miliardy par login/hasło. Bez uwierzytelniania wieloskładnikowego każde konto jest narażone, jeśli użytkownik kiedykolwiek użył tego samego hasła gdzie indziej a użył na pewno.

Odpowiedzialność prawna — NIS2 i RODO

Od 2024 r. Polska wdraża dyrektywę NIS2, która rozszerza obowiązki cyberbezpieczeństwa na znacznie szerszą grupę podmiotów niż dotychczas. Jeśli twoja firma działa w sektorach: produkcja, transport, usługi cyfrowe, zarządzanie odpadami — możesz być objęty obowiązkami NIS2.

Co to oznacza praktycznie:

  • obowiązek raportowania incydentów w ciągu 24 godzin (wstępnie) i 72 godzin (pełny raport)
  • konieczność prowadzenia polityki bezpieczeństwa i regularnych audytów
  • odpowiedzialność zarządu za stan cyberbezpieczeństwa organizacji
  • kary sięgające 10 mln EUR lub 2% globalnego obrotu

“Zaatakowali nas Chińczycy” nie jest argumentem zwalniającym z odpowiedzialności. Pytanie będzie brzmiało: czy podjąłeś adekwatne środki zapobiegawcze?

Co zrobić po incydencie

Jeśli właśnie przeszedłeś atak i twój dział IT składa raporty o “zaawansowanym ataku APT”, wymagaj:

  1. Szczegółowego raportu z analizy powłamaniowej — jakie logi, jakie ślady, jaki wektor wejścia
  2. Listy systemów, które były dostępne atakującemu — co mógł zobaczyć, skopiować, zaszyfrować
  3. Oceny, jakie dane wyciekły — obowiązek zgłoszenia do UODO w ciągu 72 godzin, jeśli dotyczy danych osobowych
  4. Planu naprawczego z harmonogramem — nie “naprawimy”, lecz co konkretnie, do kiedy, kto odpowiada
  5. Weryfikacji stanu backupów — czy kopie są nienaruszone, czy można odtworzyć systemy

Jeśli twój partner IT nie potrafi dostarczyć tych informacji — masz problem z partnerem, nie z Chinami.

Kiedy zagrożenie jest realne

Są sytuacje, gdy zaawansowane ataki państwowe mogą dotknąć mniejszej firmy — pośrednio. Najczęstszy scenariusz: twoja firma jest podwykonawcą lub dostawcą dla podmiotu z sektora obronnego, energetycznego lub rządowego. Atakujący wchodzi przez słabsze ogniwo łańcucha dostaw.

Jeśli obsługujesz takich klientów — poziom wymagań bezpieczeństwa powinien być zdecydowanie wyższy: segmentacja sieci, zero trust, regularne audyty, zarządzanie tożsamością.

Dla reszty: zadbaj o podstawy. Aktualizacje, MFA, monitoring, backup offline. To eliminuje 96% realnych zagrożeń.

Kontakt

Porozmawiajmy, które obszary Twojej firmy można usprawnić!

Zadzwoń

Zapraszamy do naszego biura
ul. Stargardzka 7 (boczna Metalowców),
54-156 Wrocław

tel. 71 716 52 69
pomoc@dragonfly.pl

godz. pracy: 8:30 – 17:00 w dni robocze