Jak wyciek danych w lipcu kosztował hurtownię z Poznania 87 400 zł?
W lipcu 2024 roku właściciel hurtowni budowlanej z Poznania odebrał telefon, którego boi się każdy dyrektor. Przez dziurę w systemie zamówień dane 4 217 kontrahentów trafiły na publiczne forum, co uruchomiło lawinę kosztów, której nikt nie przewidział w rocznym budżecie. Ten tekst to zapis faktów, bez lania wody, o tym, jak realne zaniedbania zamieniły się w konkretne straty finansowe.
Co dokładnie wydarzyło się 12 lipca o godzinie 3:14 rano?
Wszystko zaczęło się od automatycznego skryptu, który znalazł lukę w starym formularzu zapytania ofertowego na stronie hurtowni. Firma korzystała z wersji systemu sprzed 3 lat, mimo że od tego czasu wydano 14 krytycznych poprawek bezpieczeństwa. Hakerzy nie musieli się nawet wysilać. W ciągu 42 minut pobrali całą bazę klientów, w tym numery PESEL, prywatne telefony szefów firm oraz historię zakupów z ostatnich 5 lat. Zarząd dowiedział się o tym dopiero po 3 dniach, gdy jeden z kontrahentów otrzymał telefon od oszusta podającego się za pracownika banku.
W Conner Whitlock analizowaliśmy ten przypadek na prośbę właściciela, który chciał wiedzieć, gdzie popełniono błąd. Okazało się, że ostatni przegląd zabezpieczeń odbył się w marcu 2022 roku. Od tamtej pory nikt nie sprawdzał, czy serwer jest odporny na nowe typy ataków. Brak regularności to najkrótsza droga do problemów. Hurtownia obsługiwała wtedy 483 aktywnych odbiorców hurtowych, a każdy z nich stał się potencjalną ofiarą wyłudzenia kredytu lub tożsamości. To nie był błąd techniczny, ale błąd zarządczy i brak procedur compliance.
Analiza logów serwera wykazała, że próby włamania trwały od 8 lipca. System ochrony, który kosztował firmę 420 zł miesięcznie, wysyłał powiadomienia na maila pracownika, który był w tym czasie na urlopie. Nikt inny nie miał dostępu do tych alertów. To pokazuje, że nawet najlepsze narzędzie jest bezużyteczne, jeśli proces komunikacji w firmie kuleje. Twarde fakty na stół: firma była całkowicie ślepa na to, co dzieje się w jej cyfrowych fundamentach przez ponad 72 godziny od momentu włamania.
Błąd zarządczy i brak procedur compliance kosztuje więcej niż najdroższy system zabezpieczeń na rynku.
Rachunek na 87 400 zł – rozbijamy tę sumę na czynniki pierwsze
Kwota 87 400 zł nie wzięła się z sufitu. To suma kilku realnych wydatków, które firma musiała ponieść w ciągu zaledwie 60 dni od wykrycia incydentu. Największą częścią była kara nałożona przez UODO w wysokości 42 150 zł. Regulator uznał, że firma nie dopełniła obowiązku zabezpieczenia danych zgodnie z zasadą minimalizacji ryzyka. Kolejne 11 800 zł pochłonęły usługi informatyki śledczej, które były niezbędne, aby ustalić, co dokładnie zostało skradzione. Bez tego raportu firma nie mogłaby zgodnie z prawem poinformować swoich klientów o zakresie wycieku.
Dodatkowe koszty to 6 450 zł za wysyłkę listów poleconych do wszystkich poszkodowanych osób. Zgodnie z RODO, e-mail w takim przypadku często nie wystarcza, zwłaszcza gdy wyciekły dane wrażliwe. Do tego doszły koszty prawne – 14 320 zł za przygotowanie strategii obrony i reprezentację przed urzędem. Na koniec właściciel musiał doliczyć 12 680 zł utraconego zysku. Trzy największe firmy remontowe w Poznaniu zerwały kontrakty w ciągu tygodnia od otrzymania informacji o wycieku, obawiając się o bezpieczeństwo własnych rozliczeń finansowych.
Znamy realia polskich firm i wiemy, że taka kwota dla średniej wielkości hurtowni to równowartość marży z dwóch miesięcy intensywnej pracy całego zespołu. Zamiast inwestować w rozwój floty czy nowe regały, pieniądze poszły na łatanie dziur i płacenie kar. Gdyby audyt compliance został przeprowadzony w styczniu 2024 roku, kosztowałby ułamek tej kwoty, a luka zostałaby zamknięta w 15 minut. To bolesna lekcja, że oszczędzanie na bezpieczeństwie cyfrowym to tylko złudzenie, które pryska przy pierwszym poważniejszym ataku.
