Case Study: Kawa, która kosztowała firmę bazę klientów. Dlaczego darmowe Wi-Fi to pułapka?
Branża: Agencja Marketingowa / Konsulting
Wyzwanie: Przechwycenie danych uwierzytelniających (sniffing) przez niezabezpieczoną sieć Wi-Fi.
Rozwiązanie: Wdrożenie firmowego VPN, polityka "Zero Trust" dla sieci publicznych oraz szkolenie z bezpiecznej pracy zdalnej.
Sytuacja wyjściowa: Praca w biegu
Nasz klient, dynamiczna agencja marketingowa, zatrudniał zespół pracujący w modelu hybrydowym. Pracownicy często podróżowali na spotkania z klientami, pracując z pociągów, lotnisk i kawiarni. Firma korzystała z nowoczesnych narzędzi chmurowych (CRM, dyski współdzielone), co ułatwiało pracę z każdego miejsca na świecie. Niestety, wygoda uśpiła czujność.
Problem: "Darmowe Wi-Fi Lotnisko"
Dyrektor sprzedaży, czekając na opóźniony lot na ważne targi branżowe, postanowił nadrobić zaległości. Usiadł w lotniskowej kawiarni i połączył się z otwartą siecią o nazwie "Free_Airport_WiFi". Sieć nie wymagała hasła, co uznał za wygodne.
Zalogował się do firmowego systemu CRM, aby pobrać najnowszą listę kontaktów do kluczowych klientów, a następnie sprawdził pocztę. Nie wiedział jednak, że sieć, z którą się połączył, nie należała do lotniska. Był to tzw. "Evil Twin" (Zły Bliźniak) – fałszywy punkt dostępowy (hotspot) stworzony przez hakera siedzącego kilka stolików dalej.
Atakujący, wykorzystując technikę sniffingu (podsłuchiwania ruchu sieciowego), przechwycił cały nieszyfrowany ruch wychodzący z laptopa dyrektora. Choć samo logowanie do CRM było szyfrowane, dyrektor użył tego samego hasła do starszego, niezabezpieczonego systemu raportowania, z którym połączył się chwilę później. Haker przechwycił to hasło.
Dwa dni później, w środku nocy, ktoś zalogował się do firmowego CRM z zagranicznego adresu IP i wyeksportował całą bazę klientów agencji.
Nasza diagnoza: Co poszło nie tak?
Po zgłoszeniu incydentu przeprowadziliśmy szybką analizę logów systemowych i wywiad z pracownikami. Zidentyfikowaliśmy trzy główne problemy:
- Brak szyfrowania (VPN): Pracownicy łączyli się z publicznymi sieciami bez użycia wirtualnej sieci prywatnej (VPN), która stworzyłaby bezpieczny, szyfrowany "tunel" dla ich danych.
- Recykling haseł: Dyrektor używał tego samego hasła do wielu systemów – zarówno tych nowoczesnych i bezpiecznych, jak i starszych, podatnych na ataki.
- Brak świadomości zagrożeń mobilnych: Zespół uważał, że skoro używa "chmury", to jest bezpieczny, nie rozumiejąc, że samo połączenie z internetem może być punktem zapalnym.
Wdrożone rozwiązanie: Bezpieczne biuro w każdym miejscu
Zrozumieliśmy, że nie możemy zabronić pracownikom pracy z kawiarni czy lotnisk – to zabiłoby ich produktywność. Musieliśmy sprawić, by ta praca była bezpieczna z definicji.
- Krok 1: Obowiązkowy VPN. Wdrożyliśmy firmowego klienta VPN na wszystkich urządzeniach służbowych (laptopach i telefonach). Skonfigurowaliśmy go tak, aby uruchamiał się automatycznie przy każdej próbie połączenia z niezaufaną siecią Wi-Fi.
- Krok 2: Menedżer haseł i MFA. Wprowadziliśmy korporacyjnego menedżera haseł, który wymusił stosowanie unikalnych, skomplikowanych haseł do każdego systemu. Dodatkowo, dostęp do CRM i poczty został zabezpieczony uwierzytelnianiem wieloskładnikowym (MFA). Nawet jeśli haker przechwyciłby hasło, nie zalogowałby się bez potwierdzenia na telefonie pracownika.
- Krok 3: Szkolenie "Road Warrior". Przeprowadziliśmy dedykowane szkolenie dla osób często podróżujących. Pokazaliśmy na żywo, jak łatwo można stworzyć fałszywą sieć Wi-Fi i "podsłuchać" czyjeś dane. Ustaliliśmy też żelazną zasadę: jeśli musisz pracować na publicznym Wi-Fi, używaj VPN. Jeśli nie masz VPN, zrób hotspot z własnego telefonu.
Rezultat: Spokój w podróży
Wdrożenie VPN i menedżera haseł początkowo spotkało się z lekkim oporem zespołu ("kolejne narzędzie do klikania"), ale po szkoleniu uświadamiającym, pracownicy zrozumieli powagę sytuacji.
Obecnie agencja pracuje w pełni bezpiecznie, niezależnie od tego, czy pracownik loguje się z biura w Warszawie, czy z kawiarni w Berlinie. Incydent z wyciekiem bazy danych był bolesną lekcją, ale dzięki szybkiej reakcji i wdrożeniu odpowiednich procedur, firma odzyskała kontrolę nad swoimi danymi i uniknęła utraty reputacji w oczach klientów.
Wniosek: Darmowe Wi-Fi to często najdroższa usługa, z jakiej możesz skorzystać. W świecie pracy zdalnej, bezpieczeństwo Twojej firmy kończy się tam, gdzie zaczyna się niezabezpieczona sieć w kawiarni.
