Czy banki wiedzą, że ich pracownicy sprzedają dostępy hakerów?

# Czy banki wiedzą, że ich pracownicy sprzedają dostępy hakerów? ## Dostęp z wnętrza: gdy pracownik banku становится złotą żyłą Kiedy hakerzy chcą przełamać bezpieczeństwo banku, nie zawsze szukają luk technicznych w systemach. Czasem wystarczy znaleźć pracownika na ostatnim piętrze biura, który ma dostęp do danych klientów i przepaści finansowych organizacji. Przypadki pracowników instytucji finansowych oferujących dostępy do hakerów to nie marginalne zjawisko – to systematyczny problem, który polskie banki konsekwentnie ignorują lub ukrywają. Firmy bezpieczeństwa szacują, że w Polsce rocznie dochodzi do dziesiątek takich incydentów, a rzeczywista liczba jest znacznie wyższa ze względu na to, że większość banków nie ujawnia takich wycieków. Problem zagrażającego od wewnątrz pracownika nie pojawił się wczoraj. Analitycy branży obserwują rosnącą skalę tego zjawiska od co najmniej pięciu lat, ale instytucje finansowe wolą mówić o „izolowanych przypadkach" niż przyznać, że mają problem systemowy. W rzeczywistości hakerskie grupy utrzymują całe sieci rekrutacyjne wśród pracowników banków, płacąc za specjalne dostępy – do systemów CRM, baz danych klientów, a nawet do interfejsów przelewów międzynarodowych. Pracownicy, którzy decydują się na sprzedaż dostępu, mają różne motywacje. Czasem to niedostatek finansowy – pracownik zarabiający 3500 złotych miesięcznie otrzymuje propozycję 50 tysięcy za kilka minut dostępu. Czasem to chęć zemsty na pracodawcy. Czasem to zwykła głupota i niedocenienie ryzyka. W większości przypadków jednak chodzi o pieniądze i łatwość, z którą można je zarobić. ## Anatomia transakcji: jak wygląda sprzedaż dostępu Proces sprzedaży dostępu przez pracownika banku ma często przeanalizowaną strukturę. Osoba zainteresowana – najczęściej rekruter działający na zlecenie hakerskich grup – nawiązuje kontakt za pośrednictwem mediów społecznych, komunikatorów lub darknetu. Komunikacja jest ostrożna, pełna eufemizmów. „Potrzebuję kogoś z banku, kto chciałby zarobić dodatkowe pieniądze" – to typowy początek rozmowy. Jeśli pracownik wykaże zainteresowanie, otrzymuje szczegółowe instrukcje, co konkretnie hakerzy potrzebują: dostęp do określonego systemu, export listy klientów, dane dotyczące transakcji, czy informacje o bezpieczeństwie. Czasem wymiana jest jednorazowa – pracownik otrzymuje dostęp, wysyła screenshoty lub eksportuje dane, dostaje pieniądze i koniec. Ale coraz częściej hakerskie grupy starają się stworzyć długofalową relację, oferując regularne wynagrodzenia w zamian za bieżący dostęp do systemów. To czyni pracownika nie tylko przestępcą jednorazowo, ale współpracownikiem całej operacji. Przykładami takich długoterminowych współprac są przypadki, gdzie pracownicy banków dostarczali dostępy przez miesiące, a hakerzy systematycznie je wykorzystywali do kradzieży ponad miliona złotych. Płatności odbywają się przez kryptowaluty, przelewy z zagranicy na pośrednie konta, lub wręczenie gotówki w bezpośrednich spotkaniach – jeśli rekruter i pracownik są w tym samym mieście. Nieciekawym detailem jest to, że pracownik nie zawsze wie, co konkretnie hakerzy robią z uzyskanym dostępem. Może sądzić, że będą wykorzystywać go do testów bezpieczeństwa lub że nie dojdzie do żadnej faktycznej kradzieży. Ta psychologiczna złudna niewinność pomaga wielu pracownikom usprawiedliwić sobie swoje działania. Zdarzają się też bardziej skomplikowane scenariusze, w których hakerskie grupy wykorzystują pracownika banku jako „mula" – osobę, która transferuje skradzione pieniądze na inne konta, biorąc za to procent z zysku. W tym scenariuszu pracownik staje się nie tylko dostarczycielem dostępu, ale aktywnym uczestnikiem operacji kradzieży. ## Kiedy wewnętrzna kontrola zawodzi: jak banki nie wychwytują takich przypadków Banki utrzymują, że mają zaawansowane systemy monitorowania dostępów. Każdy login jest rejestrowany, każdy eksport danych jest śledzony, każda niezwykła