- Twój koszyk jest pusty Przeglądaj sklep
Przeciętna firma dowiaduje się o wycieku danych po 207 dniach od jego wystąpienia — wynika z raportu IBM Cost of a Data Breach 2024. W tym czasie skradzione dane krążą na dark web marketplace’ach, są sprzedawane, powielane i wykorzystywane do kolejnych ataków. Monitoring dark web to jedyne narzędzie, które pozwala skrócić ten czas do godzin, nie miesięcy.
Co to jest dark web i dlaczego firmy powinny go monitorować?
Dark web to fragment internetu dostępny tylko przez sieć Tor lub I2P — szacowany na ok. 5% całego internetu. Obok legalnych zastosowan (prywatność, dziennikarstwo, aktywizm) znajdują się tam marketplace’y ze skradzionymi danymi, fora hakerskie z ofertami RaaS (Ransomware as a Service) i serwisy z wyciekami baz danych.
Typowa ścieżka skradzionych danych firmowych:
- Atak — ransomware, phishing, insider threat lub eksploitacja podatności
- Ekstrakcja — dane kopiowane i wyprowadzane z sieci firmowej (0–24h)
- Ogłoszenie — dane na forach hakerskich lub marketplace (0–72h po ataku)
- Sprzedaż — kupują hakerzy, konkurenci, wywiad obcy
- Eksploatacja — dane używane do ataków, wymuszeń, kradzieży tożsamości
Bez monitoringu firma wchodzi w ten łańcuch dopiero na etapie eksploatacji — czyli za późno.
Co monitorować? Lista priorytetów dla firm
| Co monitorować | Dlaczego to krytyczne | Przykład zagrożenia |
|---|---|---|
| Domeny e-mail (@firma.pl) | Wycieki loginów pracowników | jan.kowalski@firma.pl:haslo123 na BreachForums |
| Nazwy marki i produktu | Podrobione sklepy, phishing | Fałszywa domena firma-sklep.pl |
| Zakresy IP i domeny | Sprzedaż dostępu RDP/VPN | Access to corporate network 500 users $500 |
| Dane kart płatniczych | Kradzież, odpowiedzialność regulacyjna | Dump kart z e-sklepu na carding forum |
| Nazwy kluczowych pracowników | Targeted phishing i BEC | Fake invoice od CEO do księgowej |
| Słowa kluczowe projektów | Szpiegostwo gospodarcze | Dokumenty przetargowe wycieknięte przed rozstrzygnięciem |
Narzędzia do monitoringu dark web
Darmowe i niskokosztowe
- HaveIBeenPwned.com — historyczne wycieki e-maili, brak real-time
- DeHashed — płatna baza wycieków, wyszukiwanie po domenie
- IntelligenceX — archiwum dark web, Tor, I2P, wycieki dokumentów
- Google Alerts — tylko surface web, nie dark web
Komercyjne platformy CTI
- Recorded Future — enterprise CTI z monitoringiem dark web i Telegram
- CrowdStrike Falcon Intelligence — integracja z EDR, alerty o aktywnych aktorach
- Flashpoint — specjalizacja w forach hakerskich i closed source
- Kela — silny w rynku europejskim, monitoring w językach wschodnioeuropejskich
Podejście OSINT — jak działa OSINTownia
Profesjonalny monitoring OSINT łączy dostęp do zamkniętych środowisk (aktywna obecność na forach), automatyczne monitorowanie keywordów i ręczną weryfikację analityka. Platforma widzi „co” — analityk rozumie „dlaczego” i co z tym zrobić. To najwyższy poziom jakości sygnału.
Jak wygląda profesjonalny alert z dark webu?
Dobry alert zawiera pełny kontekst działania:
- Źródło: nazwa forum/marketplace, link Tor, data publikacji
- Zawartość: co dokładnie znaleziono (loginy, dane kart, dokumenty)
- Ocena wiarygodności: czy sprzedawca jest zaufany na forum, czy to realna sprzedaż czy scam
- Poziom ryzyka: krytyczny / wysoki / średnio / niski
- Dowód cyfrowy: screenshot z metadanymi i hash SHA-256 (Berkeley Protocol)
- Incydent response checklist: konkretne kroki do podjęcia
Dark web monitoring a NIS2 / KSC
Dyrektywa NIS2, implementowana w Polsce przez znowelizowaną Ustawę o Krajowym Systemie Cyberbezpieczeństwa (KSC), wymaga od podmiotów kluczowych i ważnych: monitorowania zagrożeń w czasie rzeczywistym, raportowania incydentów do CSIRT w terminie 24h/72h oraz prowadzenia analizy ryzyka obejmującej łańcuch dostaw. Dark web monitoring nie jest wprost wymieniony w NIS2, ale wpisuje się w wymogi wczesnego ostrzegania. Firmy, które go wdrożą, mają realną przewagę przy audytach zgodności.
Dla kogo jest dark web monitoring?
- Firmy finansowe i ubezpieczeniowe — duże ilości danych klientów
- Operatorzy infrastruktury krytycznej — obowiązek z NIS2/KSC
- Firmy e-commerce — dane kart i bazy klientów
- Kancelarie prawne i notarialne — poufność danych klientów
- Firmy po incydencie — weryfikacja zakresu wycieku
- Firmy z wrażliwymi danymi R&D — ochrona przed szpiegostwem gospodarczym
FAQ
Czy monitoring dark web jest legalny w Polsce?
Tak. Monitorowanie otwartych źródeł w sieci Tor jest legalne. Nie polega na włamywaniu się do systemów ani zakupie skradzionych danych — lecz na obserwacji tego, co jest publicznie dostępne w zamkniętym ekosystemie.
Co różni monitoring dark web od standardowego monitoringu mediow?
Monitoring mediow śledzi wzmianki w open web (Twitter, portale, fora). Dark web monitoring obejmuje zamknięte fora hakerskie, marketplace’y z danymi, kanały Telegram i serwisy wycieków niedostępne przez normalną przeglądarkę.
Jak szybko firma dostaje alert po wykryciu wycieku?
W OSINTowni standardowo w ciągu 1–4 godzin od wykrycia. W pakiecie premium w ciągu 30 minut z telefonicznym kontaktem analityka.
Co robić gdy OSINTownia wykryje nasze dane?
Alert zawiera konkretny incydent response checklist: zmiana haseł, revoke tokenów, powiadomienie UODO i klientów. Wspieramy również przy przygotowaniu raportu incydentowego dla CSIRT.
Czy usługa obejmuje Telegram i zamknięte fora?
Tak. Monitorujemy kanały Telegram, międzynarodowe fora hakerskie i zamknięte serwisy wymiany danych do których mamy dostęp wywiadowczy.
Usługa OSINTowni: Dark Web Monitoring | Brand Protection | Executive Protection
Czytaj też: Jak usunąć dane z internetu? | NCII Removal