Klikając „Akceptuj wszystkie pliki cookie”, zgadzasz się na przechowywanie plików cookie na swoim urządzeniu w celu ułatwienia nawigacji po stronie, analizy korzystania ze strony oraz wspierania naszych działań marketingowych. Zobacz naszą Politykę prywatności, aby uzyskać więcej informacji.
PreferencjeOdrzućAkceptuj
Powrót na stronę główną bloga
Komentarz

Hasło „123456" i 64 miliony kandydatów - lekcja dla polskich firm

Autor/ka
Davidson Consulting
facebook-icon
linkedin-icon

Eksperci ds. zarządzania kryzysowego i ciągłości działania

Eksperci bezpieczeństwa potrzebowali tylko hasła „123456", żeby uzyskać dostęp do danych osobowych 64 milionów kandydatów do pracy w systemie rekrutacyjnym McDonald's.
Rosyjska balistyczna rakieta hiperdźwiękowa "Oriesznik" na wozie transportowym.

Incydent z platformą McHire to więcej niż kolejna wpadka IT – to ostrzeżenie dla polskich organizacji działających pod nowymi regulacjami DORA, NIS2 i AI Act.

Gdy certyfikaty nie wystarczą

Paradox.ai, firma odpowiedzialna za system, posiadała certyfikaty SOC 2 Type II i ISO 27001. Mimo to podstawowe błędy jak domyślne hasła pozostały niezauważone. To kluczowy problem współczesnego zarządzania ryzykiem dostawców – certyfikaty dają fałszywe poczucie bezpieczeństwa, podczas gdy rzeczywiste luki czekają na odkrycie.

Konsekwencje finansowe? Miliardowe

Dla McDonald's (przychody 25,92 mld USD w 2024) potencjalna kara RODO to ponad miliard dolarów – 4% światowych obrotów. AI Act dodaje kolejne 15 milionów euro lub 3% obrotów za naruszenia systemów wysokiego ryzyka, którymi są systemy rekrutacyjne.

Co to oznacza dla polskich firm?

W dobie obowiązujących już regulacji cyberbezpieczeństwa, organizacje muszą wykraczać poza powierzchowną analizę certyfikatów dostawców. Konieczne są własne, niezależne audyty bezpieczeństwa systemów krytycznych – szczególnie tych wykorzystujących AI.

Incydent McHire pokazuje, że bezpieczeństwo musi być wbudowane w systemy AI od projektu. Jak podsumowuje jeden z ekspertów: „AI wzmacnia stare grzechy i wymyśla nowe. Jeśli wdrażasz chatboty, które dotykają danych klientów lub pracowników, budżetuj red team tak samo, jak budżetujesz wydatki na chmurę."

Najnowsze artykuły:

Identyfikacja i uzasadnienie funkcji krytycznych lub istotnych dla banku komercyjnego w świetle rozporządzenia DORA
Europa w połowie drogi: jak NIS2 zmienia oblicze cyberbezpieczeństwa w biznesie
Jak Europa przekształca kontrolę eksportu technologii w instrument geopolityki
Certyfikacja cyberbezpieczeństwa w Polskim Sejmie
Dlaczego weryfikacja planów ciągłości działania dostawców stała się obowiązkiem prawnym

Kategorie:

ICT Navigator
Geopolityka a biznes
Ochrona ludności
Bezpieczeństwo łańcucha dostaw
Zarządzanie kryzysowe
Incydenty
Testy
Szkolenia
Wydarzenia
Komunikacja kryzysowa
Audyt
Zarządzanie ryzykiem
Sygnaliści
Zgodność
Cyberbezpieczeństwo
Ciągłość działania

Oferta Davidson Consulting:

Business ContinuityZarządzanie ryzykiemCyberbezpieczeństwoRozmowy o ryzykuRaporty

Najnowsze artykuły

Identyfikacja i uzasadnienie funkcji krytycznych lub istotnych dla banku komercyjnego w świetle rozporządzenia DORA

Przed wprowadzeniem DORA, instytucje finansowe zarządzały ryzykiem operacyjnym głównie poprzez alokację kapitału na pokrycie potencjalnych strat. Jak to robić teraz?
Czytaj dalej
Poradnik

Identyfikacja i uzasadnienie funkcji krytycznych lub istotnych dla banku komercyjnego w świetle rozporządzenia DORA

Ciągłość działania
Funkcje krytyczne DORA, identyfikacja funkcji krytycznych lub istotnych, DORA funkcje krytyczne w banku, Rozporządzenie DORA, definicja funkcji krytycznej DORA, DORA Art 3 pkt 22, DORA a BRRD, Motyw 70 DORA, cyfrowa odporność operacyjna, zgodność z DORA, funkcje krytyczne BFG a DORA, Prawo Bankowe Art 5 a DORA, zarządzanie ryzykiem ICT, jak zidentyfikować funkcje krytyczne w DORA, co to są funkcje krytyczne lub istotne według DORA, przykładowa lista funkcji krytycznych dla banku DORA, metodyka identyfikacji funkcji krytycznych DORA, różnice między DORA a BRRD w definicji funkcji krytycznych, wpływ zakłócenia funkcji krytycznej na system finansowy, ICT, bank komercyjny, stabilność systemu finansowego, BFG, Bankowy Fundusz Gwarancyjny, KNF, Rekomendacje H i M, Dyrektywa BRRD, MiFID II, czynności bankowe, zarządzanie incydentami, testowanie odporności operacyjnej.
Bankowość i rynki finansowe
Podmioty ważne i kluczowe

