Bieżący rok rozpoczął się bardzo źle dla sektora publicznego w Polsce. Jak wynika z danych firmy CheckPoint, instytucje publiczne notują ponad 3,2 tysiąca ataków w skali tygodnia. To znaczny skok, biorąc pod uwagę, że kilka miesięcy temu było ich 2,5 tysiąca, a średnia światowa wynosi 2,7 tysięcy. Czy zauważacie tę niepokojącą tendencję?

Maciej Siciarek Liczba incydentów oraz zgłoszeń systematycznie rośnie. W bieżącym roku utrzymuje się trend z roku ubiegłego – za styczeń i luty odnotowano już ogółem 100 tysięcy zgłoszeń. Dla porównania: w 2025 roku zamknęliśmy rok wynikiem blisko 660 tysięcy, natomiast obecna liczba zgłoszeń za pierwsze dwa miesiące odpowiada poziomowi całego roku 2021. Oznacza to sześciokrotny wzrost liczby zgłoszeń w ciągu ostatnich pięciu lat. Podobna dynamika dotyczy samych incydentów. Za styczeń i luty bieżącego roku zbliżamy się do 40 tysięcy zarejestrowanych incydentów, co odpowiada poziomowi całego roku 2022. Należy podkreślić, że przytaczane dane są wiarygodne, choć siłą rzeczy niepełne, bo część ataków nie zostaje zgłoszona, część kończy się niepowodzeniem, a inne nie spełniają kryteriów kwalifikujących je jako incydent. Przy czym wzrost liczby zgłoszeń i incydentów bywa bagatelizowany ze względu na fakt, że ich zdecydowana większość dotyczy prób phishingowych. Tymczasem phishing stanowi zazwyczaj pierwszy etap ataku, a poważniejsze incydenty, takie jak ransomware, wycieki danych czy przejęcie infrastruktury, w znacznej mierze są jego bezpośrednią konsekwencją. Równocześnie rośnie liczba precyzyjnie ukierunkowanych kampanii phishingowych, wymierzonych zarówno w sektor publiczny, jak i biznesowy. Stają się one głównym wektorem wejścia prowadzącym do przejęcia infrastruktury, uprawnień i dalszych konsekwencji wpływających na ciągłość działania usług.

Grzegorz Szałański Wydaje mi się, że nie powinniśmy pomijać kwestii tego, że posiadamy dane zarówno o zdarzeniach, zgłoszeniach, jak i incydentach. Przez ostatnie kilka lat edukujemy społeczeństwo, firmy publiczne i właściwie każdego użytkownika internetu. Jeśli wpiszemy w wyszukiwarkę „incydent phishingowy”, znajdziemy strony edukacyjne portali finansowych, telekomunikacyjnych, szkolnych czy samorządowych – właściwie każda branża szkoli swoich uczestników sieci, co się przekłada na wzrost liczby zgłoszeń. Dobrym przykładem jest świetna usługa dostarczana przez CERT w postaci listy domen wykorzystywanych do phishingu. Mam zapisany w telefonie numer 8080 i od kilku lat korzystam z niego, aby zgłaszać każdy phishing. W pewnym stopniu zatem przysłużyłem się do wzrostu liczby zgłoszeń.

Natomiast wracając do danych raportowych — w mojej ocenie nie oddają one pełnego obrazu rzeczywistości, choć mogą stanowić istotny punkt odniesienia. Kluczowe jest jednak, aby koncentrować się na liczbie poważnych i faktycznie skutecznych incydentów oraz analizować ich przebieg. Z drugiej strony rzetelne dziennikarstwo pozwala zauważyć, choćby anegdotycznie, że w ciągu ostatnich siedmiu lat tylko jedna gmina zrealizowała przelew na konto podmienione w systemie dziedzinowym. Biorąc pod uwagę liczbę gmin i jednostek samorządowych, które mogłyby stać się celem podobnego ataku – co z pewnością nie umknęłoby uwadze mediów – można odnieść wrażenie, że rzeczywistość jest mniej surowa, niż sugerują suche dane z raportów.

