Archiwa: Ransomware - Strona 98 z 107 - Security Bez Tabu

Tag: Ransomware

„We got hacked”: obraźliwe e-maile rozesłane z kont UPenn po incydencie bezpieczeństwa

Wprowadzenie do problemu / definicja incydentu

31 października 2025 r. tysiące członków społeczności University of Pennsylvania (UPenn) – studenci, absolwenci, kadra i rodzice – otrzymało masowe, agresywne wiadomości e-mail o temacie „We got hacked (Action Required)”. E-maile rozesłano z adresów powiązanych m.in. z Graduate School of Education (GSE). W treści padały obraźliwe sformułowania oraz groźby ujawnienia danych, a nadawca krytykował politykę uczelni. UPenn potwierdził, że były to „fałszywe” (fraudulent) wiadomości i prowadzi dochodzenie w sprawie incydentu.

W skrócie

  • Co się stało? Rozesłanie masowych, obraźliwych e-maili z kont/ systemów powiązanych z UPenn (GSE, część innych jednostek).
  • Kiedy? Piątek, 31 października 2025 (czasu lokalnego w Filadelfii).
  • Jakie ryzyko? Nadawcy twierdzili, że wykradli dane i mogą je upublicznić; uczelnia nie potwierdziła wycieku treści danych.
  • Status: Dochodzenie trwa; UPenn instruuje odbiorców, by ignorowali/ kasowali wiadomości.

Kontekst / historia / powiązania

O sprawie jako pierwsi szeroko informowali dziennikarze branżowi i lokalne media, w tym BleepingComputer, The Daily Pennsylvanian (gazeta studencka), stacja WPVI (ABC) oraz Recorded Future News („The Record”). W komunikatach UPenn wiadomości nazwano „skrajnie obraźliwymi” i sprzecznymi z misją uczelni; uczelnia przepraszała odbiorców i zapowiedziała działania naprawcze.

Analiza techniczna / szczegóły incydentu

Na tym etapie brak publicznych, zweryfikowanych detali o wektorze ataku. Z dotychczasowych informacji można rozważyć kilka najbardziej prawdopodobnych scenariuszy:

  1. Kompromitacja kont pracowniczych/serwisowych (Account Takeover) – przejęcie co najmniej jednego konta w domenie UPenn (np. przez credential stuffing lub phishing), a następnie rozesłanie mailingów do rozległych list dystrybucyjnych. Taki wniosek wynika z faktu, że wiadomości pochodziły z prawdziwych adresów w domenie uczelni/GSE. (Wniosek na podstawie relacji mediów i wypowiedzi rzecznika, że był to „fraudulent email” wysłany z adresu GSE).
  2. Nadużycie systemu powiadomień / list mailingowych (Email Gateway/Listserv Abuse) – możliwa podatność konfiguracyjna w narzędziu do masowej komunikacji (np. brak DMARC p=reject, nieprawidłowe SPF/DKIM, błędne uprawnienia do wysyłki do list). Media lokalne wskazują, że uczelnia instruowała do ignorowania wiadomości, co sugeruje incydent w kanale powiadomień, a nie np. masowy spear-phishing z zewnętrznej domeny.
  3. Kompromitacja aplikacji wspierającej komunikację (np. CRM/alumni platform) – mniej prawdopodobna, ale zgodna z tym, że odbiorcami byli także absolwenci i osoby spoza bieżącej społeczności. (Hipoteza – brak potwierdzenia na ten moment).

Co wiemy o danych? Nadawcy twierdzili, że naruszono prywatność studentów (odwołania do FERPA) i grozili publikacją. UPenn nie potwierdził kradzieży danych; w oficjalnych komunikatach mowa o „fałszywych” e-mailach i trwającym dochodzeniu. Do czasu publikacji brak dowodów na wyciek.

