Organizacje społeczne nie są bezpieczne. Społecznicy i społeczniczki mogą trafić na celownik cyberprzestępców z powodu swojej działalności. Podatność na ataki zwiększa transparentna obecność w Internecie (dostępna misja, dotychczasowe działania), dostępne personalia osób zaangażowanych w działalność czy dane kontaktowe. Prezentujemy wyjątkowy w swej formie i misji odcinek Podcastu Sektor 3.0. Poznamy historię Joanny, społeczniczki, usłyszymy głos eksperta od systemów IT Macieja Broniarza i wysłuchamy komentarza adwokata Jacka Olejarza z kancelarii Legalden.
Ataki cyberprzestępców na organizacje społeczne wydają się podwójnie niegodziwe. Po pierwsze wykorzystują zaufanie i otwarte podejście do świata osób zaangażowanych społecznie. Po drugie, często dotykają fundacji i stowarzyszeń, które działają w oparciu o społeczne środki finansowe i mają ograniczone zasoby.
Gdy celem ataku pada cała organizacja, często może to być niezauważalne. Nie chodzi wówczas o pieniądze, a o skorzystanie z zasobów NGO jako ze „stacji przesiadkowej”. Dzięki infrastrukturze (dane kontaktowe, bazy e-mail) oszuści mogą atakować kolejne (często większe) organizacje czy instytucje lub beneficjentów oraz darczyńców organizacji.
Więcej o tym przeczytacie w naszej rozmowie z Maciejem Broniarzem: Cyberprzestępcy to nie są zakapturzeni goście. Jak atakowane są organizacje społeczne?
Przestępcy coraz częściej atakują ludzi, nie tylko systemy
Joanna, aktywistka i ekolożka, padła ofiarą sprawnie zaplanowanego i przeprowadzonego oszustwa. Przestępcy podszywali się pod pracowników banku i policjantów, wzbudzając w niej poczucie zagrożenia i odpowiedzialności. Zapewniali, że działają w jej interesie, angażując ją w starania mające uniemożliwienie oszukiwania innych.
Wykorzystali zmęczenie, przeciążenie obowiązkami i emocjonalne zaangażowanie w działania społeczne. Tego typu przestępstwa bazują na emocjach i manipulacji. Zaufanie, które dla społeczników jest wartością, staje się punktem zaczepienia dla oszustów. Co więcej, detale, o które dbają oszuści, potrafią uśpić czujność.
W przypadku Joanny była to nazwa banku wyświetlona na ekranie telefonu w trakcie przychodzącego połączenia. W wyniku akcji oszustów nasza rozmówczyni straciła oszczędności życia. Przyjacielska zrzutka „Dla Asi, która straciła marzenia” pomaga odzyskać, choć część tej kwoty.
Cyberprzestępcy często:
- podszywają się pod autorytety (bank, policja, prokuratura),
- apelują do emocji – wzbudzają strach, poczucie winy lub odpowiedzialności,
- proszą o zachowanie tajemnicy,
- działają pod presją czasu – nie dają chwili na refleksję.
Co zrobić?
- zweryfikuj informacje osobiście – zadzwoń na oficjalny numer,
- nie przekazuj pieniędzy ani danych przez telefon,
- przerwij rozmowę i skonsultuj się z zaufaną osobą.
Przeczytaj także: Bezpieczeństwo nie tylko od święta – poradnik cyberbezpieczeństwa dla NGO
Jak działają cyberprzestępcy?
Cyberprzestępcy działają coraz częściej w sposób zorganizowany. Ich aktywność przypomina działanie call center lub franczyzy – realizują scenariusze, używają szablonów, identyfikują luki bezpieczeństwa, zbierają dane i atakują najsłabsze ogniwa.
Organizacje społeczne są atrakcyjne, bo często mają ograniczone zasoby i nie posiadają zabezpieczeń czy specjalistów od bezpieczeństwa. Celem jest nie tylko zysk, ale też destabilizacja, szczególnie organizacji wspierających osoby z Ukrainy lub działających transgranicznie.
Typowe techniki ataków:
- wykorzystanie słabo zabezpieczonych organizacji jako „stacji przesiadkowych”,
- przejęcia kont pocztowych i rozsyłanie fałszywych wiadomości,
- podszywanie się pod znane instytucje i partnerów,
- stosowanie phishingu i spreparowanych faktur,
- automatyzacja działań i selekcja słabo chronionych ofiar.
Co może zrobić Twoja organizacja?
- wdrożyć monitoring systemów i kont,
- stworzyć proste i realne polityki bezpieczeństwa,
- wdrożyć działania edukacyjne dla zespołu,
- znaleźć lub zbudować lokalną sieć wsparcia IT.
Jaka jest perspektywa prawnika i zarządu?
O komentarz poprosiliśmy także zaangażowanego w sprawy społeczne adwokata Jacka Olejarza. Jego zdaniem kluczowa jest dokumentacja działań, odpowiednie procedury i szybka reakcja na potencjalne zagrożenia. Nasz rozmówca zwraca także uwagę na odpowiedzialność za zarządzanie majątkiem wspólnym. Z punktu widzenia prawa ponoszą ją zarządy organizacji społecznych. Dbałość w zakresie cyberbezpieczeństwa pozwoli uniknąć kar, strat finansowych i konsekwencji osobistych.
