- Ile pieniędzy Polska przeznacza na cyberbezpieczeństwo i jak te inwestycje przekładają się na realną odporność państwa?
- W jaki sposób nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wzmacnia koordynację służb i ochronę kluczowych usług?
- Jakie rodzaje cyberataków – od phishingu po ataki na łańcuch dostaw – są wykorzystywane wobec Polski i jak bardzo są one skuteczne?
Skala zagrożenia wymusiła rekordowe inwestycje w cyberbezpieczeństwo
Polska, będąc kluczowym hubem wsparcia dla Ukrainy, znajduje się, na rosyjskim celowniku, wśród najbardziej narażonych państw.
– Polska jest jednym z najbardziej atakowanych państw na świecie, a w Europie – zdecydowanie najbardziej. To cyfrowa wojna. Odpieramy ponad 99 proc. ataków, ale nawet ten mniej niż 1 proc. udanych prób to dziesiątki realnych zagrożeń – zaznacza, w rozmowie z agencją Newseria, wicepremier, minister cyfryzacji Krzysztof Gawkowski.
Skala zagrożenia wymusiła rekordowe inwestycje w cyberbezpieczeństwo. W 2025 r. Polska przeznacza na nie ponad 4 mld zł, z czego 3,1 mld zł trafi na sferę cywilną – to największy taki pakiet w historii. W tym budżecie przewidziano:
• 90 mln zł dotacji celowych,
• prawie 40 mln zł na krajowy CSIRT NASK-PIB,
• 355 mln zł z Funduszu Cyberbezpieczeństwa oraz
• ok. 860 mln zł z KPO.
Dodatkowo 1,8 mld zł pochodzi z programu Fundusze Europejskie na Rozwój Cyfrowy, m.in. na Cyberbezpieczny Samorząd i Centrum Cyberbezpieczeństwa NASK. Skuteczność polskich działań potwierdzają międzynarodowe rankingi: szóste miejsce na świecie w Cyber Defense Index 2022/23 „MIT Technology Review” oraz czwarte w National Cyber Security Index.
Pieniądze jednak nie załatwią wszystkiego. Żeby ta infrastruktura miała sens, państwo musi działać według klarownych, nowoczesnych i egzekwowalnych przepisów. Dlatego kluczowym elementem obecnej strategii jest nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa. Prace nad nią trwały siedem lat, dwa rządy PiS-u nie potrafiły jej sfinalizować, a obecny gabinet zamknął temat w niespełna dwa lata.
– Cyberbezpieczeństwo to dziś jeden z najważniejszych elementów odporności państwa. Krajowy system cyberbezpieczeństwa ma poprawić koordynację, przyspieszyć reakcje i zapewnić, że podstawowe usługi – woda, energia, kanalizacja – nie zostaną nam odebrane – podkreśla Gawkowski.
Projekt ustawy wdraża wymagania dyrektywy NIS2 i porządkuje cały system reagowania. Wprowadza jednolite zasady zgłaszania incydentów, obowiązek stałego szacowania ryzyka oraz wzmocnienie roli krajowych i sektorowych zespołów CSIRT.
Podmioty objęte systemem będą musiały raportować incydenty szybciej niż dotąd – dostawcy usług cyfrowych maksymalnie w 24 godziny. Ustawa wprowadza też mechanizm wskazywania dostawców sprzętu i oprogramowania wysokiego ryzyka, co ma chronić kluczowe systemy państwa przed wpływem zewnętrznym.
Nowelizacja rozszerzy również zakres Strategii Cyberbezpieczeństwa RP na wszystkie sektory z podmiotami kluczowymi i ważnymi według NIS2. Powstanie także Krajowy Plan Reagowania na Incydenty i Sytuacje Kryzysowe w Cyberprzestrzeni (KPRI) na dużą skalę – narzędzie niezbędne, by realnie chronić krajową infrastrukturę.
W ten sposób państwo buduje nie tylko zaplecze finansowe, ale i prawne – a bez dobrego prawa, nawet największe środki nie przełożą się na trwałą odporność cyfrową.