aktywność powinna wyzwolić alarm. W teorii to wszystko się sprawdza. W praktyce – znacznie gorzej. Część tego wiąże się z [hakerskimi usługami dla korporacyjnych przewinień – jak biznes je wykorzystuje i jak śledczy to odkrywają](https://mentor.khai.edu/tag/index.php?tc=1&tag=jak#hakerskie-uslugi-dla-korporacyjnych-przewinien-jak-biznes-je-wykorzystuje-i-jak-sledczy-to-odkrywaja), gdzie pracownicy systemu często wiedzą, jak omijać kontrole. Problem zaczyna się od tego, że większość dużych banków ma tysiące pracowników z dostępem do wrażliwych danych. Analitycy bezpieczeństwa nie są w stanie monitorować każdej akcji każdej osoby w realnym czasie. Systemy alertów są ustawiane na zbyt wysokim progu – aby uniknąć fałszywych alarmów – co sprawia, że rzeczywiście podejrzane aktywności często przechodzą niezauważone. Pracownik, który normalnie eksportuje listy klientów co tydzień w ramach swoich obowiązków, może zrobić to jeden dodatkowy raz, aby zarobić kilkadziesiąt tysięcy złotych, a system tego nie wychwyta. Drugą przeszkodą jest sama kultura banków. Audyty bezpieczeństwa i kontrole dostępów są kosztowne i wymagają czasu. Wiele instytucji finansowych decyduje się na „wystarczające" bezpieczeństwo zamiast optymalnego, rozliczając koszty z potencjalnymi szacowanymi stratami. Innymi słowy – czasem taniej im zapłacić klientom za skradzione pieniądze, niż inwestować w odpowiednie systemy kontroli. Trzeci problem to słabe procesy zatrudniania. Banki czasami zatrudniają ludzi z niezbyt dogłębnymi sprawdzeniami przeszłości, szczególnie na stanowiskach wsparcia czy administracyjnych. Osoba, która miała już problemy z prawem lub wykazywała podejrzane działania, może trafić do pracy właśnie tam, gdzie ma dostęp do systemów. Kiedy jest zdesperowana finansowo lub ma do banku żal, staje się idealnym celem dla rekruterów hakerskich grup. ## Profile zagrożenia: kim są pracownicy, którzy sprzedają dostępy Nie istnieje jednoznaczny profil pracownika, który sprzedaje hakeromi dostęp do banku – jednak można wyróżnić kilka typowych scenariuszy. Większość z nich to osoby w trudnej sytuacji finansowej: młode matki z małymi pensją i wysokimi wydatkami, osoby zadłużone, pracownicy na stanowiskach o niskich zarobkach. Hakerskie grupy świadomie szukają takich osób, analizując ich profile w mediach społecznych i poszukując sygnałów desperacji finansowej. [Profil operatora przestępcy: psychologia i wzorce zachowań, które zdają śledczych](https://twiki.betheluniversity.edu/bin/view/Sandbox/TestTopic020#profil-operator-przestepcy-psychologia-i-wzorce-zachowan-ktore-zdaja-sledczych) pokazuje, że rekruterzy hakerskich grup są wyszkoleni w manipulacji psychologicznej i wiedzą, jak znaleźć ludzi podatnych na propozycje. Inną kategorią są pracownicy o słabych kompetencjach technicznych, którzy mogą nie do końca rozumieć, co robią. Osoba, która jest zwyczajnie administratorem sieci i otrzymuje instrukcję „skopiuj ten folder na pendrive'a", może nie zdawać sobie sprawy, że właśnie dokonała kradzieży danych milionów ludzi. Hakerskie grupy wykorzystują tę nieświadomość jako osłonę prawną – mogą twierdzić, że pracownik „nie wiedział, co robi". Trzecia grupa to pracownicy długoterminowi z dostępem do systemów, którym udało się wkraść się zaufanie banku. Są to osoby, które pracowały w instytucji przez wiele lat, miały dobrą ocenę, a następnie z jakiegoś powodu zainteresowały się zarabianiem dodatkowych pieniędzy. Czasem to impulsu zmiana sytuacji życiowej, czasem to frustracja z niewielkim wzrostem pensji w ciągu lat pracy. Zdarzają się również przypadki pracowników o złych intencjach od samego początku – osoby zatrudnione specjalnie po to, aby działać jako „mole" dla hakerskich grup. Te osoby mogą być rekrutowane jeszcze przed wejściem do pracy w banku, a ich głównym celem jest infiltracja i dostarczenie dostępu dla swoich pracodawców z podziemia. ## Słabe procesy HR: brakujące tło śledztwa Polskie banki na papierze mają wymagające procesy rekrutacyjne: sprawdzanie