Czy wiesz, że Sektor 3.0 przygotowuje bezpłatne kursy e-learningowe? Wśród nich są też takie związane z bezpieczeństwem w sieci. Sprawdź: Cyberbezpieczeństwo w organizacji – od teorii do praktyki
Kluczowe jest prowadzenie regularnych szkoleń z zakresu cyberbezpieczeństwa, które zwiększają świadomość zespołu i zmniejszają prawdopodobieństwo popełnienia błędów. Może to być także wspólna baza wiedzy lub wymienianie się informacjami w postaci zebranych linków, zapisanie się do newslettera. Na pewno warto być na bieżąco!
Warto zwrócić uwagę na ubezpieczenie odpowiedzialności cywilnej członków zarządu, co może zabezpieczyć ich prywatny majątek w razie roszczeń. Organizacja powinna mieć także spisaną i stosowaną politykę bezpieczeństwa, obejmującą między innymi procedury działania w przypadku incydentów.
Kluczowe działania, które warto mieć zapisane w swojej wewnętrznej procedurze, to:
- Zabezpieczenie dowodów: nie kasuj e-maili, SMS-ów, nie formatuj urządzeń.
- Zgłoszenie do banku: jeśli doszło do transakcji – bank może wstrzymać przelew.
- Zgłoszenie przestępstwa: osobiście na komisariacie, nie przez infolinię 112 (chyba że trwa przestępstwo, ktoś ma przyjść po pieniądze).
- Zgłoszenie do UODO (Urząd Ochrony Danych Osobowych): w przypadku wycieku danych osobowych – zgłoszenie może uchronić organizację przed karą, o ile została zachowana współpraca i staranność.
- Zachowanie spójności dokumentacyjnej: pokazanie, że organizacja miała politykę bezpieczeństwa, wdrożyła środki zaradcze, szkoliła zespół.
Zapraszamy na bezpłatne wydarzenie poświęcone między innymi kwestiom cyberprzestępczości i autonomii w Internecie! Jak w czasach algorytmów i dynamicznego rozwoju sztucznej inteligencji zachować kontrolę nad technologią? Czy to ważne, by dbać o prywatność w sieci? Odpowiedzi padną w trakcie Festiwalu Sektor 3.0, który organizujemy online już 21 maja. Zarejestruj się już dziś!
***
Joanna Mieszkowicz: Innowatorka społeczna, edukatorka ekologiczna, aktywistka, z serca i wykształcenia ekolożka, inicjatorka programu Czas na las (pierwszy w Polsce Kalkulator CO2 oraz wsparcie posadzenia niemal 2 milionów drzew) i współzałożycielka Fundacji Aeris Futuro, współautorka licznych działań, w których stara się łączyć kulturę z naturą. Jest również propagatorką i miłośniczką muzyki ludowej i tańców w kręgu oraz współorganizatorką międzynarodowego Festiwalu Czango w Polsce, który ma ukazać piękno kultury naszego kraju, ale też piękno Karpat i ludów karpackich. Ma szerokie doświadczenie w projektach międzynarodowych, wystąpieniach publicznych. Stara się być eko-mamą, uwielbia spotkania i interakcje z ludźmi oraz bycie w przyrodzie.
Maciej Broniarz: Prelegent z wieloletnim doświadczeniem, wykładowca akademicki, konsultant ds. bezpieczeństwa IT. Od 2010 roku wykładowca Informatyki Kryminalistycznej w Centrum Nauk Sądowych Uniwersytetu Warszawskiego. Prowadził liczne wykłady i szkolenia z cyberbezpieczeństwa m.in. dla Komisji Nadzoru Finansowego, Politechniki Warszawskiej, Wydziału Matematyki, Mechaniki i Informatyki Uniwersytetu Warszawskiego, NASK i Warszawskiej Rady Adwokackiej. Ceniony za obszerną wiedzę, bogate doświadczenie praktyczne i umiejętność łatwego przekazywania wiedzy oraz przystępnego wyjaśniania nawet najbardziej złożonych treści. W czasie kariery zawodowej kierował m.in. Działem Sieci Komputerowych Uniwersytetu Warszawskiego oraz zespołem CERT PLIX. Ekspert ds. cyberbezpieczeństwa i informatyki śledczej, współpracujący m.in. z kancelarią Leśniodorski, Ślusarek i wspólnicy oraz Pietrzak-Sidor oraz Wardyński i Wspólnicy. Współpracuje z Fundacją im. Bronisława Geremka i Helsińską Fundacją Praw Człowieka w projektach R&D dotyczących zwalczania przestępczości w internecie. Członek Polskiego Towarzystwa Kryminalistycznego.
Jacek Olejarz: Na co dzień doradza organizacjom pozarządowym i odpowiedzialnym firmom, jak działać efektywnie i zgodnie z prawem. Założyciel kancelarii Legalden i spółki non for profit Impactden, prowadzący podcast Talk For Good. Członek grupy doradczej ds. uproszczeń w prawie przy Ministrze ds. Społeczeństwa Obywatelskiego i laureat nagrody specjalnej Rising Stars 2022. Najważniejsze jest dla niego to, by jego praca miała pozytywny wpływ na społeczeństwo. Swoją wiedzą prawniczą dzielił się między innymi w TVN24 czy Polityce. Absolwent Uniwersytetu Jagiellońskiego (prawo) oraz Uniwersytetu Warszawskiego (MBA). W wolnym czasie odpoczywa przy grach strategicznych czy zgłębianiu tajemnic historii, a najchętniej na połączeniu tych dwóch pasji – w grach firmy Paradox Interactive.