Jak Europa przekształca kontrolę eksportu technologii w instrument geopolityki

Czasy, gdy kontrola eksportu ograniczała się do czołgów i pocisków, bezpowrotnie minęły. W erze, w której algorytm może być równie niebezpieczny jak karabin, a oprogramowanie do rozpoznawania twarzy może służyć zarówno odblokowaniu telefonu, jak i śledzeniu dysydentów, Unia Europejska przepisuje reguły gry. Nowe rozporządzenie o technologiach podwójnego zastosowania to nie tylko aktualizacja biurokratycznych procedur – to manifest geopolityczny.
Czytaj dalej
Artykuł

Jak Europa przekształca kontrolę eksportu technologii w instrument geopolityki

Geopolityka a biznes
Cyberbezpieczeństwo
Zgodność
technologie podwójnego zastosowania, kontrola eksportu UE, Rozporządzenie (UE) 2021/821, cyfrowa broń, prawa człowieka a technologia, geopolityka, cyberinwigilacja, strategiczna autonomia UE, compliance w eksporcie, transfery niematerialne, sankcje technologiczne, oprogramowanie szpiegujące, due diligence w łańcuchu dostaw, eksport sztucznej inteligencji, kontrola eksportu oprogramowania, zarządzanie ryzykiem w handlu międzynarodowym, systemy biometryczne, bezpieczeństwo międzynarodowe, polityka handlowa UE, platforma DUES.
Przemysł zbrojeniowy

Certyfikacja cyberbezpieczeństwa w Polskim Sejmie

Minęło kilka lat od momentu, gdy Europe Cybersecurity Act wszedł w życie, a my w Polsce wciąż czekaliśmy na implementację krajowego systemu certyfikacji. Wczoraj Sejm uchwalił ustawę, która ma to zmienić. Czy rzeczywiście jest to przełom, na który czekał sektor cyberbezpieczeństwa?
Czytaj dalej
Artykuł

Certyfikacja cyberbezpieczeństwa w Polskim Sejmie

Cyberbezpieczeństwo
Zgodność
certyfikacja cyberbezpieczeństwa, krajowy system certyfikacji, cyberbezpieczeństwo Polska, certyfikat cyberbezpieczeństwa, ustawa o certyfikacji cyberbezpieczeństwa, certyfikacja cyberbezpieczeństwa produktów ICT, dobrowolne certyfikaty cyberbezpieczeństwa, europejski system certyfikacji cyberbezpieczeństwa, certyfikacja kompetencji IT cyberbezpieczeństwo, krajowy system certyfikacji cyberbezpieczeństwa Polska, certyfikat cyberbezpieczeństwa UE, standardy cyberbezpieczeństwa dla firm, certyfikacja pracowników IT cyberbezpieczeństwo, Cybersecurity Act, Akt o cyberbezpieczeństwie, ENISA, schemat certyfikacji, poziomy bezpieczeństwa certyfikacji, Common Criteria, ISO 27001, zarządzanie cyberbezpieczeństwem, infrastruktura krytyczna, odporność cyfrowa, Ministerstwo Cyfryzacji, Krzysztof Gawkowski, Paweł Olszewski, Sejm ustawa cyberbezpieczeństwo, Minister Cyfryzacji nadzór certyfikacji, konkurencyjność firm ICT, dostęp do rynku europejskiego, wiarygodność produktów IT, zaufanie klientów cyberbezpieczeństwo, przewaga konkurencyjna certyfikacja, bezpieczeństwo danych firmy, ochrona danych osobowych, odporność na cyberataki, bezpieczeństwo produktów ICT, standardy bezpieczeństwa IT, cyberzagrożenia ochrona, bezpieczeństwo usług cyfrowych, implementacja dyrektywy UE, zgodność z prawem UE cyberbezpieczeństwo, regulacje cyberbezpieczeństwa Polska, transpozycja Cybersecurity Act, compliance cyberbezpieczeństwo, firmy ICT Polska, przedsiębiorstwa technologiczne, specjaliści IT cyberbezpieczeństwo, administratorzy systemów, kierownicy IT, CISO Chief Information Security Officer, konsultanci cyberbezpieczeństwo
Administracja publiczna

Gdy przyszłość została "zhakowana": Pierwszy atak na bezprzewodową łączność, Londyn 1903

Demonstracja nowej technologii Marconiego została sabotowana przez magika i wynalazcę, co oznaczało narodziny ery cyberbezpieczeństwa.
Czytaj dalej
Artykuł

Gdy przyszłość została "zhakowana": Pierwszy atak na bezprzewodową łączność, Londyn 1903

Cyberbezpieczeństwo
Incydenty
historia, radio, atak, bezpieczeństwo komunikacji, telekomunikacja
Usługi ICT
Przejdź do wszystkich wpisów