Od początku wojny na Ukrainie doświadczamy cyberataków z kierunku rosyjskiego
Za iloma z tych kilkuset tysięcy cyberataków stoi Rosja? Oficjalnie nie ma wielu otwarcie potwierdzonych spektakularnych cyberataków na Polskę, które jednoznacznie zostały przypisane Rosji. Rząd i instytucje odpowiedzialne za cyberbezpieczeństwo generalnie podkreślają, że takie ataki są elementem wojny hybrydowej prowadzonej przez Rosję.
Od początku wojny Polska doświadcza cyberataków, które z prawdopodobieństwem graniczącym z pewnością można przypisywać Rosji. Pod koniec grudnia 2022 r. rząd poinformował, że pro-rosyjska grupa NoName057(16) przeprowadzała ataki wymierzone m.in. w strony państwowe (w tym sejm.gov.pl) oraz inne instytucje. Grupa deklarowała cele na Telegramie. Najbardziej spektakularnym był atak (31 maja 2024 r.) na serwis PAP. Atakujący dwukrotnie zamieścili fałszywą depeszę o mobilizacji 200 tys. osób.
W 2025 r. rząd polski i międzynarodowe media (m.in. Financial Times) informowały o nasileniu ataków wymierzonych w szpitale i miejskie systemy wodne oraz o licznych próbach sabotażu. Służby raportowały o 20–50 atakach dziennie, w części udanych, ale nie na tyle, by doszło do jakichś tragicznych w skutkach następstw. W marcu tego roku wicepremier Gawkowski poinformował „o nieautoryzowanym dostępie” (czyli włamaniu – stwierdzając po ludzku) do infrastruktury POLSA (Polskiej Agencji Kosmonautycznej).
Ransomware, DDoS, SQL Injection i zwykłe dipefejki generowane przez AI
Jest wiele rodzajów cyberataków. Oto najważniejsze z nich:
• Phishing. Atakujący podszywa się pod zaufaną instytucję (bank, urząd, firmę) w celu wyłudzenia loginów, haseł, numerów kart lub innych danych. Najczęściej odbywa się przez e-mail lub SMS z fałszywym linkiem.
• Spear-phishing. W tym przypadku atak jest konkretyzowany – na osobę lub instytucję. Cracker (haker to ktoś, kto eksploruje systemy, szuka luk, testuje je – niekoniecznie w niecnych celach) zbiera wcześniej informacje o ofierze, aby zwiększyć wiarygodność wiadomości.
• Whaling. Odmiana spear-phishingu wymierzona w osoby bardzo wysokiego szczebla, w tzw. grube ryby. Celem są zwykle przejęcia kont administracyjnych lub dostęp do strategicznych dokumentów.
• Malware, czyli złośliwe oprogramowanie. To ogólna kategoria obejmująca każdy program tworzony w celu wyrządzenia szkody: kradzież danych, uszkodzenie systemów, przejęcie kontroli nad urządzeniem. W tej kategorii zagrożeń wyróżnia się:
•• wirusy – szkodliwy kod, który dołącza się do plików i sam się powiela, infekując kolejne zasoby,
•• robaki (worms) – to samoreplikujące się programy rozprzestrzeniające się w sieciach bez udziału użytkownika – mają masowo obciążać sieci i serwery,
•• trojany (konie trojańskie) – programy udające coś pożytecznego, który po uruchomieniu otwierają atakującemu zdalny dostęp lub instalują inne malware,
•• spyware – programy szpiegujące, zbierające informacje o użytkowniku: hasła, pliki, dane przeglądania,
•• keyloggery – rodzaj spyware rejestrujący wszystkie naciśnięcia klawiszy, co pozwala kraść hasła i loginy,
•• backdoory – ukryte mechanizmy pozwalające atakującemu wracać do systemu, nawet jeśli główna luka została naprawiona.
• Ransomware. Rodzina złośliwego oprogramowania, które szyfruje dane ofiary i żąda okupu (zwykle w kryptowalutach) za ich odblokowanie. Jedna z najbardziej destrukcyjnych form ataku.
• DDoS (Distributed Denial of Service). Atak polegający na zalaniu serwera lub usługi ogromną liczbą żądań z wielu urządzeń (botnet), co powoduje przeciążenie i niedostępność usługi.
• DoS (Denial of Service). To atak tylko z jednego źródła. Mniej skuteczny, ale działa na mniejsze cele.
