Spis treści:
- Anatomia ataku
- Polska na mapie celów
- Suwerenność technologiczna
- Dezinformacja
- Operacyjna odporność
Systemy administracji publicznej stają się celem nie tylko dla cyberprzestępców, ale też wrogich państw. Ich ataki nie są ukierunkowane na zdobycie korzyści majątkowych, tylko na podkopanie wiarygodności instytucji. Jak przebiegają takie operacje?
Publikacja „Zagrożenia terrorystyczne i sabotażowe infrastruktury krytycznej” z 2025 r., wydana pod patronatem Agencji Bezpieczeństwa Wewnętrznego (dalej: ABW) i Rządowego Centrum Bezpieczeństwa, opisuje zagrożenia hybrydowe jako konwergencję działań prowadzonych poniżej progu wojny, w wielu domenach jednocześnie, przy niskim koszcie po stronie napastnika i wysokim koszcie odtworzenia po stronie ofiary. W tym ujęciu cyberatak, sabotaż fizyczny i kampania dezinformacyjna nie są trzema różnymi zdarzeniami, tylko trzema warstwami tej samej operacji.
Administracja publiczna musi przestać myśleć o cyberbezpieczeństwie wyłącznie przez pryzmat przestępczości. Cyberkryminalista zazwyczaj chce pieniędzy, dostępu do danych albo szybkiego wymuszenia okupu. Operacja państwowa gra dłużej i szerzej. Jej celem bywa obniżenie zaufania do instytucji, wywołanie presji społecznej, zakłócenie procesów publicznych, a w skrajnym wariancie także sprawdzenie, jak państwo reaguje pod presją i które jego elementy pękają jako pierwsze. Wnioski z materiałów ABW są tu jednoznaczne. Skuteczność ataków hybrydowych bierze się z ich multiwektorowości, czyli zdolności łączenia działań cyfrowych z fizycznymi i informacyjnymi.
Anatomia ataku
Modelowy atak na infrastrukturę administracyjną da się rozpisać niemal jak procedurę operacyjną. Faza pierwsza to rozpoznanie: OSINT, analiza struktur urzędu, identyfikacja dostawców, zebranie nazwisk, ról i relacji służbowych. Faza druga to wejście, najczęściej przez phishing albo socjotechnikę bazującą na prawdziwym kontekście. CERT Polska opisał w maju 2024 r. dużą kampanię wymierzoną w polskie instytucje rządowe (APT28), w której użyto e-maili mających wzbudzić ciekawość adresata, linków do powszechnie dostępnych usług sieciowych, archiwum ZIP i techniki DLL side-loading. Z punktu widzenia administratora to rzecz istotna. Atak nie musi być technicznie widowiskowy, by był skuteczny. Wystarczy, że będzie wiarygodny, cierpliwy i dobrze dopasowany do odbiorcy.
Faza trzecia to zakłócenie. Nie zawsze chodzi od razu o trwałe zniszczenie systemu. Czasem wystarczy przeciążenie wybranych usług, czasowe odcięcie dostępu, zaszumienie centrum obsługi albo utrudnienie kontaktu obywatela z instytucją. Faza czwarta to narracja. Skoro portal nie działa, przeciwnik tłumaczy odbiorcy, że zawiodło państwo. Skoro system działa wolniej, przeciwnik podpowiada, że ktoś coś ukrywa. Skoro doszło do incydentu, przeciwnik próbuje dopisać mu własny sens polityczny. NASK definiuje dezinformację jako fałszywe lub wprowadzające w błąd treści rozpowszechniane w celu umyślnego wyrządzenia szkody publicznej lub osiągnięcia zysku, a wśród jej celów wymienia strach, utratę zaufania do instytucji i polaryzację społeczną. W warunkach kryzysu cyfrowego dokładnie o to chodzi.
Na tym tle szczególnie ważna staje się rola aktora niepaństwowego. W realnej operacji hybrydowej państwo nie musi wykonywać wszystkiego własnymi rękami. Może korzystać z grup przestępczych, sabotażystów terenowych, „haktywistów”, firm przykrywkowych albo pojedynczych wykonawców działających na zlecenie. Taki model daje zaprzeczalność, rozmywa atrybucję i utrudnia szybką reakcję polityczną. Z perspektywy urzędu nie ma jednak większego znaczenia, czy pierwszy ruch wykonał oficer służby, grupa powiązana z wywiadem czy najemny operator. Znaczenie ma to, że infrastruktura IT przestała być zapleczem administracji, a stała się częścią pola walki.
