Atak ransomware w Herbapolu: konsekwencje i refleksje

utworzone przez | lip 12, 2025 | Blog (PL) | 0 komentarzy

Ten artykuł nie ma być clickbaitową treścią. Piszę go z perspektywy inżyniera oprogramowania i testera, który jednocześnie dzieli się wiedzą z uczniami szkół średnich. Moim celem jest rzetelna analiza zdarzenia jakim był atak na Herbapol, pod kątem realnych wniosków dla rozwoju osobistego, edukacji, rekrutacji i zarządzania zespołem.

Poruszam tu również temat finansowania inicjatyw z zakresu cyberbezpieczeństwa, a także obecnego boomu na nowe kierunki studiów i szkolenia. Nie chodzi o krytykę, lecz o otwarcie dyskusji na temat lepszego kształtowania procesów, kompetencji i świadomości zarówno w szkołach, jak i w firmach.

W ostatnich dniach media obiegła informacja o cyberataku na Herbapol-Lublin S.A., znanego polskiego producenta herbat, syropów i produktów ziołowych. Szczegóły tego, co się wydarzyło, są istotne dla pełnego zrozumienia incydentu. Zgodnie z oficjalnym komunikatem firmy i doniesieniami prasowymi, systemy informatyczne zostały zaszyfrowane przez hakerów, którzy zażądali okupu w wysokości 900 tys. dolarów. Dodatkowo, firma potwierdziła możliwy wyciek danych osobowych klientów sklepu internetowego.

W reakcji na incydent, spółka opublikowała komunikat, w którym poinformowała o podjęciu typowych kroków w celu zarządzania kryzysem i ochrony poszkodowanych:

  • informuje o potencjalnym nieuprawnionym dostępie do danych klientów sklepu,
  • zaleca użytkownikom zmianę haseł i włączenie uwierzytelniania dwuskładnikowego (2FA),
  • potwierdza zgłoszenie incydentu do Centralnego Biura Zwalczania Cyberprzestępczości (CBZC), CERT Polska oraz Urzędu Ochrony Danych Osobowych (UODO),
  • deklaruje współpracę z organami ścigania i poważne traktowanie incydentu.

Atak na Herbapol to klasyczny przykład ransomware – złośliwego oprogramowania, które szyfruje dane, a następnie żąda okupu za ich odszyfrowanie. Coraz częściej jednak cyberprzestępcy stosują tzw. double extortion (podwójne wymuszenie): nie tylko szyfrują dane, ale wcześniej je kopiują i grożą ich ujawnieniem. Taka strategia dodatkowo zwiększa presję na ofiarę, grożąc naruszeniem przepisów RODO i utratą reputacji.

Warto zaznaczyć, że ransomware to tylko jedna z wielu technik wykorzystywanych przez cyberprzestępców. Inne popularne metody, często łączone w złożone ataki, obejmują:

  • phishing (wyłudzanie danych za pomocą fałszywych e-maili),
  • atak DDoS (zmasowany atak na infrastrukturę sieciową, mający na celu jej przeciążenie i unieruchomienie),
  • exfiltracja danych (kradzież plików bez ich szyfrowania),
  • atak wewnętrzny (tzw. insider threat, czyli zagrożenie ze strony nieuczciwego pracownika lub kontrahenta),
  • zero-day (wykorzystanie niezałatanej, nieznanej wcześniej luki w oprogramowaniu).

Zrozumienie tych metod cyberprzestępstw jest niezwykle istotne dla programistów, analityków biznesowych i testerów, ponieważ pozwala tworzyć bezpieczniejsze aplikacje oraz świadomiej podchodzić do projektowania i testowania systemów.

Incydent cybernetyczny, taki jak atak ransomware, może prowadzić do szeregu poważnych konsekwencji dla funkcjonowania firmy i bezpieczeństwa danych. W przypadku Herbapolu zaobserwowano następujące skutki, które są typowe dla tego rodzaju zagrożeń:

  • Zaszyfrowanie systemów operacyjnych i danych, co paraliżuje działanie firmy.
  • Czasowa niedostępność usług i zakłócenie operacji biznesowych.
  • Możliwy wyciek danych osobowych użytkowników sklepu e-herbapol.com.pl, niosący ryzyko dalszych nadużyć.
  • Wzmożone ryzyko ataków phishingowych i prób przejęcia kont e-mail lub danych bankowych klientów, których dane mogły wyciec.

