Dodatek · M3 · Bezp.Podstawy Cyberbezpieczeństwa dla menedżera← index
Teza
Sprawdź wyciek
Hasła i 2FA
Phishing × AI
Checklista menedżera
Wszystko kiedyś wycieknie
To nie jest straszenie — to jest statystyka. Pytanie brzmi: czy wiesz kiedy.
Nie ma firm które nie zostały zaatakowane. Są firmy które o tym wiedzą — i takie które jeszcze nie wiedzą.
22 mld
rekordów wyciekło w 2023 roku globalnie
287 dni
średni czas od włamania do jego wykrycia (IBM 2023)
82%
włamań z udziałem czynnika ludzkiego (Verizon DBIR)
Co wyciekło już na pewno
●Twój email i hasło z co najmniej jednego serwisu
●Dane z LinkedIna (wyciek 2021 — 700 mln kont)
●Dane z Adobe, Dropbox, Canva, Trello, Slack
●Numer telefonu powiązany z emailem służbowym
Co z tym robić
→Sprawdź czy Twoje dane są w bazie wycieków
→Zmień hasła których używasz w wielu miejscach
→Włącz 2FA na kluczowych kontach
→Jako admin domeny — monitoruj całą firmę
Dlaczego to jest tu: Zanim zbudujesz automatyzację która przetwarza dane firmowe — sprawdź czy Twoje konto nie jest już skompromitowane. Jeden wyciekły email admina to wejście do całej infrastruktury.
Sprawdź czy Twoje dane wyciekły
Trzy poziomy dostępu — od pojedynczego emaila do monitoringu całej domeny firmowej.
👤
Pracownik
Bez rejestracji
Wpisz swój email na stronie
Dostajesz listę wycieków w których się pojawiłeś
Widzisz co wyciekło: hasło, imię, telefon, adres
Zero rejestracji, zero opłat
👔
Menedżer
Free — do 10 adresów
Monitoruj do 10 emaili zespołu
Powiadomienia gdy nowy wyciek pojawi się w bazie
Baza wycieków aktualizowana na bieżąco
Wystarczy dla małych firm i zespołów
🏢
Admin domeny
Po autoryzacji domeny
Autoryzujesz domenę firmową raz
Monitoring wszystkich adresów pod domeną
Alert gdy którykolwiek pracownik pojawi się w wycieku
API do integracji z własnym systemem alertów
🔍
Have I Been Pwned
haveibeenpwned.com
FREE
Globalny standard. Ponad 13 miliardów skompromitowanych kont w bazie. Stworzony przez Troya Hunta — eksperta bezpieczeństwa, Microsoft MVP.
Free planWyszukiwanie emaili w przeglądarce · Powiadomienia email · Pwned Passwords · Monitoring domeny (do 10 adresów z breachem)
AdminAutoryzacja domeny → monitoring wszystkich pracowników naraz · API do integracji
Demo liveWpisz swój email na sali — wynik w 3 sekundy
Sprawdź czy konkretne hasło pojawiło się w jakimkolwiek wycieku — bez wysyłania hasła na serwer. Technologia k-anonymity: wysyłany jest tylko fragment hasha.
BazaPonad 10 miliardów skompromitowanych haseł
BezpieczneTwoje hasło nigdy nie opuszcza przeglądarki w postaci jawnej
UżycieWpisz hasło → dowiadujesz się ile razy wyciekło
Mozilla's monitoring service oparty na bazie HIBP. Bardziej przyjazny UI dla nietech użytkowników. Automatyczne alerty gdy email pojawi się w nowym wycieku.
Dla kogoUżytkownicy którzy chcą prostszego interfejsu niż HIBP
AlertyEmail gdy pojawisz się w nowym wycieku — automatycznie
Głębsze wyszukiwanie — szukasz po emailu, nazwisku, numerze telefonu, IP, haśle, nazwie użytkownika. Dla firm które potrzebują pełnego obrazu ekspozycji.
RóżnicaHIBP pokazuje że wyciekłeś. DeHashed pokazuje CO dokładnie wyciekło.
Dla kogoIT security, audyty bezpieczeństwa, incydent response
Akcja na dziś: Wpisz swój służbowy email na haveibeenpwned.com. Jeśli jesteś adminem domeny — autoryzuj domenę i włącz monitoring wszystkich pracowników. To jest darmowe i zajmuje 5 minut.
Hasła i uwierzytelnianie dwuskładnikowe
Jedno hasło w wielu miejscach = jedno naruszenie = dostęp do wszystkiego.
Jak działa atak credential stuffing
Wyciek z serwisu X→email + hasło w ciemnej sieci→bot próbuje na 1000 serwisach→dostęp do banku, maila, CRM
Jeśli używasz tego samego hasła w kilku miejscach — atak z jednego wycieku kompromituje wszystkie konta.
Menedżery haseł — top wybory
Bitwarden FREE open source
Najlepsza opcja dla firm — self-hosted lub cloud. Audytowany kod. bitwarden.com
1Password ~4$/user/mies.