Polska na mapie celów
Nasze państwo nie znalazło się w tym położeniu przypadkiem. Jest krajem frontowym NATO, zapleczem logistycznym pomocy wojskowej i humanitarnej dla Ukrainy, ważnym węzłem transportowym, a zarazem państwem, które w ostatnich latach mocno przyspieszyło cyfryzację usług publicznych. To połączenie czyni z Polski atrakcyjny cel. Zakłócenie systemów może uderzyć jednocześnie w obywateli, w administrację, w infrastrukturę krytyczną i w przekaz polityczny. Krzysztof Gawkowski mówił w czerwcu 2025 r. wprost, że Polska jest na „cyfrowej wojnie z Rosją” i że jako kraj przyfrontowy pozostaje szczególnie narażona na cyberataki. Niezależnie od politycznego tonu tej wypowiedzi, jest w niej trafna diagnoza strategiczna. Polski urząd nie działa dziś w warunkach pokoju technologicznego.
Widać to było już w 2024 r., gdy CERT Polska i CSIRT MON poinformowały o dużej kampanii malware skierowanej przeciw polskim instytucjom rządowym. Zespół powiązał ją z aktywnością APT28, czyli środowiskiem kojarzonym z rosyjskim GRU. W komunikacie zwrócono uwagę nie tylko na samą atrybucję, ale też na technikę działania: przynęta oparta na ciekawości odbiorcy, wykorzystanie bezpłatnych usług internetowych do obsługi części łańcucha infekcji, a następnie pobranie i uruchomienie kolejnych komponentów. Reuters dopowiadał wtedy, powołując się na polskie wypowiedzi publiczne, że rosyjskie cyberataki identyfikowane są stale także wobec takich celów jak wodociągi czy ochrona zdrowia. To ważna korekta myślenia. Przeciwnik nie szuka wyłącznie systemów „tajnych”. Szuka tych, których zakłócenie najszybciej przekłada się na codzienne funkcjonowanie społeczeństwa.
W 2025 r. obraz zrobił się jeszcze ostrzejszy. Zgodnie z danymi zgromadzonymi przez NASK w 2024 r. odnotowano w Polsce ponad 600 tys. zgłoszeń cyberataków, z czego ponad 100 tys. stanowiły potwierdzone incydenty. To liczby, które same w sobie nie mówią jeszcze wszystkiego o skali szkód, ale gdy państwo musi obsługiwać setki potwierdzonych incydentów dziennie, ciężar przesuwa się z „ochrony przed incydentem” na „zdolność do ciągłego działania pomimo incydentów”. Właśnie tu zaczyna się rozmowa o odporności, a nie o samej prewencji.
Potem doszły incydenty uderzające w styk administracji ze społeczeństwem. W kwietniu 2025 r. czasowo zakłócone zostały państwowe systemy rejestrowe, co według publicznych relacji przełożyło się na problemy z usługami opartymi na danych rejestrowych, w tym z aplikacją mObywatel i systemami rozliczeń podatkowych. Resort cyfryzacji potwierdził zaburzenia działania, podkreślając jednocześnie, że nie znaleziono dowodów na wyciek danych. Z punktu widzenia urzędu ten przypadek jest pouczający z jednego powodu. Atak na rejestr lub jego otoczenie nie musi kończyć się kradzieżą danych, aby odnieść skutek polityczny. Wystarczy, że obywatel nie może załatwić sprawy w momencie, w którym najbardziej tego potrzebuje.
Najmocniejszy sygnał ostrzegawczy przyszedł jednak pod koniec 2025 r. W grudniu doszło do skoordynowanych ataków na liczne farmy wiatrowe i słoneczne, prywatną firmę z sektora produkcyjnego, a także elektrociepłownię zasilającą w ciepło blisko pół miliona odbiorców. Raport CERT Polska z tego incydentu stwierdzał, że operacje miały charakter czysto destrukcyjny i można je porównać do podpalenia z premedytacją. Celem była nie kradzież informacji i nie wymuszenie, lecz nieodwracalne niszczenie danych i systemów. Nie da się więc dłużej utrzymywać, że Polska mierzy się wyłącznie z klasyczną cyberprzestępczością.