Oprócz analizy doniesień prasowych, warto również spojrzeć na opinię ekspertów z branży cyberbezpieczeństwa wyrażoną na portalach społecznościowych. Właśnie na LinkedInie wywiązała się wyraźna i obszerna dyskusja. Wpis Jana Kostrzewy (B3 CyberSecurity, Youtube: @BezpieczniWSieci) wywołał dyskusję na temat roli specjalistów ds. bezpieczeństwa IT, wysokości ich zarobków i priorytetów organizacyjnych w firmach [12]. Ekspert wskazał na kilka kluczowych aspektów, które są fundamentem branżowej debaty:

  • Docenił prawidłową reakcję firmy (odmowa zapłaty okupu, uruchomienie procedur).
  • Zwrócił uwagę na globalne statystyki dotyczące skuteczności i kosztów ataków ransomware.
  • Zapoczątkował ważną branżową debatę: czy inwestycje w cyberbezpieczeństwo są wystarczające w kontekście potencjalnych strat?
  • Podkreślił znaczenie edukacji pracowników i rzetelnej strategii tworzenia kopii zapasowych jako filarów ochrony przed tego typu atakami.

Wielu komentatorów pod jego wpisem zgodnie zauważyło, że powszechne problemy w podejściu do cyberbezpieczeństwa w firmach często dotyczą:

  • bezpieczeństwa, które sprowadza się do formalnego „odhaczania obowiązków audytowych”, a nie realnych działań.
  • szkoleń z cyberbezpieczeństwa, które są traktowane jako zbędny koszt, a nie kluczowa inwestycja w ochronę zasobów.
  • budżetu na bezpieczeństwo, który często jest blokowany przez zarządy, które „nie widzą” zagrożeń, dopóki nie jest za późno.
  • systemów backupu, które bywają nieskuteczne, zwłaszcza gdy nie są odpowiednio odseparowane od głównych systemów, lub gdy do wycieku danych doszło jeszcze przed ich zaszyfrowaniem.

Z dyskusji branżowej można wyciągnąć kilka istotnych wniosków, które wskazują na obszary wymagające poprawy w podejściu do cyberbezpieczeństwa. Te kluczowe spostrzeżenia podkreślają znaczenie kompleksowego i strategicznego podejścia do ochrony danych i systemów:

  1. Szkolenia pracowników i świadomość zagrożeń (Security Awareness): Istnieje pilna potrzeba nowoczesnych, angażujących form edukacji, które zastąpią szkolenia „do odklikania”.
  2. Kopie zapasowe i złudne poczucie bezpieczeństwa: Backup, choć kluczowy, nie zabezpiecza przed szantażem związanym z ujawnieniem skradzionych danych. Jego skuteczność zależy od niezależności i odporności na manipulację.
  3. Budżet i inwestycje w bezpieczeństwo: To ostrzeżenie przed myśleniem w kategoriach „nas to nie dotyczy”. Koszty zaniedbań mogą wielokrotnie przewyższyć inwestycje, których firma unikała.

Zamiast „karać i straszyć”, Kostrzewa postuluje grywalizację szkoleń, system nagród, rankingów i cyfrowych asystentów. Takie podejście może rzeczywiście znacząco zwiększyć świadomość i zaangażowanie pracowników, zamiast ograniczać się do „zaliczenia” kolejnego obowiązkowego modułu e-learningowego. Komentarze te mają charakter społecznościowy, opiniotwórczy i są niezwykle praktyczne. Warto je analizować w kontekście wdrożeń, audytów, szkoleń i polityk bezpieczeństwa. Stanowią doskonały materiał do:

  • dyskusji case study na warsztatach czy studiach,
  • wprowadzenia do tematu kultury bezpieczeństwa (culture of security) w firmach,
  • projektowania nowoczesnych platform edukacyjnych z elementami grywalizacji.