Praktyczne konsekwencje / ryzyko

  • Ryzyko wtórnych ataków: na fali rozgłosu mogą pojawić się kolejne fale phishingu („potwierdź konto”, „zresetuj hasło po incydencie”) oraz podszycia pod IT/Helpdesk.
  • Ryzyko reputacyjne: rażący język w rozsyłanych wiadomościach uderza w wizerunek uczelni, w szczególności w relacjach z absolwentami/darczyńcami. (Wskazują na to relacje The Record i lokalnych mediów).
  • Ryzyko prawne/compliance: jeśli doszłoby do wycieku danych edukacyjnych, w grę wchodziłaby zgodność z FERPA i zobowiązania notyfikacyjne. Na razie brak potwierdzenia naruszenia danych.

Rekomendacje operacyjne / co zrobić teraz

Dla zespołów IT/SOC UPenn i analogicznych instytucji edukacyjnych:

  1. Natychmiastowe wymuszenie resetów haseł i unieważnienie sesji dla kont użytych do wysyłki; przegląd logów (Mail Trace, Message Trace, Audit), korelacja z IdP (MFA, nieudane logowania, nietypowe IP/ASN).
  2. Twarde egzekwowanie DMARC (p=reject) + SPF/DKIM dla wszystkich domen/ subdomen komunikacyjnych; segmentacja list mailingowych i ograniczenie nadawców.
  3. Przegląd uprawnień w systemach mailingowych/CRM (alumni, marketing automation): model najmniejszych uprawnień, tokeny „send-as”/„send-on-behalf” tylko dla dedykowanych kont serwisowych.
  4. Ochrona treści i anomalii: reguły anty-abuse (np. Cisco/Proofpoint/Microsoft EOP), DLP/transport rules blokujące obraźliwe treści, nagłe wolumeny i wysyłkę do dużych list poza godzinami pracy.
  5. Playbook PR + notyfikacja: spójny komunikat (FAQ, status page), szablony odpowiedzi do mediów, guidance dla odbiorców „nie klikaj/nie odpowiadaj, zgłoś do IT/PSIRT”. (UPenn już instruował, by ignorować/usuwać).
  6. Threat hunting pod kątem dalszych pivotów: OWA/Graph API, reguły skrzynek (inbox rules), przekierowania, nowe klucze aplikacyjne, nietypowe delegacje.
  7. Ćwiczenie „tabletop” i symulacje dla scenariuszy ATO/Business Email Compromise w środowisku uczelni.

Dla odbiorców (studenci/absolwenci/kadra):

  • Ignoruj i kasuj wiadomości o podobnej treści; nie klikaj linków/załączników; w razie wątpliwości – zgłoś do wsparcia i/lub policji kampusowej. (Takie instrukcje wystosował UPenn).
  • Zmień hasła i włącz MFA w kontach związanych z uczelnią (i ważnych kontach osobistych), zwłaszcza jeśli to samo hasło było używane gdzie indziej.
  • Zachowaj czujność na wtórne wiadomości „po incydencie” (reset haseł, aktualizacje).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

To zdarzenie przypomina przejęcie kanału komunikacji (account/notification system abuse), a nie klasyczny ransomware czy ukierunkowany wyciek. Kluczowy wyróżnik: obraźliwy, politycznie nacechowany przekaz oraz groźby ujawnienia danych bez dowodu publikacji – schemat często spotykany w atakach motywowanych agendą, gdzie celem jest chaos i presja reputacyjna, a niekoniecznie szybki zysk finansowy. (Wnioski oparte na porównaniu z relacjami BleepingComputer, The Record i lokalnych mediów).

Podsumowanie / kluczowe wnioski

  • UPenn mierzy się z incydentem polegającym na nadużyciu kanału e-mail i rozsyłaniu obraźliwych wiadomości; trwa dochodzenie i brak potwierdzenia wycieku danych.
  • Priorytetem jest twarde domknięcie higieny e-mail (DMARC/SPF/DKIM), MFA, przegląd uprawnień i logów oraz spójna komunikacja kryzysowa do interesariuszy.
  • Odbiorcy powinni ignorować i usuwać podobne wiadomości oraz zabezpieczyć swoje konta.