Trzeba przy tym uczciwie dodać, że publiczna atrybucja takich zdarzeń bywa niejednoznaczna. CERT Polska wskazał nakładanie się infrastruktury użytej w ataku z klastrem Static Tundra, znanym także jako Berserk Bear czy Dragonfly, kojarzonym z rosyjskim FSB. Z kolei ESET, analizując użyty malware DynoWiper, przypisał go grupie Sandworm – z umiarkowaną pewnością. Reuters odnotował obie linie analityczne. To nie jest detal akademicki. To przypomnienie, że przeciwnik celowo zaciera ślady i miesza techniki różnych środowisk. Dla administracji wniosek jest prosty. Jeśli różnią się nawet oceny wyspecjalizowanych analityków, tym bardziej nie wolno budować planów bezpieczeństwa na założeniu, że „pełną pewność” będzie można osiągnąć szybko.
Suwerenność technologiczna
Jedni sprowadzają ją do hasła „kupujmy europejskie”, inni do równie prostego „nie ma alternatywy dla globalnych dostawców”. Obydwie odpowiedzi są zbyt łatwe. Raport „Indeks suwerenności technologicznej Polski. Zarys metodologiczny” opublikowany przez Łukasiewicz – ITECH w 2025 r. proponuje sensowniejsze ujęcie. Suwerenność technologiczna nie oznacza pełnej samowystarczalności, lecz zdolność państwa do oceny własnych przewag i deficytów, do zmniejszania zależności od zewnętrznych dostawców tam, gdzie to strategicznie konieczne, oraz do włączania tej oceny w politykę publiczną. W raporcie mocno wybrzmiewa też myśl, że nie da się być niezależnym we wszystkich sektorach naraz. Trzeba wybierać obszary krytyczne i tam budować realną sprawczość.
Dla administracji publicznej te obszary są dość czytelne. Procesory i sprzęt serwerowy to warstwa, w której Polska i szerzej Europa nadal mają ograniczoną kontrolę nad pełnym łańcuchem wartości. Systemy operacyjne i środowiska biurowe to z kolei sfera, gdzie zależność nie dotyczy wyłącznie licencji, ale też standardów integracji, modeli wsparcia, telemetrii, podatności na vendor lock-in i praktycznej zdolności migracji. Chmura jest jeszcze trudniejsza, bo miesza trzy porządki naraz: wygodę operacyjną, bezpieczeństwo i jurysdykcję nad danymi. Administracja korzystająca z rozwiązań spoza Unii Europejskiej dostaje dziś szybkość i skalę, ale nie zawsze otrzymuje odwracalność decyzji. A to właśnie brak odwracalności jest w świecie operacji hybrydowych najbardziej niebezpieczny.
Raport Łukasiewicz – ITECH pokazuje ponadto, że problem nie zaczyna się w momencie zakupu konkretnej usługi. Zależność tworzy się dużo wcześniej, gdy państwo nie rozwija zaplecza badawczego, kompetencyjnego i produkcyjnego, gdy nie umie ocenić ryzyk łańcucha dostaw, gdy nie stawia wymagań interoperacyjności i gdy nie ma własnych benchmarków dla technologii krytycznych. W tym sensie suwerenność technologiczna to sposób patrzenia na całe portfolio państwa, od infrastruktury i kompetencji po architekturę zamówień publicznych.
Europa próbuje tę lukę zasypywać. ENISA od lat pracuje nad europejskim schematem certyfikacji usług chmurowych EUCS, którego sens jest prosty: ujednolicić ocenę bezpieczeństwa usług cloud i wzmocnić zaufanie do ich stosowania w rynku wewnętrznym. Z innej strony idzie Gaia-X, czyli inicjatywa budowy federacyjnego ekosystemu danych i usług, kładąca nacisk na przejrzystość, interoperacyjność, możliwość przenoszenia i kontrolę nad danymi. Żadna z tych inicjatyw nie rozwiązuje wszystkich problemów, ale obydwie przesuwają europejską dyskusję z poziomu ideologii na poziom standardów, warunków wejścia i mierzalnej zgodności.
W praktyce pytanie dla urzędu nie brzmi więc: „czy można korzystać z zagranicznych hyperscalerów?”, tylko: „do czego i na jakich warunkach?”. Odpowiedź operacyjna powinna być twardsza niż dotychczas. Można outsourcować moc obliczeniową, środowiska testowe, część analityki, usługi pomocnicze, rozwiązania do archiwizacji mniej krytycznych zbiorów czy aplikacje, których migracja jest realistyczna technicznie i finansowo. Nie powinno się natomiast bez planu wyjścia oddawać tych warstw, których awaria lub odcięcie przełoży się natychmiast na sprawczość państwa, czyli systemów tożsamości, rejestrów źródłowych, logów bezpieczeństwa, kluczy kryptograficznych, mechanizmów uwierzytelniania uprzywilejowanego, komunikacji między rejestrami oraz centralnych szyn integracyjnych.
