Jeszcze do niedawna cyberataki były wymierzone głównie w instytucje finansowe, duże korporacje i operatorów telekomunikacyjnych. Tymczasem po wybuchu wojny obserwujemy wzrost liczby ataków na polskie firmy, a jednocześnie coraz częstszym celem stają się jednostki wojskowe oraz instytucje użyteczności publicznej. Na początku bieżącego roku odnotowywano w Polsce około dwóch tysięcy takich incydentów tygodniowo – dla porównania, w Niemczech było ich „jedynie” 1,3 tysiąca. Czy mamy do czynienia z kryzysem, który będzie się pogłębiał?

Katarzyna Chojecka Zgodnie ze sprawozdaniem Pełnomocnika Rządu do spraw Cyberbezpieczeństwa za ubiegły rok, struktura cyberataków w polskim sektorze publicznym opiera się w dużej mierze na atakach APT. Stosunkowo niewiele z incydentów wymierzonych w sektor publiczny to klasyczna cyberprzestępczość nastawiona na zysk, co pewnie można uznać za naszą regionalną specyfikę wynikającą z uwarunkowań gepolitycznych. Świadomość zagrożeń w sektorze publicznym systematycznie rośnie. Ministerstwo Cyfryzacji coraz częściej informuje o atakach i skali problemu. W tym kontekście za bardzo trafną należy uznać propozycję premiera Krzysztofa Gawkowskiego o powołaniu w resorcie pełnomocników odpowiedzialnych za cyberbezpieczeństwo w ramach każdego ministerstwa. To mogłoby poprawić przepływ informacji dotyczących cyberbezpieczeństwa w całym sektorze publicznym, co wciąż pozostaje niemałym wyzwaniem. Myślę jednak, że dużą uwagę powinno skierować się na samorządy – tam sytuacja związana z cyberatakami wydaje się najbardziej krytyczna. Samorządy często dysponują jedynie podstawowym sprzętem i bardzo ograniczonymi zasobami — a bywa, że nie mają ich wcale. Brakuje nie tylko odpowiednich narzędzi technicznych, ale przede wszystkim wykwalifikowanych kadr, które mogłyby reagować na zagrożenia i skutecznie im przeciwdziałać. Podczas jednej z rozmów ze starostą miasta średniej wielkości usłyszałam bardzo znamienne słowa: „Mamy w pobliżu ważny ośrodek szkoleniowy dla funkcjonariuszy publicznych i nasze różne organizacje samorządowe są regularnie atakowane – brakuje nam ludzi i środków, by skutecznie się bronić”. To dobrze obrazuje skalę problemu, z którym mierzy się dziś lokalna administracja.

Paweł Kopańczuk Z naszych obserwacji wynika, że większość cyberataków wymierzonych w instytucje publiczne ma charakter paraliżujący. Nie chodzi tu o uzyskanie okupu czy finansowanie działalności przestępczej, lecz o zakłócenie funkcjonowania kluczowych usług publicznych. Takie incydenty mają duży rezonans społeczny, są łatwo zauważalne i szeroko komentowane. Może to być zatrzymanie komunikacji miejskiej czy w skrajnych przypadkach zakłócenie w działaniu wodociągów. W obliczu takich zagrożeń kluczowe są dwa aspekty. Po pierwsze, jak skutecznie zapobiegać tego rodzaju atakom, zaś po drugie, jak szybko i sprawnie przywrócić funkcjonowanie systemów po incydencie. Dla instytucji publicznych kluczowa jest szybkość reakcji, ale równie istotne jest budowanie odporności na przyszłość, czyli wdrażanie odpowiednich narzędzi i procedur, które pozwolą zminimalizować ryzyko powtórzenia się ataku. Tego nie da się osiągnąć bez odpowiednich zasobów. Owszem, pomysły i inspiracje można pozyskać z zewnątrz, ale skuteczne wdrożenie wymaga kompetencji wewnętrznych, a więc kompetentnych ludzi oraz technologii, które wspierają bezpieczeństwo. Niezbędne są zarówno środki techniczne, jak i finansowe. Te dwa fundamentalne filary powinny kształtować politykę cyberbezpieczeństwa w sektorze publicznym w nadchodzących latach: wiedza i zasoby.