Źródła / bibliografia

  1. BleepingComputer: „‘We got hacked’ emails threaten to leak University of Pennsylvania data”, 31.10.2025. (BleepingComputer)
  2. The Daily Pennsylvanian: „Penn investigating mass emails…”, 31.10.2025. (The Daily Pennsylvanian)
  3. WPVI / 6abc: „Vulgar email sent to members of Penn community…”, 31.10.2025. (6abc Philadelphia)
  4. Recorded Future News (The Record): „University of Pennsylvania investigating offensive email…”, 31.10.2025. (The Record from Recorded Future)
  5. The Philadelphia Inquirer: „Penn is investigating a ‘fraudulent’ email breach”, 31.10.2025. (Inquirer.com)

Ukraiński obywatel wydany z Irlandii do USA za udział w atakach ransomware Conti

Wprowadzenie do problemu / definicja luki

Departament Sprawiedliwości USA poinformował o ekstradycji z Irlandii 43-letniego Ołeksija Ołeksijowycza Łytwynenki, oskarżonego o współudział w kampaniach ransomware grupy Conti. Oskarżony usłyszał zarzuty zmowy w sprawie oszustwa komputerowego oraz zmowy w sprawie oszustwa telekomunikacyjnego, a maksymalne zagrożenie karą wynosi odpowiednio 5 lat i 20 lat pozbawienia wolności. Według akt sprawy miał m.in. kontrolować skradzione dane ofiar i współtworzyć/rozsyłać noty okupu w ramach podwójnego wymuszenia.

W skrócie

  • Kto: Ołeksij O. Łytwynenko (43 l.).
  • Skąd / dokąd: ekstradycja z Irlandii (Cork) do USA, Sąd Okręgowy Middle District of Tennessee – pierwsze stawiennictwo w czwartek, 30 października 2025 r.
  • Zarzuty: zmowa dot. wdrażania Conti, podwójne wymuszenia, publikacja danych; szkody w Tennessee > 500 tys. USD (kryptowaluty) wobec 2 ofiar + ujawnienie danych trzeciej.
  • Skala Conti: > 1 000 ofiar globalnie; co najmniej 150 mln USD okupów (stan na I 2022).
  • Status w Irlandii: tymczasowa ochrona po 2022 r.; areszt w lipcu 2023 r.; apelacja ekstradycyjna oddalona przez Court of Appeal w październiku 2025 r.

Kontekst / historia / powiązania

Łytwynenko miał działać w latach 2020–czerwiec 2022, tj. w szczycie aktywności Conti. Po rozpadzie „marki” Conti członkowie rozproszyli się do innych ekosystemów ransomware (m.in. BlackCat/ALPHV, Black Basta, Royal, Karakurt, Hive/AvosLocker itp.). Organy ścigania przypisują Conti największą liczbę ataków na infrastrukturę krytyczną w 2021 r. Ekstradycja domyka wieloetapowe postępowanie: areszt (VII 2023), decyzja High Court o zatrzymaniu do ekstradycji (II 2025), a następnie prawomocne oddalenie apelacji (X 2025).

Analiza techniczna / szczegóły luki

Modus operandi Conti (TTPs):

  • Wejście do sieci: spear-phishing / kradzież poświadczeń, nadużycie RDP/VPN, często po wcześniejszym rozpoznaniu przez ekosystem TrickBot/BazarBackdoor.
  • Ruch boczny i eskalacja uprawnień: narzędzia „living-off-the-land” (PSExec, WMI, PowerShell), LSASS dump, Mimikatz.
  • Szyfrowanie i ekfiltracja: szyfrowanie szybkie/rozproszone, wcześniejsza kradzież danych i podwójne wymuszenie (szyfr + groźba publikacji).
  • Negocjacje i PR: noty okupu z kanałami komunikacji (chat/Tor), zarządzanie „leak site”.