Z innej strony zastanówmy się nad rolą programisty w kontekście cyberbezpieczeństwa, która może być kluczowa i jest często niedoceniana. Znajomość podstawowych mechanizmów sieciowych i zagrożeń może znacząco zwiększyć jakość kodu oraz odporność systemu. Oto, co warto mieć na uwadze:

  • Brak wiedzy sieciowej może prowadzić do niezamierzonych luk bezpieczeństwa w aplikacji.
  • Znajomość zależności infrastrukturalnych pomaga szybciej diagnozować błędy, które nie występują lokalnie.
  • Skuteczna współpraca z zespołami DevOps i bezpieczeństwa to prewencja, nie tylko reagowanie na incydenty.
  • Świadomość zagrożeń, w tym ataków ransomware, zaczyna się od zrozumienia podstaw komunikacji w sieci.
  • Często kontekst biznesowy jest ukryty przed osobą odpowiedzialną za fragment aplikacji, ale to nie może zwalniać z myślenia!

Jeśli interesuje Cię, jak teoria przekłada się na praktykę, zachęcam do lektury moich pozostałych wpisów pod artykułem. Jako inżynier oprogramowania i osoba zaangażowana w popularyzację wiedzy technicznej, analizuję tam nie tylko podstawy sieci komputerowych czy modele bezpieczeństwa, ale także to, jak obecne programy nauczania w szkołach średnich odpowiadają (lub nie) na realne potrzeby rynku. Staram się łączyć wiedzę dydaktyczną z doświadczeniem projektowym, by pokazać młodym informatykom, gdzie teoria spotyka się z praktyką i dlaczego warto rozumieć oba światy.

    Podsumowanie

    Incydent w Herbapolu-Lublin S.A. ponownie uwypukla, że bezpieczeństwo cyfrowe to strategiczny fundament każdego biznesu, wykraczający poza domenę działu IT. Podejście do bezpieczeństwa wymaga zaangażowania całej organizacji – to nie tylko zmartwienie administratora. Jednym z obszarów wymagających realnego zaangażowania są choćby szkolenia. Każdy programista, rozumiejący sieć i potencjalne zagrożenia, automatycznie staje się znacznie bardziej wartościowym członkiem zespołu.

    Niedawno na LinkedIn zadałem pytanie: „(…) Rekruterze, kogo tak naprawdę potrzebujesz w zespole? Pentestera? Specjalistę DevOps? A może developera z solidnymi podstawami z zakresu protokołów sieciowych?” [13]. Otóż odpowiedź rzadko tkwi w jednej specjalizacji, lecz w umiejętnym połączeniu kompetencji. Zespół budowany wokół zrównoważonej wiedzy i świadomości zagrożeń potrafi działać proaktywnie, a nie jedynie reagować.

    Prowadzi to do głębszej refleksji, którą również zawarłem w innym artykule: „does it make sense to hire an expensive ethical hacker to find basic vulnerabilities that a regular tester should have caught during the early stages of software development?” (tłum. aut.: „czy naprawdę musimy zatrudniać drogiego etycznego hakera, by wskazał luki, które powinien był wychwycić zwykły tester już na etapie pisania test case’ów?” [14]). Czy nie oznacza to, pomijając kwestie różnych regulacji i wymogów certyfikacyjnych, że systemowo uczymy się leczyć objawy zamiast zapobiegać przyczynom?

    Uważam, że dużym ryzykiem nie jest to, że firmy nie inwestują w bezpieczeństwo, ale że wskutek impulsów medialnych zrobią to chaotycznie i powierzchownie. Moda na kursy, certyfikaty i stanowiska z dopiskiem „cyber” to zjawisko nieuniknione, które trzeba uważnie obserwować, szczególnie jeśli przesłania ono konieczność budowania świadomych, interdyscyplinarnych zespołów.

    Lepiej dobrze rozumieć, jak działają sieci i aplikacje, niż później uczyć się, jak doszło do wycieku. Dobre praktyki i solidne podstawy to najlepsza inwestycja w prewencję.

    Zapraszam do dyskusji!

