Gazeta Prawna
Zatrudnianie

Alarm dla rekruterów: obce służby infiltrują organizacje przez fałszywych pracowników. Jest ostrzeżenie Ministerstwa Cyfryzacji wraz z instrukcją postępowania

ataki socjotechniczne, grupy APT, rekrutacja pracowników, cyberbezpieczeństwo, weryfikacja kandydatów, HR, rekomendacja, infiltracja, KSC
Alarm dla rekruterów: obce służby infiltrują organizacje przez fałszywych pracowników. Jest ostrzeżenie Ministerstwa Cyfryzacji wraz z instrukcją postępowaniaShutterstock
T. Piwowarski
Tomasz Piwowarski
dzisiaj, 19:25

Brzmi jak scenariusz thrillera, ale to nie żart: obce służby naprawdę infiltrują polskie firmy, podszywając się pod kandydatów do pracy. Pełnomocnik Rządu ds. Cyberbezpieczeństwa wydał pilną rekomendację dla działów HR - nie tylko dla sektora publicznego. Takie czasy, że teraz już każdy rekruter powinien rozpoznać szpiega i wiedzieć, na co uważać w rekrutacji online. Stawka to bezpieczeństwo.

Skrót artykułu

Oficjalne rządowe ostrzeżenie: wrogie państwa atakują przez działy HR i rekrutacje pracowników

Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa Krzysztof Gawkowski wydał 28 kwietnia 2026 r. pilną rekomendację dla wszystkich podmiotów Krajowego Systemu Cyberbezpieczeństwa. Dokument ostrzega przed nowym typem zagrożenia: zaawansowane grupy hakerskie próbują infiltrować polskie organizacje, podszywając się pod zwykłych kandydatów do pracy.

To nie science fiction, ale rzeczywistość. Firmy i instytucje publiczne stały się celem wyrafinowanych ataków socjotechnicznych, za którymi stoją służby wrogich państw. Docelową grupą narażoną na atak są podmioty z KSC, ale również inne przedsiębiorstwa nie mogą czuć się bezpiecznie.

Grupy APT w roli fałszywych kandydatów do pracy – nowa strategia cyberprzestępców na infiltrację

Grupy APT (Advanced Persistent Threat) to zaawansowane zespoły hakerskie, specjalizujące się w długofalowych cyberatakach, często powiązane ze służbami specjalnymi obcych państw. Dotychczas działały głównie przez phishing czy exploity – teraz zmieniły taktykę.

Jak wskazuje rekomendacja rządowa, grupy te zaczęły "na szerszą skalę stosować metody związane z próbą przeniknięcia do podmiotu osoby rekrutującej się jako pracownik". W praktyce oznacza to, że na rozmowę kwalifikacyjną może zgłosić się profesjonalny szpieg, którego celem jest dostęp do systemów IT i kradzież wrażliwych danych. Przeniknięcie takiej osoby do struktur organizacji "wiąże się ze szczególnym zagrożeniem dla bezpieczeństwa państwa oraz samego zaatakowanego podmiotu" – ostrzega dokument.

Rozmowa kwalifikacyjna to teraz pole bitwy w wojnie hybrydowej – na co zwracać uwagę?

Pełnomocnik wydał szczegółowe zalecenia dla działów HR. Pierwsza linia obrony to proces rekrutacyjny. Rekomendacja wskazuje konkretne czerwone flagi i sposoby zapobiegania. Jak to zrobić?

  1. Prowadzić rozmowy wyłącznie z włączoną kamerą. Rekruterzy muszą zwracać uwagę na nienaturalne pauzy, opóźnienia i nagłe wyciszenia mikrofonu w momentach, gdy kandydat powinien odpowiadać. To może oznaczać, że osoba po drugiej stronie ekranu korzysta z promptera lub otrzymuje instrukcje od kogoś z zewnątrz.
  2. Weryfikować historię zatrudnienia bezpośrednio u poprzednich pracodawców – nie wystarczy CV ani profil LinkedIn, które mogą być sfałszowane lub przejęte.
  3. Przy rolach o podwyższonym ryzyku, takich jak administratorzy IT, analitycy bezpieczeństwa czy programiści z dostępem do wrażliwych systemów, zaleca się weryfikację tożsamości na żywo – osobiście lub z wykorzystaniem zaawansowanych metod biometrycznych.

Pierwsze tygodnie pracy nowej osoby – to dosłownie okres próbny dla obu stron. Jak sprawdzić, czy to atak socjotechniczny (tzw. APT)?

Nawet jeśli kandydat przeszedł rekrutację, czujność nie może osłabnąć. Rekomendacja wskazuje na kluczowy okres: pierwsze tygodnie pracy. Co zwłaszcza wtedy robić i na co zwrócić szczególną uwagę? Poradnik zaleca, aby:

  1. Poprosić nowego pracownika o odczytanie numeru seryjnego urządzenia, z którego korzysta – to prosty sposób na potwierdzenie, że faktycznie ma fizyczny dostęp do sprzętu, a nie pracuje zdalnie z ukrytej lokalizacji.
  2. Monitorować aktywność pod kątem nietypowych godzin pracy. Jeśli pracownik loguje się w nocy lub w weekendy, to sygnał ostrzegawczy.
  3. Kluczowa zasada: nadawać uprawnienia stopniowo (least privilege) i uważnie obserwować próby eskalacji uprawnień. Nowy pracownik nie powinien od razu mieć dostępu do wszystkich systemów.

