Dark web monitoring – czy dane Twojej firmy są w sieci?

Czym jest dark web i dlaczego MŚP powinno się nim martwić?

Internet składa się z trzech warstw. Surface web to strony indeksowane przez Google – to, co widzisz na co dzień. Deep web to zasoby nieindeksowane: poczta firmowa, panele administracyjne, bazy danych. Dark web to ukryta sieć dostępna wyłącznie przez przeglądarkę Tor, zaprojektowana z myślą o anonimowości.

To właśnie tam działają bazary z danymi. Skradzione loginy do firmowych systemów, bazy klientów, numery kart płatniczych, dane osobowe pracowników – wszystko to jest kupowane i sprzedawane za kryptowaluty. Cena jednego zestawu danych (login + hasło + nazwa firmy) to często zaledwie kilka dolarów. Kompletna baza klientów MŚP może kosztować kilkadziesiąt.

Małe i średnie firmy są szczególnie narażone z dwóch powodów: po pierwsze, rzadko dysponują systemami wczesnego ostrzegania o wyciekach. Po drugie, hakerzy wiedzą, że MŚP mają cenniejsze zasoby niż przeciętny użytkownik, ale słabsze zabezpieczenia niż korporacje. Badania firmy Verizon wskazują, że ponad 80% naruszeń danych wiąże się z użyciem skradzionych lub słabych danych uwierzytelniających – a właśnie te w pierwszej kolejności trafiają na dark webowe bazary.

Jak dane firmowe trafiają do dark webu?

Wyciek danych to nie zawsze efekt bezpośredniego ataku na Twoją firmę. Dane mogą trafić do dark webu wieloma drogami:

• Naruszenia u dostawców usług – gdy hakuje się platformę SaaS, CRM czy sklep internetowy, z którego korzysta Twoja firma, wycieka baza użytkowników. Twoje dane uwierzytelniające mogą być w tej bazie, nawet jeśli Twoje własne systemy są bezpieczne.
• Phishing i ataki socjotechniczne – pracownik daje się nabrać na fałszywą stronę logowania i podaje hasło. Atakujący natychmiast wystawia je na sprzedaż lub używa do dalszych ataków.
• Infostealery – złośliwe oprogramowanie działające w tle przeglądarki, które kopiuje wszystkie zapisane hasła, pliki cookie i dane autouzupełniania. Jeden infostealer może w ciągu minut wysłać hakerowi setki danych logowania z jednego komputera pracownika.
• Ataki na infrastrukturę – włamania do serwerów, baz danych lub systemów pocztowych skutkują bezpośrednim dostępem do danych i ich masowym eksfiltrowania.
• Wycieki wewnętrzne – niezadowolony pracownik lub osoba z dostępem do systemu może celowo udostępnić dane lub sprzedać je konkurencji.

W każdym z tych scenariuszy Twoja firma może przez tygodnie lub miesiące nie wiedzieć o problemie. Właśnie dlatego pasywne czekanie na atak to zła strategia – monitoring dark webu pozwala przejść do aktywnej obrony.

Darmowe narzędzia do sprawdzenia wycieków danych

Zanim sięgniesz po płatne rozwiązania, warto zacząć od sprawdzonych darmowych narzędzi:

• Have I Been Pwned (haveibeenpwned.com) – najpopularniejszy serwis do sprawdzania wycieków. Wpisz adres e-mail pracownika i sprawdź, w których znanych naruszeniach się pojawił. Serwis umożliwia też monitoring całej domeny firmowej po jej weryfikacji – właściciel domeny otrzymuje automatyczne powiadomienia e-mail za każdym razem, gdy nowy wyciek zawiera adresy z jego organizacji. I to bezpłatnie.
• Mozilla Monitor – podobny serwis powiązany z Firefoxem, oferuje powiadomienia o nowych wyciekach dla monitorowanych adresów e-mail.
• BreachDirectory.org – pozwala wyszukiwać wycieki po adresie e-mail lub loginie, przydatny przy weryfikacji konkretnych kont.
• DeHashed – zaawansowana wyszukiwarka baz danych z wycieków, z opcją przeszukiwania po domenie, adresie IP lub nazwie firmy. Wersja premium oferuje dostęp do pełnych rekordów.

Dobrą praktyką jest sprawdzenie wszystkich firmowych adresów e-mail w Have I Been Pwned przynajmniej raz na kwartał. To zero kosztów i pięć minut pracy – a może uchronić przed poważnym incydentem bezpieczeństwa.

Dark web monitoring w Microsoft 365 i Entra ID

Firmy korzystające z Microsoft 365 Business Premium lub licencji z planem Entra ID P2 mają dostęp do wbudowanych mechanizmów wykrywania naruszonych danych uwierzytelniających. Warto wiedzieć, gdzie ich szukać i jak je aktywować:

• Microsoft Entra ID Protection – automatycznie monitoruje konta użytkowników pod kątem logowań z użyciem skradzionych danych uwierzytelniających. Gdy Microsoft wykryje, że hasło konkretnego konta pojawiło się w znanych wyciekach (firma posiada dostęp do ogromnych baz threat intelligence), generuje alert ryzyka i może automatycznie wymuszać zmianę hasła lub blokować logowanie.
• Raport Risky users – dostępny w centrum administracyjnym Entra ID, pokazuje użytkowników, których konta zostały oznaczone jako zagrożone na podstawie danych z dark webu i analizy behawioralnej.
• Raport Risky sign-ins – prezentuje podejrzane próby logowania, np. z lokalizacji niespójnych z profilem użytkownika lub z anonimizujących sieci Tor.
• Conditional Access z ryzykiem logowania – polityki dostępu warunkowego mogą automatycznie blokować lub eskalować (wymuszać MFA) dla kont oznaczonych jako skompromitowane, zanim atakujący zdąży wejść do systemu.

Konfiguracja tych funkcji jest stosunkowo prosta, ale wymaga odpowiednich licencji. Jeśli Twoja firma korzysta z Microsoft 365 Business Premium, te narzędzia masz już w pakiecie – warto sprawdzić, czy są włączone.

Komercyjne platformy dark web monitoringu dla firm

Dla firm potrzebujących głębszego monitoringu dostępne są komercyjne platformy, które nie tylko szukają w znanych bazach wycieków, ale aktywnie indeksują dark web, paste sites, fora hakerskie i kanały Telegram:

• Flare – platforma skierowana do MŚP i firm enterprise, monitoruje dark web pod kątem domeny, marki, kont pracowników i danych klientów. Oferuje czytelne dashboardy i alerty w czasie rzeczywistym.
• SpyCloud – specjalizuje się w odzyskiwaniu danych z wycieków i infostealerów. Dostarcza szczegółowe dane o skradzionych hasłach i plikach cookie sesji, co pozwala reagować bardzo precyzyjnie.
• Recorded Future – zaawansowana platforma threat intelligence, monitoruje dark web, deep web i surface web w kontekście konkretnych organizacji. Skierowana głównie do enterprise.
• Cybercrime.Center – rodzima platforma do monitorowania wycieków danych, dostosowana do realiów polskiego rynku i wymagań RODO.

Koszt komercyjnych platform zaczyna się zazwyczaj od kilkuset złotych miesięcznie. Dla MŚP, które nie mają własnego działu IT ani zespołu SOC, sensowną alternatywą jest outsourcing tego monitoringu do zaufanego dostawcy usług zarządzanych – który nie tylko skonfiguruje narzędzia, ale też przeanalizuje alerty i doradzi dalsze działania.

Co zrobić, gdy dane firmy pojawiły się w dark webie?

Wykrycie wycieku to nie koniec świata – ale wymaga szybkiej i skoordynowanej reakcji. Oto plan działania krok po kroku:

1. Natychmiast zresetuj hasła – każde konto, którego dane pojawiły się w wycieku, powinno zmienić hasło. Priorytetem są konta z dostępem do systemów krytycznych, finansów i poczty firmowej.
2. Wymusz MFA na wszystkich kontach – jeśli uwierzytelnianie wieloskładnikowe nie jest jeszcze włączone, teraz jest najwyższy czas. MFA skutecznie blokuje większość ataków credential stuffing, nawet jeśli hasło jest znane atakującemu.
3. Sprawdź logi aktywności kont – przejrzyj logi logowania w systemie pocztowym, VPN i aplikacjach firmowych pod kątem podejrzanych wejść: nieznane lokalizacje, godziny nocne, nieznane urządzenia.
4. Oceń zakres wycieku – ustal, jakie konkretnie dane wyciekły: same hasła, czy również dane osobowe, dane klientów lub informacje finansowe. Zakres determinuje dalsze obowiązki prawne.
5. Oceń obowiązek powiadomienia UODO – jeśli wyciek dotyczy danych osobowych i stwarza ryzyko dla osób fizycznych, masz 72 godziny na zgłoszenie naruszenia do Urzędu Ochrony Danych Osobowych. To wymóg RODO.
6. Poinformuj osoby, których dane wyciekły – pracownicy, klienci lub partnerzy powinni być poinformowani – zarówno ze względów etycznych, jak i prawnych.
7. Przeprowadź audyt bezpieczeństwa – zidentyfikuj wektor ataku i wdróż poprawki, by zapobiec kolejnemu incydentowi. Sam reset hasła bez usunięcia pierwotnej przyczyny wycieku to tylko chwilowa łata.

Kluczem jest szybkość: hakerzy często próbują wykorzystać skradzione dane w ciągu pierwszych godzin od ich publikacji na forach dark webu. Im szybciej zareagujesz, tym mniejsze szkody.