    Źródła

    Komunikaty firmy

    1. Strona główna Herbapol-Lublin S.A. (dostęp 12.07.2025), URL: https://www.herbapol.com.pl/
    2. Strona sklepu internetowego e-Herbapol (dostęp 12.07.2025), URL: https://www.e-herbapol.com.pl/
    3. Oficjalny komunikat w formacie PDF (dostęp 12.07.2025), „KOMUNIKAT DOTYCZĄCY ATAKU HAKERSKIEGO NA INFRASTRUKTURĘ INFORMATYCZNĄ HERBAPOL – LUBLIN S.A.”, URL: https://e-herbapol.com.pl/informacja.pdf

    Artykuły prasowe

    1. Eryk Kielak, Gazeta.pl, 11 lipca 2025, „Atak hakerski na znaną polską firmę. Żądają 900 tys. dol. Pracownicy alarmują: Nic nie działa”, URL: https://next.gazeta.pl/next/7,151243,32098013,atak-hakerski-na-polska-firme-hakerzy-zadaja-900-tys-dol.html#s=BoxPWD
    2. Grzegorz Psujek, Business Insider Polska, 11 lipca 2025, „Hakerzy żądają 900 tys. dolarów od polskiej firmy”, URL: https://businessinsider.com.pl/biznes/herbapol-lublin-ofiara-cyberprzestepcow-prokuratura-bada-sprawe/87e5chv
    3. Dorota Kwaśniewska, CyberDefence24, 11 lipca 2025, „Herbapol zhakowany. Żądanie okupu”, URL: https://cyberdefence24.pl/cyberbezpieczenstwo/herbapol-zhakowany-zadanie-okupu
    4. TVP3 Lublin, Panorama Lubelska, 11 lipca 2025, „Atak hakerski na Herbapol Lublin – żądanie okupu w wysokości 900 tys. dolarów”, URL: https://lublin.tvp.pl/87801990/atak-hakerski-na-herbapol-lublin-zadanie-okupu-w-wysokosci-900-tys-dolarow
    5. Renata Gaweł, RMF24, 11 lipca 2025, „Atak hakerski na Herbapol i żądanie okupu. Wszczęto śledztwo”, URL: https://www.rmf24.pl/regiony/lublin/news-atak-hakerski-na-herbapol-i-zadanie-okupu-wszczeto-sledztwo,nId,7998526
    6. Dominik Krawczyk, Telepolis.pl, 07 lipca 2025, „Hakerzy zaatakowali producenta soku do piwa? Dramat w Lublinie”, URL: https://www.telepolis.pl/tech/nie-dzialaja-strony-herbapolu-sa-doniesienia-o-ataku-hakerskim
    7. Dominik Krawczyk, Telepolis.pl, 11 lipca 2025, „Hakerzy chcą od Herbapolu 3,3 mln zł okupu. Zaszyfrowali wszystko”, URL: https://www.telepolis.pl/tech/bezpieczenstwo/hakerzy-chca-od-herbapolu-3-3-mln-zl-okupu-zaszyfrowali-wszystko
    8. Dominik Krawczyk, Telepolis.pl, 12 lipca 2025, „Herbapol potwierdza – dane osobowe klientów w rękach hakerów”, URL: https://www.telepolis.pl/tech/bezpieczenstwo/herbapol-potwierdza-wyciekly-dane-osobowe-klientow

    Portale społecznościowe

    1. Jan Kostrzewa, „Hakerzy żądają 3 mln 280 tysięcy PLN okupu (900 000$) od Herbapolu”, wpis na profilu eksperta (dostęp 12.07.2025), czytaj

    Artykuły autora związane z tematem

    1. Grzegorz Wieczerzak, „Programmers: Think You Don’t Need Networks? Think Again!”, wpis na LinkedIn, czytaj
    2. Grzegorz Wieczerzak, „Does a Programmer Need to Understand Networks?”, wieczerzak.pl, czytaj
    3. Grzegorz Wieczrzak, „Pierwsze kroki w świecie LAN – prosto i zrozumiale”, programista1024.pl, czytaj

    Prześlij komentarz

    Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *