Pękniętą pancerz państwa
Polska administracja publiczna stoi w obliczu poważnego kryzysu bezpieczeństwa cybernetycznego. W ostatnich trzech latach instytucje państwowe padły ofiarą skoordynowanych ataków, które ujawniły nie tylko techniczne słabości systemów, ale także niedostateczne procedury zgłaszania incydentów i alarmującą bierność decydentów. Problem polega na tym, że oficjalne raporty opisują zaledwie wierzchołek góry lodowej. Wiele włamań nigdy nie trafia do mediów, a ofiary wolą milczenie od publicznego przyznania się do porażki.
Specjaliści od cyberbezpieczeństwa z różnych agencji bezpieczeństwa konkretnymi przykładami pokazują, że ataki na instytucje publiczne są niemal rutynowe. Jednak raportowanie tych incydentów odbywa się w głębokim mroku, bez udziału mediów, bez publicznej deklaracji, bez konsekwencji dla odpowiedzialnych menedżerów. Dziś jako dziennikarze mamy dostęp do informacji, które mogą zmienić narrację – trzeba tylko wiedzieć, gdzie ich szukać.
Zwycięstwa hakerów, które nikt nie ujawnił
Instytucje finansowe w Polsce doświadczyły kilku poważnych incydentów w ostatnich latach, o których prawie nikt nie wie. Bank Centralny, kilka banków komercyjnych oraz systemy obsługi transferów międzynarodowych padły ofiarą ataków typu DDoS i prób przejęcia kontroli nad infrastrukturą IT. Liczba ataków wzrosła o ponad 300 procent w porównaniu z 2021 rokiem, jednak liczba publicznych przyznań się do nich nie zmieniła – i to jest najgorsze.
Wśród pechowych instytucji znalazły się również organy ścigania, sądy oraz prokuratury. Pewna prokuratura okręgowa w Warszawie w 2023 roku doświadczyła masowego wycieku danych dotyczących prowadzonych śledztw. Incydent ukrywano przez siedem miesięcy. Podobne historie powtarzają się w wojewódzkich centrach administracji, gdzie starości i ambiwalentna postawa menedżerów IT tworzą idealne środowisko dla cyberprzestępców. Więcej szczegółów na temat sposobów, w jakie atakujący się organizują, można znaleźć w dokumentacji o strukturach hakerskich.
Edukacja bez budżetu, bezpieczeństwo bez przyszłości
Sektor edukacji – szkoły podstawowe, gimnazja, uniwersytety – okazał się jednym z najłatwiejszych celów dla cyberprzestępców. W 2022 i 2023 roku system e-learningowy jednego z największych uniwersytetów w Polsce został zainfekowany złośliwym oprogramowaniem, które zbierało dane logowania pracowników akademickich. Incydent nie został nigdy oficjalnie potwierdzony.
Ministerstwo Edukacji twierdzi, że nie ma systematycznych ataków na szkoły, mimo że nauczyciele i administratorzy sieci raportują e-maile phishingowe na masową skalę. Brak jest jakichkolwiek formalnych procedur zgłaszania incydentów dla placówek oświatowych poniżej poziomu wojewódzkiego. Oznacza to, że potencjalnie tysiące włamań nigdy nie trafiają do żadnych statystyk. Nauczyciele pracują z systemami, które nie były aktualizowane od lat, a hasła do dzienników elektronicznych są przechowywane w kartach w szufladach biurek.
Opieka zdrowotna: pacjenci narażeni
Szpitale i przychodnie w Polsce są regularnie atakowane. W 2023 roku jeden ze szpitali warszawskich doświadczył ataku ransomware’owego, który wyłączył system zarządzania pacjentami na 72 godziny. Szpital zapłacił okup w wysokości 2 milionów złotych w kryptowalucie, ale nigdy nie zawiadomił organów ścigania, obawiając się, że skandal zniszczy reputację placówki.
Ministerstwo Zdrowia nie utrzymuje centralnej bazy danych incydentów bezpieczeństwa w placówkach medycznych. Oznacza to, że każdy szpital samodzielnie decyduje, czy ujawnić włamanie, czy je ukryć. W efekcie dane pacjentów – dane wrażliwe, zawierające informacje o schorzeniach, leczeniu, a nawet wynikach testów HIV – trafiły na czarne rynki i są sprzedawane hakerskim grupom. Szacunkowa liczba podatków pacjentów wyciśniętych z polskich szpitali w ostatnich trzech latach to przynajmniej 4 miliony rekordów. Szczegóły na temat tego, jak dane trafiają na czarne rynki, można znaleźć w analizie handlu danymi osobowymi.
Dlaczego cisza jest bezpieczniejsza niż transparentność
Organy ścigania, w tym Policja i Agencja Bezpieczeństwa Wewnętrznego, okazały się paradoksalnie bezwolne wobec własnych wewnętrznych naruszeń bezpieczeństwa. W 2022 roku ABW doświadczyła poważnego wycieku informacji na temat operacyjnych ścieżek śledztw. Sprawa została umorzona „ze względów bezpieczeństwa narodowego”, ale bliskie źródła w strukturach bezpieczeństwa potwierdzają, że do wycieku doszło z powodu podstawowego błędu konfiguracyjnego serwerów i braku jakichkolwiek procedur audytu.
Dlaczego instytucje milczą? Odpowiedź jest prosta: ujawnienie incydentu oznacza zawiadomienie mediów, pytania polityków, możliwą ocenę działalności menedżerów IT i budżetowych konsekwencje. Tymczasem ukrycie ataku pozwala na cichy remont infrastruktury, bez publicznego zawstydzenia. Ta kultura milczenia rozprzestrzeniła się w całej administracji publicznej. Włodarze miast, starostowie, dyrektorzy urzędów – wszyscy nauczyli się, że najlepszą strategią zarządczą jest ignorowanie problemu aż do czasu, gdy media zdołają sami odkryć co się stało. Przez to hakerzy operują w Polsce praktycznie bez obawy przed konsekwencjami, wiedząc, że instytucje wolą płacić okup niż zawiadamiać policję. Więcej na temat tego, jak działa ecosystem hakerski, można przeczytać w raporcie o strukturach cyberprzestępczości.
Wezwanie do działania
Polska potrzebuje ustawy o obowiązkowym zgłaszaniu incydentów bezpieczeństwa cybernetycznego dla wszystkich instytucji publicznych. Bez tej ustawy będziemy żyć w mroku, w którym liczba rzeczywistych cyberataków na administrację publiczną pozostanie tajemnicą. Dziennikarze śledczy mogą odegrać kluczową rolę w ujawnieniu tej czarnej księgi – poprzez żmudną pracę, wywiad za wywiadem, dokument za dokumentem. Każda złamana instytucja ma swoją historię. Każdy włamanie ma swoje znaczenie. I każde milczenie jest zdradą publicznego zaufania.
O autorze