Te techniki odpowiadają opisowi prokuratury, według której oskarżony kontrolował skradzione paczki danych wielu ofiar oraz brał udział w wysyłce not okupu. Poza Conti miał kontynuować cyberprzestępczość aż do dni przed aresztowaniem w 2023 r.

Praktyczne konsekwencje / ryzyko

  • Ryzyko ciągłości działania: nawet po „zamknięciu” marki Conti, operatorzy i infrastruktura przeszli pod inne szyldy; ofiary wciąż mogą być nękane publikacjami danych i wtórnymi szantażami.
  • Ryzyko prawne i regulacyjne: publikacja danych (double extortion) uruchamia obowiązki notyfikacyjne i sankcje administracyjne w wielu jurysdykcjach.
  • Ryzyko sektorowe: wg FBI Conti uderzał najczęściej w infrastrukturę krytyczną (2021), co zwiększa priorytet dla SOC/OT.

Rekomendacje operacyjne / co zrobić teraz

  1. Edycja reguł detekcyjnych na TTP Conti/TrickBot/Bazar:
    • monitoruj LSASS access, zdalne wykonanie (WMI/PSExec), nietypowe zip/7z/rar z serwerów plików;
    • IDS/EDR: reguły na narzędzia exfil (rclone, mega, cloud storage CLI) i Tor/Onion.
  2. Segmentacja i EDR wszędzie: RDP/VPN za MFA, mikrosegmentacja serwerów plików i kontrolerów domeny.
  3. Back-upy offline i test odtwarzania: przynajmniej kwartalne ćwiczenia DR na krytycznych systemach.
  4. Runbook negocjacyjny i prawny: z góry ustalony zespół (prawnik, PR, ubezpieczyciel, IR).
  5. Higiena AD: LAPS, stałe rotacje haseł serwisowych, blokada nieużywanych kont, audyt GPO.
  6. Threat intel / watchlist: obserwuj repacki Conti (Royal, Black Basta, Karakurt itd.), aktualizuj IOC/IOA.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W ostatnich latach USA coraz częściej doprowadza do ekstradycji podejrzanych o cyberwymuszenia na bazie współpracy międzynarodowej i aktów oskarżenia w stanach szczególnie dotkniętych atakami. W sprawie Łytwynenki właściwość ustalono w Middle District of Tennessee, gdzie dwie ofiary miały zapłacić >500 tys. USD, a dane trzeciej upubliczniono – to analogiczny wzorzec do innych spraw kierowanych przez CCIPS i FBI (np. równoległe akty przeciw członkom TrickBot/Conti w 2023 r.).

Podsumowanie / kluczowe wnioski

  • Ekstradycja i pierwsze stawiennictwo w USA potwierdzają determinację organów ścigania w ściganiu operatorów Conti – także tych pełniących „zaplecze” (kontrola danych, negocjacje).
  • Dla obrony kluczowe jest monitorowanie technik, nie „marek” ransomware – te się zmieniają, TTP zwykle zostają.
  • Organizacje wciąż mogą mieć ekspozycję na wtórne publikacje danych z okresu działalności Conti (2020–2022); weryfikacja wycieków i polityki retencji ma znaczenie.

Źródła / bibliografia

  • U.S. Department of Justice: komunikat prasowy z 30 października 2025 r. (Press Release No. 25-1049). (justice.gov)
  • SecurityWeek: „Ukrainian Man Extradited From Ireland to US Over Conti Ransomware Charges”, 31 października 2025 r. (SecurityWeek)
  • BleepingComputer: „Ukrainian extradited from Ireland on Conti ransomware charges”, 31 października 2025 r. (BleepingComputer)
  • The Record (Recorded Future News): „Alleged Conti ransomware gang affiliate appears in Tennessee court…”, 31 października 2025 r. (The Record from Recorded Future)
  • Irish Legal News / Irish Court of Appeal: oddalenie apelacji ekstradycyjnej (październik 2025 r.). (Irish Legal News)

Uwaga: wątek jest rozwojowy; toczące się postępowanie oznacza domniemanie niewinności do czasu prawomocnego wyroku. Daty i liczby w tekście pochodzą z materiałów DOJ i czołowych serwisów branżowych z 30–31 października 2025 r.