• MITM – Man-in-the-Middle. Atak, w którym cracker „wstawia się” pomiędzy użytkownika a usługę (np. fałszywy hotspot Wi-Fi) i przechwytuje lub modyfikuje przesyłane dane.
• SQL Injection. SQL to standardowy język używany do zarządzania relacyjnymi bazami danych. W tym ataku cracker wprowadza własny, złośliwy kod SQL do aplikacji lub formularza, tak by został on wykonany przez bazę danych. Pozwala pobrać dane z baz, zmieniać je lub nawet przejąć całą aplikację. To jedna z najczęściej wykorzystywanych metod przez crackerów do włamań na strony i serwery bazodanowe.
• XSS – Cross-Site Scripting. Atak polegający na wprowadzeniu złośliwego skryptu (np. JavaScript) do strony internetowej, który wykona się u innych użytkowników. Może kraść ciasteczka, sesje lub przekierowywać ofiary na inne strony opanowane przez crackera.
• CSRF – Cross-Site Request Forgery. Ten atak polega na tym, że cracker podstępnie nakłania ofiarę do wykonania niechcianej operacji (np. przelewu), wykorzystując fakt, że jest zalogowana w innym serwisie.
• Password Attack. Ujmując ogólnie: to atak na hasła. Może być to:
•• brute-force, czyli próba odgadnięcia hasła poprzez testowanie wszystkich możliwych kombinacji,
•• dictionary attack, to próba logowania przy użyciu listy popularnych haseł i kombinacji,
•• credential stuffing, to z kolei używanie loginów i haseł wyciekłych z innych serwisów.
• Zero-day attack polega na wykorzystaniu świeżo odkrytej, niezałatanej podatności w oprogramowaniu. Bardzo groźny, gdy producent nie zdążył jeszcze wydać aktualizacji.
• Supply-chain attack. To atak na łańcuch dostaw, w którym napastnik nie uderza bezpośrednio w główny cel, bo ten zwykle ma mocne zabezpieczenia. Zamiast tego atakuje dostawcę, podwykonawcę, firmę zewnętrzną lub element oprogramowania, który jest częścią infrastruktury głównej ofiary i który ma słabszą ochronę. Bardzo trudny do wykrycia.
• Social engineering (inżynieria społeczna). Tu nie trzeba być arcymistrzem informatyki, ale dobrym psychologiem i mieć dar werbalnego przekonywania. Sprowadza się do skłonienia ofiary, by wykonała działania umożliwiające inny atak. Na przykład: cracker podszywając się pod IT instytucji może zażądać podania hasła, tłumacząc, że musi je znać, by móc zresetować system.
• Watering-hole attack. To zakażanie złośliwym oprogramowaniem stron internetowych, które odwiedzają pracownicy konkretnej firmy, aby infekować ich urządzenia.
• DNS Spoofing / Cache Poisoning. Polega na podmianie odpowiedzi serwerów DNS, aby kierować użytkowników na fałszywe strony.
• BEC – Business Email Compromise. To przejęcie służbowej poczty i wysyłanie fałszywych poleceń przelewów lub dokumentów.
• Deepfake attacks. Użycie generowanych przez AI materiałów audio/wideo do podszywania się pod osoby.
Kilka zdań komentarza
Walka z cyberzagrożeniami (bez względu na to, czy sprawcy działają na swój rachunek, czy też na zlecenie polityczne) przypomina wyścig tarczy z mieczem i odwrotnie. Broniący się, nawet jeśli lokalizują próby cyberataku, stoją na gorszej pozycji w stosunku do atakujących. Rzadko kiedy udaje się ich oddać do dyspozycji wymiaru sprawiedliwości. Zdarza się to w przypadku „komercyjnych” ataków. Gdy są one zlecane przez państwo lub wykonywane przez wyspecjalizowane państwowe służby, szansa na ukaranie sprawcy/sprawców jest prawie zerowa.
Dla Rosji cyberoperacje, przeprowadzane przez crackerów, hakerów państwowych (state-sponsored hackers), są elementem wojny hybrydowej. A całość tych działań można sprowadzić do jednej zasady: „skoro pomagacie Ukrainie, to my wam utrudniamy życie”…
Polecany artykuł:
