Co się wydarzyło?
W nocy z 12 stycznia 2025 roku EuroCert wykrył atak ransomware, czyli złośliwe oprogramowanie zainfekowało jego infrastrukturę, zaszyfrowało istotne pliki i najpewniej umożliwiło wykradzenie danych osobowych klientów, kontrahentów i pracowników.
Zakres wycieku danych:
- Imię i nazwisko, PESEL, data urodzenia
- Seria i numer dowodu osobistego, podobizny klienta (zdjęcia)
- Adresy e-mail, numery telefonów, loginy i hasła
Czy certyfikaty kwalifikowane zostały naruszone?
EuroCert potwierdził, że:
- certyfikaty kwalifikowane zarówno te na kartach/toknach fizycznych, jak i w chmurze nie zostały skradzione ani naruszone,
- nie ma potrzeby ich unieważniania,
- użytkownicy chmurowego ECSigner muszą zresetować hasła oraz ponownie zalogować się z użyciem dwuskładnikowej autoryzacji
Reakcja EuroCert
Natychmiast po wykryciu incydentu:
- zgłoszono sprawę policji i CERT Polska,
- poinformowano Prezesa Urzędu Ochrony Danych Osobowych (PUODO),
- opublikowano oficjalne oświadczenie, a także rozpoczęto działania przywracające działanie systemów i wzmacniające bezpieczeństwo
Przyczyny ataku – co może pomóc zrozumieć jego tło
Eksperci wskazują kilka prawdopodobnych scenariuszy:
- phishing – złośliwe e‑maile z linkami lub załącznikami,
- niezałatane luki w oprogramowaniu,
- słabe hasła lub brak dwuskładnikowej autentykacji,
- celowy atak na dostawcę usług zaufania – bo przejęcie danych klientów takich firm może być bardzo opłacalne dla cyberprzestępców
Konsekwencje i dalsze działania
EuroCert może zostać objęty kontrolą regulatorów, m.in. na podstawie wymogów rozporządzenia eIDAS, konieczne będzie sprawdzenie procedur bezpieczeństwa, ochrony kluczy kryptograficznych i infrastruktury IT
Dla poszkodowanych rekomendowane są kroki:
- zmiana haseł,
- rezerwacja PESELa (np. w aplikacji mObywatel),
- weryfikowanie podejrzanych kontaktów (telefon, e‑mail)
Podsumowanie ataku na Eurocert:
12 stycznia 2025 EuroCert padł ofiarą ataku ransomware. Włamywacze zaszyfrowali część plików i wykradli dane osobowe klientów i pracowników. Certyfikaty kwalifikowane nie zostały naruszone. Firma zgłosiła incydent odpowiednim instytucjom i resetuje zabezpieczenia. Eksperci wskazują na phishing, luki w systemach i słabe hasła jako możliwe źródła ataku.
Rosnąca liczba cyberataków – czy ktoś jest naprawdę bezpieczny?
Statystyki publikowane przez CERT Polska pokazują, że liczba incydentów bezpieczeństwa w sektorze publicznym i prywatnym nieustannie rośnie. Ataki wycelowane są już nie tylko w instytucje finansowe czy administrację, lecz coraz częściej obejmują również firmy świadczące usługi z zakresu bezpieczeństwa cyfrowego. Złamanie zabezpieczeń Eurocertu powinno być sygnałem ostrzegawczym.
Motywacje cyberprzestępców
Najczęstsze cele takich działań to:
- uzyskanie danych osobowych lub informacji finansowych klientów,
- podmiana lub kradzież certyfikatów,
- wyłudzenia poprzez fałszywą korespondencję elektroniczną,
- szantaż (ransomware),
- kompromitacja wizerunku firmy, co często prowadzi do utraty zaufania.
Odpowiedzialność za atak hakerski w przypadku firmy o profilu Eurocertu niesie ogromne konsekwencje. Naruszenie integralności podpisów elektronicznych czy zaufania do systemów certyfikacji to nie lada zagrożenie dla tysięcy przedsiębiorstw i instytucji, które na co dzień z tego korzystają.
Jak wygląda atak na wystawcę certyfikatów?
Włamanie do infrastruktury operatora certyfikatów elektronicznych to zadanie raczej nie dla przypadkowego hakera. Potrzebna jest nie tylko wiedza o systemach kryptograficznych i dostępie do specjalistycznych narzędzi, ale również cierpliwość oraz wyrafinowana strategia.
Przyjrzyjmy się, jak może wyglądać taki atak krok po kroku:
| Etap | Opis działania |
|---|---|
| Rekonesans | Pozyskiwanie informacji o infrastrukturze technicznej i personelu. |
| Penetracja | Włamywanie się przez luki w oprogramowaniu lub słabe punkty infrastruktury. |
| Utrzymanie dostępu | Ustanowienie „tylnych drzwi”, które pozwalają na powrót do systemu. |
| Zbieranie danych | Przejęcie kluczowych informacji, plików i dostępów. |
| Sabotaż lub wyciek | Publikacja, sprzedaż lub użycie zdobytych danych w nielegalnych celach. |
Każdy z tych etapów może trwać od kilku godzin do nawet wielu miesięcy. W toku ataku cyberprzestępcy dostosowują narzędzia i techniki, a całość pozostaje często niezauważona aż do momentu, gdy pojawią się symptomy naruszenia.
Skutki – kosztowny błąd czy czerwona lampka dla wszystkich?
Po ataku, nawet jeśli nie doszło do bezpośredniego wycieku najwrażliwszych danych, konsekwencje są dotkliwe. W sektorze certyfikacji cyfrowej zatracenie zaufania prowadzi do utraty klientów, wstrzymania współpracy z partnerami i restrykcyjnych kontroli ze strony instytucji nadzorczych.
Lista potencjalnych skutków:
- przestoje w świadczeniu usług,
- obowiązek informowania klientów i partnerów,
- kary finansowe zgodnie z RODO i przepisami sektorowymi,
- wzmożone kontrole z Urzędu Komisji Nadzoru Finansowego,
- trudne do odrobienia straty wizerunkowe.
Zaledwie jedno naruszenie w sektorze zaufanych usług elektronicznych ma potencjał, by skompromitować całą gałąź nowoczesnej gospodarki. Erozja zaufania do narzędzi typu e-podpis czy kwalifikowane usługi zaufania uderza szeroko – od zwykłego obywatela, po największe firmy.
Jak firmy mogą się bronić?
Ochrona przed podobnymi incydentami wymaga ciągłego inwestowania w infrastrukturę oraz w ludzi. Nawet najlepiej zaprojektowane proceduralnie systemy zabezpieczeń mogą zawieść, jeśli zawiedzie czynnik ludzki: błąd pracownika, phishing, czy słaba polityka haseł.
Kluczowe filary ochrony:
- Stałe testowanie i audyty – PenTesty, audyty zgodności i regularne badania bezpieczeństwa.
- Szkolenia pracowników – Nieustanne podnoszenie świadomości zagrożeń.
- Szyfrowanie oraz separacja danych – Ograniczenie dostępu tylko do niezbędnych osób.
- Plany awaryjne – Przemyślane procedury reagowania na incydent.
- Współpraca z instytucjami zewnętrznymi – CERT, krajowe i międzynarodowe organizacje ds. cyberbezpieczeństwa.
Dzięki wdrożeniu takich mechanizmów można znacznie ograniczyć ryzyko skutecznego ataku lub przynajmniej skrócić czas reakcji i zminimalizować straty.
Znaczenie komunikacji po incydencie
Jednym z podstawowych, a często niedocenianych aspektów reagowania na atak jest transparentność komunikacji. Eurocert czy inny wystawca certyfikatów musi błyskawicznie poinformować swoich klientów o zaistniałej sytuacji, zarekomendować konkretne działania (zmiana haseł, weryfikacja własnych systemów, wycofanie kompromitowanych certyfikatów) oraz współpracować z mediami i organami państwowymi.
Dobrze przeprowadzona kampania informacyjna pozwala ograniczyć panikę i negatywny wpływ na wizerunek. Niezwykle istotne jest również udostępnienie rzetelnych informacji technicznych i wprowadzenie przejrzystych procedur kryzysowych.
Rola odpowiedzialnej komunikacji:
- Budowanie poczucia bezpieczeństwa mimo incydentu.
- Zapobieganie dezinformacji i panice wśród użytkowników.
- Wzmacnianie relacji z partnerami i organami nadzoru.
- Zwiększanie gotowości do przyszłych zagrożeń.
Zmiany w prawie i rosnące wymogi
Sektor usług zaufania podlega intensywnym regulacjom. Po głośnych atakach, regulatorzy coraz częściej wdrażają nowe przepisy obligujące dostawców do podnoszenia standardów bezpieczeństwa. Przykładem może być rozporządzenie eIDAS, które określa szczegółowe wymagania bezpieczeństwa, czy nowelizacje polskiego prawa związane z cyberprzestrzenią.
Oczekiwania wobec operatorów certyfikatów
Firmy tego typu muszą:
- Utrzymywać wyśrubowane normy techniczne i proceduralne.
- Dokumentować każdy element infrastruktury bezpieczeństwa.
- Wdrażać polityki zarządzania incydentami.
- Prowadzić regularne oceny ryzyka, także w kontekście zewnętrznych dostawców usług.
Wprowadzanie tych norm pod ścisłą kontrolą organów państwowych jest coraz bardziej rygorystyczne, a nieprzestrzeganie wiąże się z wysokimi karami.
Zaufanie jako najcenniejszy kapitał
W świecie rosnącej cyfryzacji, infrastruktura zaufania publicznego, do której należy Eurocert, staje się filarem bezpieczeństwa elektronicznego obrotu – od podpisu pod umową, po składanie ofert w przetargach czy zgłaszanie dokumentów do urzędu.
Zaufanie buduje się mozolnie, lecz traci w sekundę. Incydent taki, jak atak hakerski, pokazuje, że o wartości firmy decyduje nie tylko technologia czy liczba przyznanych certyfikatów, ale także szybkość reakcji, transparentność oraz realna troska o bezpieczeństwo użytkowników.