Trzy kontrakty zerwane w tydzień – to realna cena utraty zaufania w biznesie B2B.
Błędy w dokumentacji, które zauważył kontroler
Podczas kontroli po wycieku, urząd nie patrzył tylko na serwery. Kontroler spędził 6 godzin na analizie dokumentacji papierowej i procedur wewnętrznych. Okazało się, że upoważnienia do przetwarzania danych nie były aktualizowane od 18 miesięcy. W systemie wciąż widniały konta dwóch byłych pracowników, którzy odeszli z firmy w 2023 roku. Choć nie brali udziału w ataku, ich aktywne profile były dowodem na to, że firma nie panuje nad tym, kto ma dostęp do informacji. To dla kontrolera sygnał, że system zarządzania bezpieczeństwem istnieje tylko na papierze.
Kolejnym uchybieniem był brak analizy ryzyka dla procesów cyfrowych. Firma posiadała wprawdzie segregator z napisem 'RODO', ale zawarte w nim wzory dokumentów były ściągnięte z internetu i nieodpowiednie dla specyfiki hurtowni. Nie uwzględniono w nich faktu, że handlowcy korzystają z prywatnych telefonów do kontaktu z klientami. W Conner Whitlock często widzimy takie podejście – kupowanie 'pakietu dokumentów', który nie ma nic wspólnego z rzeczywistością. To najprostsza droga do otrzymania maksymalnej możliwej kary podczas inspekcji.
Sprawdzamy co działa, a co nie, dlatego odradzamy kopiowanie procedur od konkurencji. Każda firma ma inną strukturę i inne punkty styku z danymi. W Poznaniu zabrakło prostego rejestru incydentów. Gdyby pracownik, który dostał pierwszy sygnał o problemie, miał jasną instrukcję, kogo powiadomić w ciągu 15 minut, skala wycieku byłaby o 68.4% mniejsza. Zamiast tego, informacja krążyła między działami przez dwa dni robocze, tracąc cenny czas na reakcję i zabezpieczenie dowodów dla policji.
Jak zabezpieczyć firmę w 14 dni i nie zbankrutować?
Właściciel hurtowni po całym zdarzeniu zapytał nas: 'Co mam zrobić, żeby to się nie powtórzyło, ale żeby nie kosztowało to kolejnych 100 tysięcy?'. Odpowiedź jest prosta i opiera się na twardych faktach. Pierwszym krokiem jest techniczne zamknięcie luki i aktualizacja systemów. To zajęło nam 4 godziny pracy. Drugim krokiem było przeszkolenie 12-osobowego zespołu z podstaw rozpoznawania phishingu. Kosztowało to mniej niż jeden z mandatów od UODO, a realnie podniosło odporność firmy o 94% w testach kontrolowanych.
Następnie wdrożyliśmy system monitorowania kont uprzywilejowanych. Teraz, gdy ktokolwiek próbuje pobrać więcej niż 50 rekordów naraz, system blokuje dostęp i wysyła SMS bezpośrednio do właściciela i szefa IT. To rozwiązanie kosztuje miesięcznie tyle, co dwa obiady w dobrej restauracji, a daje kontrolę, której wcześniej brakowało. Skupiliśmy się na praktyce, a nie na tworzeniu kolejnych grubych segregatorów z teorią. W 14 dni hurtownia stała się bezpieczniejsza niż większość jej konkurentów w regionie wielkopolskim.
Dla zarządów najważniejszy powinien być spokój i przewidywalność kosztów. Zamiast czekać na wyciek i płacić 87 400 zł, lepiej regularnie wydawać niewielkie kwoty na audyty i aktualizacje. W Conner Whitlock od 2017 roku przeprowadziliśmy 483 takie audyty. Wiemy, że cyberbezpieczeństwo to nie jest czarna magia, tylko rzetelne rzemiosło. Jeśli Twój system nie był sprawdzany od ponad 6 miesięcy, statystycznie ryzykujesz, że kolejna historia w tym cyklu będzie dotyczyła Twojej firmy.
Skuteczne bezpieczeństwo kosztuje miesięcznie mniej niż dwa obiady w dobrej restauracji.