LPI Security Essentials (Moduł 021.1) – Triada CIA W Praktyce

Zanim zaczniesz

Ten artykuł jest częścią serii „Bezpłatny Kurs LPI Security Essentials, w ramach której znajdziesz wszystko, co potrzeba, aby zdać egzamin LPI Security Essentials 020-100 już za pierwszym razem.

Każdy moduł zawiera praktyczne przykłady, wyjaśnienia i materiały pomocnicze – wszystko po polsku, zrozumiale i konkretnie.

Czytaj dalej „LPI Security Essentials (Moduł 021.1) – Triada CIA W Praktyce”

FAQ: ISA/IEC 62443 W Praktyce

Czym jest ISA/IEC 62443 i dlaczego jest ważna?

ISA/IEC 62443 to rodzina międzynarodowych standardów cyberbezpieczeństwa dedykowanych systemom automatyki i sterowania przemysłowego (Industrial Automation and Control Systems, IACS) oraz infrastrukturze OT (Operational Technology). Powstała z inicjatywy ISA (International Society of Automation) jako seria ISA-99, a następnie została przyjęta przez IEC pod numerem 62443. Standardy te zostały opracowane konsensualnie przez ekspertów z branży i są jedynym tak kompleksowym, uzgodnionym globalnie zestawem wymagań dla bezpieczeństwa systemów przemysłowych.

Czytaj dalej „FAQ: ISA/IEC 62443 W Praktyce”

Kanada: hacktywiści naruszyli systemy wody, energii i rolnictwa. Co wiemy i jak reagować

Wprowadzenie do problemu / definicja luki

Kanadyjskie Canadian Centre for Cyber Security (Cyber Centre) ostrzegło 29 października 2025 r., że tzw. hacktywiści wielokrotnie uzyskali dostęp do internetowo wystawionych systemów sterowania przemysłowego (ICS/OT) w kraju. W trzech udokumentowanych przypadkach doszło do manipulacji parametrami procesowymi w: zakładzie wodociągowym (ciśnienie wody), firmie naftowo-gazowej (Automated Tank Gauge – ATG) oraz w silosie do suszenia zboża (temperatura i wilgotność). Ataki miały charakter okazjonalny i oportunistyczny, ale realnie groziły niebezpiecznymi warunkami pracy instalacji.

W skrócie

  • Co się stało: hacktywiści wykorzystali bezpośrednio wystawione do Internetu elementy ICS/HMI/SCADA, uzyskując możliwość zmiany nastaw i wywołania alarmów/zakłóceń.
  • Skala ryzyka: degradacja usług komunalnych, błędne alarmy w sektorze O&G, potencjalnie niebezpieczne warunki w rolnictwie – bez katastrofalnych skutków, ale z niską barierą wejścia dla napastników.
  • Trend: rośnie liczba „mało wyrafinowanych” ataków na OT/ICS, co wcześniej sygnalizowała też CISA.
  • Dlaczego teraz: ekspozycja ICS do sieci publicznej + słabe uwierzytelnianie = szybkie „trofea” dla grup szukających rozgłosu (przykład: wpadka prorosyjnej grupy TwoNet na przynęcie-honeypocie).

