Cyberatak na Uniwersytet Warszawski odsłania nietypowy scenariusz działania przestępców, który odbiega od znanych schematów. Jak poinformował rzecznik Centralne Biuro Zwalczania Cyberprzestępczości, kom. Marcin Zagórski, w tym przypadku nie doszło do klasycznego zaszyfrowania danych ani próby wymuszenia okupu. To szczegół, który znacząco zmienia obraz całego incydentu.
W połowie kwietnia – dokładnie w nocy z 15 na 16 – w darknecie pojawiło się około 200 tysięcy plików powiązanych z uczelnią. Choć sam atak wykryto już 9 lutego, dziś wiadomo, że dane mogły być kopiowane znacznie wcześniej, prawdopodobnie na przełomie stycznia i lutego. Skala zdarzenia jest poważna: według informacji uczelni niemal 33 tysiące plików mogło zawierać dane osobowe studentów, pracowników czy kandydatów.
Co istotne, mimo wycieku, systemy uczelni nadal działały, a dostęp do danych nie został zablokowany. To odróżnia ten incydent od większości ataków ransomware, które zwykle paraliżują instytucje, wymuszając szybkie decyzje i często kosztowne negocjacje.
Śledczy z CBZC zostali poinformowani o sprawie 16 lutego i niemal natychmiast rozpoczęli działania. Zabezpieczono dane, wszczęto dochodzenie, a równolegle analizą zajęła się także Naukowa i Akademicka Sieć Komputerowa, do której trafił sprzęt uczelni.
Najbardziej zaskakujący jest jednak sam mechanizm działania sprawców. Choć wykorzystano specjalistyczne oprogramowanie, nie zastosowano typowego szyfrowania danych ani nie wystosowano żądań finansowych. W praktyce oznacza to, że atak miał charakter bardziej „cichego przejęcia” niż otwartego szantażu.
Zagórski podkreśla, że takie przypadki są rzadkie. – Uczelnia nie została odcięta od swoich zasobów, mogła nadal funkcjonować – zaznacza. – To wyraźnie odróżnia ten incydent od klasycznych ataków ransomware.
Nie oznacza to jednak, że zagrożenie jest mniejsze. Wręcz przeciwnie – brak natychmiastowych symptomów może utrudnić wykrycie ataku i wydłużyć czas działania sprawców w systemie.
Na razie służby nie ujawniają, kto stoi za atakiem. Choć pojawiają się spekulacje medialne, policja zachowuje powściągliwość. – Mamy swoje ustalenia, ale na tym etapie nie możemy ich ujawniać – mówi rzecznik CBZC.
Jedno jest niemal pewne: za tego typu operacjami zwykle stoją zorganizowane grupy działające ponad granicami państw. Ich działalność ma charakter globalny, a cele – od uczelni po wielkie korporacje – są dobierane bez względu na kraj.
Sam Uniwersytet Warszawski poinformował o incydencie wszystkie osoby, których dane mogły zostać naruszone, oraz zgłosił sprawę do Urząd Ochrony Danych Osobowych. Zgłoszenie jest obecnie analizowane przez urząd.
W tle pozostaje jeszcze jeden ważny wątek: sposób, w jaki doszło do włamania. Według ustaleń uczelni, atak nie polegał na złamaniu zabezpieczeń systemu, lecz na wykorzystaniu prawidłowych danych logowania. Najprawdopodobniej zostały one przejęte wcześniej – np. przez złośliwe oprogramowanie zainstalowane na urządzeniu jednego z użytkowników.
To przypomnienie, że najsłabszym ogniwem cyberbezpieczeństwa często nie jest technologia, lecz człowiek. Dlatego eksperci zalecają podstawowe środki ostrożności: weryfikację, czy nasze dane nie wyciekły (np. przez rządowe serwisy), oraz zabezpieczenie numeru PESEL – co można zrobić choćby w aplikacji mObywatel.
Incydent na UW pokazuje, że cyberataki coraz rzadziej przypominają filmowe scenariusze z blokadą systemów i żądaniami okupu. Coraz częściej są ciche, długotrwałe i trudniejsze do wykrycia – a przez to znacznie bardziej niebezpieczne.
Twoje zdanie jest ważne jednak nie może ranić innych osób lub grup.
Komentarze mogą dodawać tylko zalogowani użytkownicy.
Komentarze