Maciej Siciarek I to jest właśnie podstawowa rzecz, o której warto opowiedzieć. Część ataków wiąże się z przełamaniem zabezpieczeń i długotrwałą obecnością atakującego w infrastrukturze ofiary. Celem takich działań jest zazwyczaj pozyskanie informacji o znaczeniu strategicznym lub danych, które można spieniężyć. O tego rodzaju incydentach dowiadujemy się bardzo późno, nierzadko po miesiącach, a bywa, że i po latach od momentu, gdy intruz uzyskał dostęp do systemu. To zagrożenie w dużej mierze wymyka się statystykom, a jednocześnie jest bezpośrednio powiązane z jakością zarządzania infrastrukturą. Dobrą wiadomością jest to, że przybywa narzędzi pozwalających skuteczniej zapobiegać atakom. W sektorze publicznym realizowane są liczne programy inwestycyjne: „Cyberbezpieczny Samorząd”, „Cyberbezpieczny Rząd”, „Cyberbezpieczne Wodociągi”, które stanowią realny krok w dobrym kierunku. Jednak inwestycje w sprzęt i oprogramowanie to dopiero połowa sukcesu. W długofalowej perspektywie muszą iść w parze ze wzrostem kompetencji kadry specjalistycznej. Infrastruktura bez aktualizacji oprogramowania i poprawnej, zgodnej ze sztuką konfiguracji może działać wprost przeciwko swoim użytkownikom. Wielokrotnie spotykamy się z sytuacją, w której organizacja dysponuje nowoczesnym środowiskiem IT, lecz jest ono źle skonfigurowane, bez właściwej segmentacji sieci i z nieodpowiednio przydzielonymi uprawnieniami administratorów. Efekt? Nawet zaawansowana infrastruktura staje się łatwym celem ataku.

Piotr Litwiniuk Tak, obserwujemy wyraźny i niepokojący wzrost liczby cyberataków na sektor publiczny w Polsce. To nie jest chwilowe zjawisko, lecz efekt rosnących napięć geopolitycznych, większej cyfryzacji oraz aktywności zaawansowanych grup atakujących. Co istotne, rośnie nie tylko liczba incydentów, ale też ich złożoność i ukierunkowanie, co zwiększa ryzyko realnych zakłóceń w funkcjonowaniu państwa. Najskuteczniejszym sposobem ochrony przed phishingiem nie jest zgłaszanie incydentów – prawdziwą przewagę daje monitorowanie domen i blokowanie ich jeszcze przed pierwszym zapytaniem ze strony użytkownika. Nie istnieje dziś urządzenie sieciowe, które byłoby w stanie zablokować wszystkie domeny nowo powstałe w ramach kampanii phishingowych. Można jednak przyjąć skuteczną politykę proceduralną: wszystkie domeny zarejestrowane w ciągu ostatnich siedmiu dni, do których odnotowano pierwsze zapytanie gdziekolwiek w internecie, zostają automatycznie zablokowane. Aktualnie w internecie zidentyfikowanych jest ponad 21 milionów domen sklasyfikowanych jako phishingowe. Ich skuteczna blokada oznacza, że infrastruktura organizacji nie staje się celem pierwszego etapu ataku. Hakerzy działają pragmatycznie: definiują kilka organizacji, do których chcą się włamać, i sprawdzają, która jest podatna. Jeśli pierwsza linia obrony działa poprawnie, napastnicy przechodzą do następnego celu. Zmienia się też charakter działania napastników. Jeszcze dekadę temu ataki typu APT były tematem prezentacji i konferencji, ale rzadko dotykały rzeczywistych klientów. Dziś skala problemu jest nieporównywalna z tym, co obserwowaliśmy kilka lat temu. Tymczasem nie ma jednego, ogólnego poziomu ochrony instytucji publicznych. Duże ministerstwa i agencje dysponują funduszami i doświadczoną kadrą. Jednak gdy mówimy o cyberbezpieczeństwie wodociągów, oczyszczalni ścieków czy małych gmin, obraz jest zupełnie inny. Beneficjenci programów dofinansowań szybko zderzają się z bolesną rzeczywistością finansową: podatek VAT muszą pokryć z własnych środków. Dla małej gminy czy lokalnego przedsiębiorstwa wodociągowego to poważne obciążenie. Ponadto pojawia się głębszy problem: co po zakończeniu okresu finansowania? Technologia to subskrypcja, którą trzeba odnawiać.