To oznacza także zmianę filozofii zamówień. W Specyfikacji Istotnych Warunków Zamówienia i umowach musi pojawić się coś więcej niż SLA i katalog usług. Potrzebne są wymagania dotyczące eksportu danych, możliwości przenoszenia konfiguracji, dostępu do logów, lokalizacji i szyfrowania danych, scenariuszy wyjścia, testów odtworzeniowych i procedur działania w razie zerwania współpracy albo sankcji.
Dezinformacja
Atak techniczny bez warstwy informacyjnej bywa dla przeciwnika niewykorzystaną okazją. Gdy system nie działa, ktoś musi od razu opowiedzieć obywatelom, dlaczego. Jeśli urząd nie zrobi tego pierwszy, zrobi to ktoś inny. NASK wprost wskazuje, że celem dezinformacji jest wywoływanie strachu, utraty zaufania do instytucji i polaryzacji. Z perspektywy operacyjnej oznacza to, że każdy incydent cyberbezpieczeństwa ma potencjalny drugi front, na którym walczy się już nie o dostępność usługi, lecz o wiarygodność państwa.
To właśnie dlatego systemy komunikacji urzędu trzeba traktować jak element jego bezpieczeństwa, a nie wyłącznie PR-u. Strona główna, Biuletyn Informacji Publicznej, profile społecznościowe, kanały SMS, aplikacje mobilne, newslettery, infolinie i gotowe strony awaryjne powinny być zaprojektowane jak część planu ciągłości działania. Jeśli obywatel w czasie incydentu nie ma pewnego miejsca, gdzie znajdzie potwierdzony komunikat, to luka informacyjna zapełni się natychmiast plotką, fałszywym screenem albo sfalsyfikowanym „alarmem bezpieczeństwa”.
Dezinformacja działa najlepiej wtedy, gdy może podeprzeć się fragmentem prawdy. Krótka niedostępność systemu, przestój w działaniu rejestru, opóźnienie odpowiedzi urzędu, przeciążenie infolinii albo awaria formularza elektronicznego wystarczą, aby uruchomić narrację o „upadku państwa”, „ukrywanym wycieku” albo „ataku, o którym władza nie chce mówić”. Dlatego w dobrze prowadzonym SOC czy zespole bezpieczeństwa powinny spotykać się nie tylko logi i alerty, ale też monitoring wzmianek o urzędzie, jak również komunikacja kryzysowa. Ochrona reputacji instytucji zaczyna wchodzić w zakres cyberbezpieczeństwa.
Administracja ma dziś do dyspozycji narzędzia, z których wciąż korzysta zbyt rzadko. EUvsDisinfo prowadzi bazę i monitoring prokremlowskich narracji, analizując przypadki dezinformacji w wielu językach i udostępniając otwarte repozytorium przykładów. NASK rozwija działania analityczne związane z dezinformacją, prowadzi kanały edukacyjne i mechanizmy zgłaszania takich treści, a także realizuje projekty monitoringu treści o potencjale dezinformacyjnym. W efekcie powstaje zewnętrzna warstwa wczesnego ostrzegania, dzięki której urząd może szybciej zobaczyć, że incydent techniczny właśnie dostał polityczny albo społeczny wzmacniacz.
Operacyjna odporność
W realiach wojny hybrydowej najdroższe nie bywają wcale luki technologiczne, tylko chaos kompetencyjny, słaba segmentacja, nieprzećwiczone procedury i zbyt duże zaufanie do sieci wewnętrznej. Polska strona rządowa promuje dziś model zero trust jako odpowiedź na złożoność współczesnych środowisk, podkreślając, że klasyczna ochrona granic systemów jest niewystarczająca, a bezpieczeństwo trzeba budować przez minimalizację dostępu i ciągłe uwierzytelnianie, a także autoryzację użytkownika i urządzenia.
W administracji oznacza to kilka rzeczy naraz. Segmentację krytycznych systemów od sieci biurowych i od stref gościnnych. Separację stacji administracyjnych od zwykłej poczty i przeglądania internetu. Odejście od modelu, w którym raz uwierzytelniony użytkownik może poruszać się zbyt szeroko. Wzmocnienie kontroli nad kontami uprzywilejowanymi. Twarde reguły dla połączeń zdalnych, integracji między systemami i dostępu serwisowego dostawców.