Kontekst / historia / powiązania

Ostrzeżenie Cyber Centre wpisuje się w globalny trend: od 2024 r. rośnie aktywność grup hacktivist uderzających w infrastrukturę krytyczną – często prosto i głośno, dla efektu medialnego. CISA już w maju 2025 r. alarmowała o „niewyrafinowanych aktorach” celujących w ICS/SCADA w sektorach O&G, wody i żywności.
Równolegle raporty Dragos wskazywały, że część „hacktywistów” zaczęła łączyć działania z ransomware, co zwiększa presję na operatorów OT (Handala, Kill Security, CyberVolk – przykłady z 2024 r.).
Na świeżo: w październiku 2025 r. badacze Forescout ujawnili, że prorosyjna grupa TwoNet chwaliła się „zhakowaniem” wodociągów – w rzeczywistości był to sprytnie przygotowany honeypot OT/ICS. Incydent obnażył techniki oparte na słabych hasłach do HMI i manipulacji setpointami/zdarzeniami.

Analiza techniczna / szczegóły luki

Z ostrzeżenia AL25-016 wynika, że wektor nr 1 to po prostu ekspozycja urządzeń OT do Internetu (np. PLC, RTU, HMI, SCADA, SIS, BMS, IIoT) – często z domyślnymi/dzielonymi kontami lub bez MFA. Skutki obserwowane w Kanadzie:

  • Woda: manipulacja wartościami ciśnienia → spadek jakości/ciągłości usługi dla społeczności.
  • O&G: manipulacja ATG (Automated Tank Gauge) → fałszywe alarmy.
  • Rolnictwo: zmiany temperatury/wilgotności w silosie suszarniczymwarunki potencjalnie niebezpieczne, gdyby nie szybkie wykrycie.

W praktyce takie ataki często wykorzystują:

  • Zdalne usługi (np. otwarte HTTP/VNC/RDP/VPN bez MFA) do paneli HMI/SCADA.
  • Słabe/lokalne konta (valid accounts) zamiast exploitów 0-day.
  • Prostą manipulację procesem (zmiana setpointów, wyłączanie alarmów/logów), jak pokazał przypadek TwoNet w honeypocie.

Praktyczne konsekwencje / ryzyko

  • Bezpieczeństwo procesowe: nawet krótkotrwała zmiana parametrów (ciśnienie, temp., poziom zbiorników) może prowadzić do stanu niebezpiecznego.
  • Ciągłość działania: fałszywe alarmy ATG = kosztowne przerwy i inspekcje.
  • Reputacja/regulator: incydenty w wodzie/energetyce szybko trafiają do mediów i mogą skutkować sankcjami nadzorczymi.
  • Eskalacja taktyk: część grup hacktywistycznych łączy działania z ransomware, co zwiększa ryzyko długotrwałych zakłóceń i wycieku danych.

Rekomendacje operacyjne / co zrobić teraz

Na bazie zaleceń Cyber Centre (AL25-016) oraz dobrych praktyk OT/ICS:

  1. Inwentaryzacja i „de-exposure” (D+E):
    • Zrób pełną listę wszystkich urządzeń ICS dostępnych z Internetu.
    • Wyłącz bezpośrednią ekspozycję – preferuj VPN z 2FA i listami uprawnień; jeśli musisz zostawić dostęp, wprowadź wzmożone monitorowanie.
  2. Kontrole dostępu: odetnij domyślne konta, wprowadź MFA dla wszystkich ról zdalnych, segmentację sieci (IT/OT) i zasadę najmniejszych uprawnień.
  3. Monitoring i testy:
    • IPS/IDS dla ruchu przemysłowego (np. Modbus, DNP3), ciągły VA/PT i tabeltopy z jasno zdefiniowanymi rolami OT/IT.
  4. Higiena konfiguracji HMI/SCADA: wymuś timeout sesji, alarmy nieusuwalne bez zgody drugiej osoby (four-eyes), rejestrowanie zmian setpointów. (Wnioski także po analizie incydentu TwoNet-honeypot).
  5. Zgodność z wytycznymi: wdrażaj Cyber Security Readiness Goals (CRG) oraz dokumenty Cyber Centre dla ICS/CI jako „minimum operacyjne”.
  6. Zgłaszanie i współpraca: w Kanadzie – My Cyber Portal / contact@cyber.gc.ca i lokalna policja; w USA – śledź alerty CISA i przekazuj wskaźniki/artefakty.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Klasyczne kampanie APT przeciw OT celują w długotrwałą infiltrację i precyzyjne uderzenia (zwykle „ciche”). Tu mamy ekspozycję + szybkie „kliknięcie” w HMI/ATG, często przy użyciu słabych haseł lub domyślnych konfiguracji – niski próg wejścia, wysoki PR. Przykład TwoNet pokazuje, że nawet „głośne” sukcesy bywały na przynęcie, ale techniki (wyłączenie logów/alarmów, manipulacja PLC) są realne i transferowalne do prawdziwych środowisk.