przeszłości, weryfikacja referencji, testy psychologiczne. W praktyce jednak te procesy są powierzchowne i łatwe do obejścia. Większość banków polega na zewnętrznych firmach zajmujących się sprawdzaniem przeszłości, które wykonują pracę na podstawie dostępnych publicznie baz danych i wywiadów referencyjnych. Ci pracownicy, którzy byli ostrożni, aby ukryć swoją działalność na ciemnym internecie lub w zakazanych społeczności, mogą łatwo przejść weryfikację. Drugą słabością jest brak bieżącego monitorowania pracowników. Po zatrudnieniu bank sprawdza pracownika raz – podczas wejścia do pracy. Potem przez lata nikt nie śledzi, czy jego zachowanie się nie zmieniło, czy nie wpadł w długi, czy nie zmienił się jego styl życia w sposób, który mogłby sugerować nowe źródło dochodów. Jeśli pracownik nagłe zaczyna nosić markowe rzeczy, kupuje nowy samochód lub wynosi się do droższej dzielnicy, powinno to wzbudzić pytania – ale w większości banków nikt tego nie śledzi. Trzecią słabością są słabe systemy raportowania i zgłaszania zagrożeń. Jeśli pracownik podejrzewa, że jego kolega coś robi nie tak, może być niechętny do raportowania tego – albo dlatego, że boi się represji, albo dlatego, że wewnętrzna kultura banku nie zachęca do „donosów". Hakerskie grupy o tym wiedzą i liczą na to, że pracownicy będą milczeć. Czwartą kwestią jest szkolenie w zakresie bezpieczeństwa. Wiele banków ma obowiązkowe szkolenia z cyberbezpieczeństwa, ale są one często nudne, powierzchowne i całkowicie nieskuteczne. Pracownik przechodzi szkolenie, bo musi, a następnie zapomina o nim. Nie otrzymuje jasnej wiadomości o zagrożeniu wewnętrznym, o tym, jak hakerskie grupy rekrutują, albo o konsekwencjach – zarówno dla niego samego, jak i dla banku. ## Prokuratura kontra hakerowie: jak śledcy się na tym tracą Polskie organy ścigania mają poważne problemy z rozliczaniem wewnętrznych współpracowników hakerskich grup. Po pierwsze, wielu takich przypadków nigdy nie jest zgłoszonych – banki wolą rozwiązać sprawę wewnętrznie, zwolnić pracownika i nie robić hałasu. Po drugie, kiedy już dojdzie do śledztwa, procesy sądowe są tak długie i skomplikowane, że sprawca może pracować bezkarnie przez lata, zanim zostanie skazany. [Polska prokuratura vs. globalni operatorzy: kiedy hakerskie operacje są zbyt duże do kontroli](https://myportal.utt.edu.tt/ICS/icsfs/polska-prokuratura-vs-globalni-operatorzy-kiedy-ha.html?target=f954ad10-6abf-40e9-9e55-77adf24e2b2d) pokazuje, że polski system już ma problem z ściganiem hakerów działających z zagranicy. Dodajmy do tego element pracownika wewnętrznego, a otrzymujemy chaos jurisdykcyjny – czy to przestępstwo właściwe dla prokuratury okręgowej, czy centralnej? Czy powinna być zaangażowana CBA? Czy powinni się włączyć federalni śledczy z zagranicy, jeśli hakerska grupa działa z Rosji lub Ukrainy? Problem pogłębia się faktem, że większość śledczych w Polsce nie ma dostatecznego przeszkolenia w cybernetyce, aby rozumieć, co się stało, jak śledzić transfery kryptowalut, czy jak połączyć dane z systemów bankowych z działaniami hakerów. Tymczasem czas gra przeciwko śledczym – każdy dzień opóźnienia pozwala hakerskim grupom usuwać ślady, przenosić pieniądze, a pracownikowi uciekać z kraju. ## Podsumowanie: jak długo banki będą ignorować ten problem? Pracownicy sprzedający dostępy hakerskim grupom to nie przyszłość zagrożenia – to teraźniejszość. Problem jest znany instytucjom finansowym, znany regulatorom, znany służbom. Pytanie nie brzmi „czy to się dzieje", ale „dlaczego banki ciągle to tolerują i ukrywają". Dopóki inwestycja w rzeczywiste bezpieczeństwo będzie drożej niż koszty kradzieży, dopóty pracownicy będą sprzedawać dostępy, a hakerskie grupy będą je kupować. Prawdziwa zmiana wymagałaby zaangażowania banków, regulatorów, prokuratur i samych pracowników – to jest rzecz, która wymaga politycznej woli. Na razie jednak mamy tylko poszlaki, ukrywane incydenty i pracowników, którzy sypią dostępami za pieniądze zamiast zarabiać uczciwie.