Rafał Chomicz W Polsce funkcjonuje kilka tysięcy jednostek samorządu terytorialnego – od gmin liczących zaledwie półtora tysiąca mieszkańców, po miasta z populacją przekraczającą półtora miliona. Ta ogromna rozpiętość doskonale obrazuje skalę wyzwania: skąd wziąć na przykład 2,5 tysiąca wykwalifikowanych specjalistów ds. cyberbezpieczeństwa na potrzeby każdej gminy? I jak zapewnić środki, by nawet te najmniejsze mogły spełniać podstawowe standardy ochrony? To realny problem – w wielu przypadkach zwyczajnie niemożliwy do rozwiązania przy obecnych zasobach. Tymczasem raporty bezpieczeństwa pokazują jedynie wierzchołek góry lodowej – uwzględniają tylko te incydenty, które zostały wykryte i zgłoszone. Nie mamy zatem pełnego obrazu sytuacji. Dodatkowo, samorządy lokalne w dużej mierze pozostawione są same sobie. Często opierają się na unijnych grantach rzędu kilkudziesięciu tysięcy euro i działają według zasady: „kupcie coś za to i radźcie sobie sami”. Brakuje nie tylko pieniędzy, ale też wiedzy, zasobów ludzkich i jasno określonych standardów działania. W praktyce, informatyk zatrudniony w urzędzie to zazwyczaj „człowiek od wszystkiego”: odpowiada za sieć, zakup sprzętu, wdrożenia, serwis i bezpieczeństwo. Jednak nawet najbardziej kompetentna osoba nie zbuduje skutecznego i odpornego systemu w pojedynkę. Dlatego tak istotne jest, aby na poziomie centralnym wprowadzić jednolite standardy dla podstawowych usług, systemów i procedur. Bez tego powstanie 2,5 tysiąca różnych, niespójnych rozwiązań, których nikt tak naprawdę nie zna, nie kontroluje i nie jest w stanie skutecznie wspierać. Wyobraźmy sobie flotę kilku tysięcy samochodów – każdy inny, wymagający innych części, serwisów i kierowców. To nie system, to chaos. I niestety, bardzo trafnie oddaje on obecny stan infrastruktury IT wielu samorządów. Rozwiązanie? Standaryzacja, centralne rekomendacje oraz ujednolicone platformy i procedury.

Jerzy Trzepla Padły tu bardzo ważne słowa: potrzebne są pieniądze. Jednak równie istotne jest to, że mówimy nie tylko o samorządach. Często skupiamy się na liczbie gmin, ale trzeba pamiętać, że sektor publiczny to znacznie szersza struktura – obejmująca także setki przedsiębiorstw i instytucji, od spółek komunalnych po operatorów infrastruktury krytycznej. Jednym z najpoważniejszych wyzwań – obok chronicznego niedofinansowania – jest dramatyczny brak wykwalifikowanej kadry. I tej luki nie da się szybko uzupełnić. Nawet największe inwestycje, choć mogą poprawić infrastrukturę techniczną, nie zastąpią dobrze przygotowanych ludzi. Bez nich zaś nie zbudujemy realnej odporności. Środki unijne nie rozwiążą problemu, jeśli nie będą wsparte równoległą inwestycją w edukację – kształcenie operatorów, analityków, administratorów i specjalistów do spraw cyberbezpieczeństwa. W tej sytuacji kluczowe staje się wprowadzenie spójnych standardów działania. To jednak nadal nie wystarczy. Potrzebujemy centralnego koordynatora – instytucji, która weźmie odpowiedzialność za integrację działań w skali całego sektora publicznego. Może to być Ministerstwo Cyfryzacji, ale równie dobrze zupełnie nowa jednostka, pełniąca rolę łącznika między samorządami, administracją centralną i podmiotami infrastruktury krytycznej. Dlaczego to takie ważne? Ponieważ bez koordynacji wymiana informacji między tysiącami podmiotów staje się niemożliwa – a skuteczna reakcja na incydent wymaga wiedzy, szybkiej komunikacji i wspólnego działania. Na szczęście coraz częściej obserwujemy pozytywne zmiany: większe podmioty – takie jak związki metropolitalne czy szpitale – zaczynają konsolidować działania w obszarze cyberbezpieczeństwa, obejmując ochroną nie tylko siebie, ale również jednostki im podległe. To krok we właściwym kierunku, który może przynieść realne efekty – zwłaszcza tam, gdzie istnieje już świadomość zagrożeń, dostęp do specjalistów i gotowość do współpracy. Jednak mimo tych inicjatyw większość działań wciąż ma charakter reaktywny. Reagujemy na incydenty, zamiast im zapobiegać. Gdybyśmy przyjęli podejście proaktywne, moglibyśmy mówić o rzeczywistym wzmocnieniu odporności systemu publicznego. Dobrym przykładem są projekty pilotażowe realizowane na Śląsku, dowodzące, że skuteczne działanie jest możliwe, ale wymaga odpowiedniej skali i systemowego wsparcia. Wciąż jednak napotykamy poważne bariery: nieprecyzyjne przepisy, które nie nadążają za rzeczywistością technologiczną i organizacyjną. Kompetencje są rozproszone, a odpowiedzialność niejasna. Efekt? Chaos. Jedno wydaje się jednak pewne: bez centralnej wizji, standaryzacji i jasno określonego podziału odpowiedzialności sektor publiczny będzie dryfował w stronę tysięcy niespójnych, wzajemnie niekompatybilnych rozwiązań. A na to – w obliczu coraz częstszych ataków paraliżujących kluczowe usługi publiczne – nie możemy sobie pozwolić.