Grzegorz Szałański Wśród naszych partnerów panuje przekonanie, że na rynku wciąż brakuje przestrzeni dla wyspecjalizowanych usług, głównie z powodu ograniczonego doświadczenia w ich precyzyjnym definiowaniu, zarówno wśród liderów obszaru technologicznego, jak i działów zamówień publicznych. Zjawisko to widoczne jest również w programach centralnych. Przykładowo, pierwsza edycja programu „Bezpieczny Szpital” została skonstruowana w taki sposób, że nie przewidywała możliwości uwzględnienia usług zewnętrznych w dofinansowaniu.

W efekcie informatyk szpitalny mógł zakupić nawet bardzo złożone rozwiązanie, zakładając, że samodzielnie nauczy się jego wdrożenia i utrzymania, a następnie – po trzech latach – znajdzie środki na subskrypcję. Przez długi czas programy wspierane centralnie po prostu nie uwzględniały roli usług zewnętrznych w całym procesie.

Uczestniczyłem w spotkaniu ISSA Polska, podczas którego audytorzy przytoczyli przykład szpitala, w którym przetarg na audyt bezpieczeństwa wygrała oferta opiewająca na 400 złotych. Sala zareagowała śmiechem i trudno się temu dziwić. Zwróciłem jednak uwagę na inny aspekt tej sytuacji: dla tej konkretnej instytucji wypełnienie rozbudowanej ankiety mogło być pierwszym w historii zetknięciem się z czymkolwiek przypominającym audyt bezpieczeństwa.

Jeżeli wnioski z takiej ankiety realnie wpłyną na decyzje procesowe lub zakupowe, mogą mimo wszystko poprawić ogólny poziom bezpieczeństwa w danej jednostce.

Z jednej strony oczekiwalibyśmy profesjonalnych, kompleksowych audytów w każdej instytucji, z drugiej warto zapytać, czy każda z nich jest gotowa zmierzyć się z wynikami takiego badania, i to w sposób ciągły, a nie jednorazowy. Wciąż spotykamy podmioty, których polityka bezpieczeństwa nigdy nie została poddana jakiejkolwiek zewnętrznej weryfikacji. Skoro więc nie mamy rzetelnej diagnozy, to czy naprawdę wiemy, co należy naprawić?

Małgorzata Michniewicz  Profesjonalny audyt jest przede wszystkim narzędziem zarządczym. Jego celem jest dostarczyć osobom decyzyjnym rzetelne informacje o tym, co jest spełnione, jakie jest ryzyko, co należy zrobić, jak naprawić istniejącą sytuację i jakie konkretne działania organizacja powinna podjąć. Efektem audytu jest harmonogram spełnienia wymagań, zestaw kroków milowych określających, co organizacja powinna osiągnąć, aby uzyskać jak najwyższy poziom odporności. Nie chodzi wyłącznie o zgodność z przepisami. Kluczowym pojęciem jest dziś odporność cyfrowa. W sektorze finansowym obowiązuje już od kilku miesięcy rozporządzenie DORA oraz dyrektywa NIS 2, w których szczególny nacisk kładzie się właśnie na budowanie odporności organizacji na incydenty cybernetyczne. Z mojego doświadczenia wynika, że wszystko zaczyna się od decyzji zarządu. Dziś mamy już konkretne ramy prawne: podpisana ustawa o Krajowym Systemie Cyberbezpieczeństwa realnie mobilizuje zarządy i kierownictwo jednostek publicznych do rozmów, planowania działań wzmacniających bezpieczeństwo oraz rozwijania kultury cyberhigieny.