Dyrektywa NIS 2 nadaje temu wymiar europejski i zarządczy. Komisja Europejska podkreśla, że regulacja ta obejmuje również administrację publiczną na poziomie centralnym i regionalnym, rozszerza zakres obowiązków, a także wzmacnia odpowiedzialność kierownictwa za środki zarządzania ryzykiem. W praktyce dla jednostek samorządu terytorialnego i administracji centralnej oznacza to konieczność dojrzalszego zarządzania tożsamością, dostępem, incydentami, ciągłością działania i współpracą z CSIRT-ami.
Dobra wiadomość jest taka, że sporo da się zrobić bez wielkiej rewolucji budżetowej. W pierwszej kolejności trzeba ustalić, które procesy są naprawdę krytyczne. Potem rozdzielić to, co musi działać zawsze, od tego, co może poczekać kilka godzin lub dzień. Dopiero po takim rozróżnieniu da się sensownie projektować kopie zapasowe, środowiska awaryjne i procedury pracy offline. W części urzędów „backup papierowy” dla wybranych procedur nadal brzmi jak anachronizm. W rzeczywistości jest po prostu najtańszą formą rezerwy dla kilku procesów, których zatrzymanie sparaliżuje urząd bardziej niż utrata części wygody cyfrowej.
Tu dobrze widać sens programów publicznych, które już działają. „Cyberbezpieczny Samorząd” finansował nie tylko zakupy, ale też wdrożenie lub aktualizację polityk bezpieczeństwa informacji, zarządzanie ryzykiem, podnoszenie kompetencji personelu i audyty Systemu Zarządzania Bezpieczeństwem Informacji. Samorządy dostały na to konkretne środki, w przypadku gmin od 200 tys. do 850 tys. zł. Z kolei projekt Urzędu Zamówień Publicznych „Podniesienie poziomu cyberbezpieczeństwa” pokazuje, że sensowna modernizacja nie polega na rozproszeniu budżetu po przypadkowych pozycjach, ale na połączeniu obszarów organizacyjnego, kompetencyjnego i technicznego. W planie znalazły się szkolenia, symulacje phishingowe, testy APT i doposażenie serwerowni. Tak właśnie powinna wyglądać odporność: jako zestaw naczyń połączonych, a nie katalog zakupów.
Na tym tle ćwiczenia są nadal niedoceniane. ENISA organizuje serię Cyber Europe po to, aby testować zdolność reagowania na wielkoskalowe kryzysy cybernetyczne, sprawdzać procedury, budować wspólne słownictwo i identyfikować luki operacyjne bez realnych skutków dla usług. Dopóki bowiem urząd nie przećwiczy scenariusza, w którym jednocześnie traci fragment infrastruktury, dostęp do jednego z rejestrów i kontrolę nad przekazem w sieci, dopóty nie wie, jak naprawdę zachowa się pod presją.
Potrzebna jest też bliższa współpraca z komponentem państwowym odpowiedzialnym za obronę cyberprzestrzeni. Program CYBER.MIL.PL i zadania Wojsk Obrony Cyberprzestrzeni (dalej: WOC) pokazują, że system obrony państwa patrzy na cyberbezpieczeństwo nie tylko jako na ochronę własnych sieci wojskowych, ale także jako na element szerszego układu bezpieczeństwa. Praktyczny model takiej współpracy widać na przykładzie porozumienia Wód Polskich z WOC: wymiana informacji o zagrożeniach, wspólne ćwiczenia, konsultacje, rekomendacje konfiguracji, możliwość testów i szybka komunikacja operacyjna.
Ostatecznie zmiana, której wymaga obecna sytuacja, jest bardziej mentalna niż technologiczna. Administrator IT w urzędzie nie jest już wyłącznie opiekunem usług, serwerów i domen. Kierownik wydziału informatyki nie jest już wyłącznie menedżerem budżetu i wdrożeń. Dyrektor ds. cyfryzacji nie odpowiada już tylko za sprawne formularze i integrację systemów. W warunkach wojny hybrydowej cała ta warstwa zarządza odpornością strategiczną państwa: zdolnością do utrzymania działania, odzyskania kontroli, obrony zaufania i ograniczania skutków uderzenia.
Autor
Maciej Lewczuk
Autor jest dziennikarzem z ponad 30-letnim doświadczeniem w branży technologicznej. Zaczynał jako programista, grafik 3D, projektant i serwisant zestawów komputerowych. Obecnie zgłębia też tematy związane z zastosowaniem sztucznej inteligencji w różnych dziedzinach.