Fałszywe spotkania wideo – nowa broń szpiegów. Naprawdę trzeba zadbać o cyberbezpieczeństwo

Ataki nie ograniczają się do rekrutacji. Grupy APT wykorzystują również spotkania wideo do infekowania systemów. Trzeba uważać na spotkaniach online. Na co?

  1. Weryfikować domeny linków do spotkań. Prawidłowe adresy do najpopularniejszych komunikatorów to zoom.us i teams.microsoft.com. Każda inna domena – np. teamslivc[.]com, ms-meet[.]xyz, micrusoft[.]us – to sygnał alarmowy.
  2. Jeśli podczas spotkania wystąpią "problemy z dźwiękiem", a rozmówca proponuje "aktualizację" wymagającą pobrania pliku lub wklejenia komendy w terminalu – natychmiast przerwać połączenie. To klasyczna pułapka.
  3. Atakujący mogą kontaktować się z przejętych kont osób, które ofiara zna. Sam fakt, że wiadomość pochodzi od znajomego, nie gwarantuje bezpieczeństwa.

Konferencje branżowe jako pole rekrutacji dla APT - to wcale nie film szpiegowski, ale nowa rzeczywistość

Rekomendacja ostrzega również przed zagrożeniami podczas konferencji i eventów branżowych:

  1. Kontakty nawiązane osobiście nie są automatycznie wiarygodne. Należy weryfikować firmy i osoby proponujące współpracę techniczną lub integrację z systemami.
  2. Nie otwierać projektów z nieznanych repozytoriów, nie instalować aplikacji dystrybuowanych poza oficjalnymi kanałami, nawet jeśli prosi o to "partner biznesowy" poznany na prestiżowej konferencji.
  3. Atakujący budują wiarygodność przez formalne procedury – dokonują wpłat, przechodzą onboarding, by uśpić czujność. Dlatego trzeba stosować zasadę minimalnych uprawnień również wobec kontrahentów.

Programiści i badacze bezpieczeństwa są szczególnie w grupie ryzyka

Dokument rządowy zwraca uwagę na szczególnie narażoną grupę: pracowników technicznych, programistów, analityków bezpieczeństwa i badaczy.

  1. Oferty pracy mogą być generowane przez AI na podstawie ich publikacji i aktywności online – to spersonalizowane kampanie rekrutacyjne, które są w rzeczywistości pułapkami.
  2. Traktować z ostrożnością niezamówione oferty, jeśli pochodzą z darmowych skrzynek email, odwołują się do firm niemożliwych do zweryfikowania lub kierują na strony zarejestrowane w ostatnich dniach.
  3. Przy analizie nieznanych projektów i narzędzi od osób spoza organizacji stosować izolowane środowiska – nigdy nie uruchamiać nieznanego kodu na produkcyjnych systemach.

Co zrobić po wykryciu infiltracji – procedura alarmowa według Ministerstwa Cyfryzacji

W przypadku podejrzenia incydentu rekomendacja nakazuje błyskawiczną reakcję:

  1. Niezwłocznie zablokować konto i dostęp do wszystkich systemów.
  2. Przeprowadzić szczegółową analizę: historia logowań, używane narzędzia, ostatnie działania na repozytoriach i w systemach.
  3. Skontaktować się z właściwym CSIRT – CISRT NASK, CSIRT GOV, CSIRT MON lub sektorowym zespołem reagowania na incydenty – aby skonsultować sytuację i zlecić profesjonalną analizę.

Współpraca międzyinstytucjonalna w odpowiedzi na nowe zagrożenie

Rekomendacja powstała we współpracy Ministerstwa Cyfryzacji, CSIRT KNF oraz CSIRT NASK. Jak podaje rekomendacja, szersze informacje dostępne są w raporcie CSIRT KNF pt. "Socjotechnika grup APT w procesach rekrutacyjnych i relacjach biznesowych".

Rekomendacja ma podstawę prawną, więc sprawa jest poważna - nie jest to tylko kolejny prasowy komunikat. Wydana została na podstawie art. 67a ustawy o krajowym systemie cyberbezpieczeństwa i jest skierowany do wszystkich podmiotów KSC, ale jej zalecenia powinny wdrożyć również firmy prywatne – zwłaszcza te zatrudniające specjalistów IT i przetwarzające wrażliwe dane.

W dobie hybrydowej pracy i zdalnych rekrutacji działy HR stały się nieoczekiwaną linią frontu w wojnie cybernetycznej. Czujność rekruterów może zdecydować o bezpieczeństwie całej organizacji.

Źródło: Ministerstwo Cyfryzacji

Autopromocja
381453mega.png
381455mega.png
381148mega.png
Źródło: gazetaprawna.pl

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.

Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.

cyberbezpieczeństwoKSChrrekomendacjarekrutacja pracownikówInfiltracjaweryfikacja kandydatówataki socjotechnicznegrupy APT

Powiązane

nieruchomości dom prawo
PodatkiSąd Najwyższy rozstrzyga dylemat prawny: kiedy wykreślić hipotekę z księgi wieczystej wnioskiem wieczystoksięgowym, a kiedy wytaczać powództwo o uzgodnienie?
świadczenia rodzinne, cudzoziemiec, obywatelstwo, NSA, postanowienie, status pobytowy, zasiłek, dzieci
ŚwiadczeniaCudzoziemiec bez prawa pobytu dostanie świadczenia rodzinne. NSA: liczy się tylko dziecko
niemiecka policja
ŚwiatTragedia w Lipsku. Samochód wjechał w tłum, są ofiary śmiertelne