Podsumowanie / kluczowe wnioski

  • Nie zostawiaj HMI/SCADA/PLC w Internecie. To najkrótsza ścieżka do incydentu.
  • Prosta manipulacja nastawami może wystarczyć, by zakłócić usługi krytyczne.
  • Hacktywiści polują na łatwe cele – widoczność i rozgłos są dla nich równie ważne jak szkody.
  • Checklistę Cyber Centre potraktuj jako „baseline” na już; dalej – segmentacja, MFA, monitoring protokołów przemysłowych i ćwiczenia reagowania.

Źródła / bibliografia

  1. Canadian Centre for Cyber Security – AL25-016: Internet-accessible ICS abused by hacktivists (29.10.2025). Najważniejsze źródło faktów nt. kanadyjskich incydentów i zaleceń. (Canadian Centre for Cyber Security)
  2. BleepingComputer – Canada says hacktivists breached water and energy facilities (29.10.2025). Streszczenie i kontekst medialny. (BleepingComputer)
  3. CISA – Unsophisticated cyber actor(s) targeting OT (06.05.2025). Szerszy trend uderzeń w ICS/SCADA. (cisa.gov)
  4. Forescout (Vedere Labs) – Anatomy of a Hacktivist Attack: Russian-Aligned Group Targets OT/ICS (09.10.2025) oraz materiały prasowe wtórne (The Record). Przykład TwoNet/honeypot. (Forescout)
  5. Dragos – OT/ICS threats escalate… (25.02.2025). Trend: hacktywiści korzystają z ransomware. (dragos.com)

ISA/IEC 62443 – Kompletny Przewodnik Po Standardzie Cyberbezpieczeństwa OT/ICS

Czym jest standard ISA/IEC 62443 i dlaczego ma znaczenie dla bezpieczeństwa OT/ICS

ISA/IEC 62443 to międzynarodowa seria standardów definiujących wymagania i procesy dla cyberbezpieczeństwa systemów automatyki przemysłowej i sterowania (Industrial Automation and Control Systems, IACS) oraz infrastruktury OT. Standard ten został opracowany przez International Society of Automation (ISA) i przyjęty przez International Electrotechnical Commission (IEC), tworząc wspólne, konsensusowe ramy ochrony dla wszystkich sektorów przemysłu wykorzystujących systemy ICS.

Czytaj dalej „ISA/IEC 62443 – Kompletny Przewodnik Po Standardzie Cyberbezpieczeństwa OT/ICS”

Kompletny Plan Wdrożenia NIS2 – Lista Kontrolna I Dowody Zgodności

Jak ten artykuł pomoże Ci w wdrażaniu NIS2?

Dyrektywa NIS2 (Network and Information Systems 2) nakłada na organizacje z wielu sektorów obowiązek wdrożenia zaawansowanych środków cyberbezpieczeństwa oraz wykazania zgodności z wymaganiami regulacyjnymi. Dla menedżerów, CISO oraz specjalistów IT odpowiedzialnych za bezpieczeństwo oznacza to konieczność opracowania kompleksowego planu działania – od fazy planowania, przez realizację technicznych i organizacyjnych zabezpieczeń, aż po przygotowanie dowodów zgodności na potrzeby audytu.

Czytaj dalej „Kompletny Plan Wdrożenia NIS2 – Lista Kontrolna I Dowody Zgodności”