Standard w firmach tech. Teams plan, polityki bezpieczeństwa, audit log. 1password.com
KeePassXC FREE lokalny
Plik z hasłami na swoim komputerze — zero chmury. Dla wrażliwych danych. keepassxc.org
2FA — hierarchia bezpieczeństwa
🔑
Hardware key — najsilniejszy
YubiKey, Google Titan. Fizyczny klucz USB/NFC. Nie da się sfishować.
📱
Authenticator app — bardzo dobry
Google Authenticator, Authy, Microsoft Authenticator. Kod co 30s w aplikacji.
💬
SMS — słabszy ale lepszy niż nic
Podatny na SIM swapping. Używaj jeśli nie ma lepszej opcji.
❌
Brak 2FA
Jedno wyciekłe hasło = pełny dostęp. Niedopuszczalne dla kont firmowych.
Priorytet dla firmy: Włącz obowiązek 2FA przez authenticator app na wszystkich kontach Google Workspace / Microsoft 365. To jest jedna decyzja administratora która eliminuje 99% ataków credential stuffing.
Phishing × AI — nowa skala starego problemu
AI nie zmyśliło phishingu. Obniżyło jego koszt do zera i podniosło jakość do poziomu eksperta.
Co AI zmienia w phishingu
PRZED AI
●Łamana polszczyzna — łatwo wykryć
●Generyczny tekst dla wszystkich
●Fałszywy głos — brzmi jak robot
●Tani i oczywisty
PO AI
●Perfekcyjna polszczyzna, właściwy rejestr
●Spersonalizowany — zna Twoje projekty z LinkedIna
●Deepfake głosu — brzmi jak Twój szef
●Tani i nieodróżnialny od prawdziwego
🎭 Deepfake głosu — scenariusz realny
Pracownik odbiera telefon od "prezesa" z poleceniem pilnego przelewu. Głos brzmi identycznie. Do sklonowania głosu wystarczy 3 minuty nagrania z publicznego wystąpienia lub YouTube. Znane przypadki: firma z Hong Kongu przelała 25 mln USD po wideorozmowie z deepfake'ami całego zarządu.
📧 Spear phishing z AI — scenariusz realny
AI przeszukuje LinkedIn, firmową stronę i media społecznościowe. Generuje maila który zna: imię asystenta, ostatni projekt, nazwę klienta, styl pisania przełożonego. Pracownik dostaje "maila od szefa" z linkiem do dokumentu. Link prowadzi do strony phishingowej która kradnie credentials do Microsoft 365.
✅ Jak się chronić
Hasło weryfikacyjne w firmie — ustal ze swoim zespołem słowo-klucz do weryfikacji telefonicznej przy dużych decyzjach. Oddzielny kanał weryfikacji — przelew zlecony mailem? Zadzwoń na znany numer żeby potwierdzić. Nie klikaj "zadzwoń" z maila. Procedura "zatrzymaj i zweryfikuj" — każda prośba o przelew lub dane logowania wymaga dodatkowego potwierdzenia innym kanałem.
Nowa zasada w dobie AI: Pilność + prośba o pieniądze lub dane = automatyczna weryfikacja innym kanałem. Bez wyjątków. Im bardziej pilne — tym bardziej podejrzane.
Checklista menedżera — zrób to w tym tygodniu
Trzy priorytety: teraz, w tym tygodniu, w tym miesiącu.
Sprawdź swój służbowy email na haveibeenpwned.com
Zajmuje 30 sekund. Wiesz czy Twoje dane są już w obiegu.
TERAZ
Jeśli jesteś adminem domeny — autoryzuj domenę na HIBP i włącz monitoring
Monitorujesz wszystkich pracowników naraz. Darmowe. 5 minut.
TERAZ
Zmień hasła które używasz w wielu miejscach na unikalne
Credential stuffing jest w pełni zautomatyzowany. Jedno hasło wszędzie = jeden wyciek kompromituje wszystko.
TEN TYDZIEŃ
Zainstaluj menedżer haseł — Bitwarden (darmowy) lub 1Password (płatny)
Jeden master password. Reszta generowana i zapamiętywana automatycznie.
TEN TYDZIEŃ
Włącz 2FA przez aplikację (nie SMS) na: Google/Microsoft, bank, CRM
Google Authenticator lub Authy. Eliminuje 99% ataków na skradzione hasło.
TEN TYDZIEŃ
Wprowadź w zespole procedurę weryfikacji przy prośbach o przelew lub dane logowania
Deepfake głosu i spear phishing są nieodróżnialne bez dodatkowej weryfikacji.
TEN TYDZIEŃ
Ustaw obowiązek 2FA dla wszystkich kont Google Workspace / Microsoft 365 w firmie
Jedna decyzja admina, polityka dla całej organizacji. Najwyższy ROI z wszystkich działań security.
TEN MIESIĄC
Zrób krótkie szkolenie phishingowe z zespołem — pokaż przykład deepfake i spear phishingu
Świadomość to jedyna obrona przed atakami socjotechnicznymi. 15 minut na spotkaniu zespołu.
Zasada Pareto bezpieczeństwa: 20% działań eliminuje 80% ryzyka. Te osiem punktów to właśnie te 20% — bez certyfikatów, bez konsultantów, bez budżetu security.