Godzina na zdanie testu z cyberbezpieczeństwa

• Grupy hakerskie potrafią wejść do infrastruktury jednostki samorządu w kilkadziesiąt minut. Ale sam atak nie jest porażką - może on spotkać każdą organizację. Porażką jest natomiast brak skutecznych procedur szybkiego przywrócenia funkcjonowania po ataku.
• Cyberegzamin zdaje się albo oblewa w ciągu pierwszej godziny od wykrycia ataku. Za zarządzanie kryzysem odpowiada nie informatyk, lecz kierownik jednostki - dyrektor, wójt, burmistrz czy prezydent. Podstawowe zabezpieczenia ograniczają możliwość skutecznego ataku o ponad 50 proc. i nie zrujnują nawet małych podmiotów.
• Blokada dostępu do najnowszych modeli Anthropic pokazuje, dlaczego suwerenność technologiczna jest dla Polski i Europy tak istotna - chodzi o to, by mieć alternatywę, gdy ktoś odetnie nas od zaawansowanych technologii.
• O tych aspektach cyberbezpieczeństwa państwa i administracji samorządowej rozmawiali uczestnicy CYBERSEC EXPO & FORUM 2026: Michał Gramatyka, Monika Ingram, Stanisław Korman, Jakub Olszowiec i Jacek Orłowski.

Jak obywatel odczuje skutki ataku na urząd państwowy lub jednostkę samorządu terytorialnego (JST)?

- Z punktu widzenia Metropolii najważniejszym obszarem, w którym mieszkaniec może odczuć atak, jest transport, bo każdy atak spowoduje ogromny chaos w systemie transportu publicznego - wskazał Stanisław Korman, członek zarządu Górnośląsko-Zagłębiowskiej Metropolii. - Przestaną działać tablice informacyjne, rozkłady jazdy. Mieszkaniec nie będzie mógł kupić biletu - opisywał. Jak dodał, autobusy będą jeździły, bo nie wszystkie są elektryczne.

GZM na bieżąco przygotowuje się na wypadek cyberincydentu. - Mamy zmonitorowaną całą sieć, mamy systemy zabezpieczeń. Jesteśmy narażeni, ataki cały czas się zdarzają, ale póki co skutecznie się bronimy i odpieramy ataki. Mieszkańcy tego nie widzą, bo transport funkcjonuje - opowiadał podczas panelu "Cyberbezpieczeństwo państwa i administracji samorządowej".

Najważniejsze jest utrzymanie ciągłości usług

Bardziej dramatyczny scenariusz nakreślił Jakub Olszowiec, dyrektor biura strategii, rozwoju i zarządzania projektami w Polskiej Wytwórni Papierów Wartościowych. - Konsekwencje ataku mogą być krytyczne. Mówimy o architekturze zaufania, zaufania obywatela do państwa - podkreślił. PWPW wytwarza bowiem banknoty i dowody osobiste.

Największa szkoda występuje wtedy, gdy obywatel to zaufanie traci: gdy nie wie, co dzieje się z jego danymi i czy jest w stanie potwierdzić swoją tożsamość. To jest scenariusz, na który ani państwo, ani PWPW nigdy nie mogą sobie pozwolić. Obywatel nie mieć podważonego zaufania do państwa - stwierdził Jakub Olszowiec.

Szczegóły działań PWPW podejmowanych w razie ataku musiały pozostać tajemnicą. - Najważniejsze jest zapobieganie, żeby incydenty nigdy nie wystąpiły - zastrzegł Olszowiec. - Dlatego stale testujemy odporność naszych systemów. Mogę powiedzieć tyle: zdajemy testy dużo powyżej kryteriów wymaganych przez audytora - dodał.

Paneliści zaznaczali, że skuteczny atak to jeszcze nie klęska. Najważniejsze jest utrzymanie ciągłości usług.

- Po zmitygowaniu incydentu musimy przywrócić usługę do pełnej operacyjności, wyciągnąć wnioski z takiej sytuacji i przygotować się odpowiednio wcześniej na następny atak. A one zdarzają się bardzo często - stwierdził Jakub Olszowiec.

Jacek Orłowski, kierownik działu współpracy z podmiotami otoczenia EZD w NASK-PIB, dodał, że szczególnie małe podmioty mogą podnieść poziom cyberbezpieczeństwa, korzystając ze wsparcia NASK-u.

- Zachęcamy, żeby korzystać i wdrażać elektroniczne zarządzanie dokumentacją. To jest element cyfrowego awansu jednostki, nabierania doświadczenia i uruchomienia pewnej cyfrowej lawiny. Od wdrożenia EZD często się zaczyna - powiedział Jacek Orłowski.

Cyberatak to nie awaria IT. Kluczowa jest pierwsza godzina

- Jednostka samorządu terytorialnego ma prawie pewność, że w dającej się przewidzieć przyszłości będzie podmiotem ataku - tak Monika Ingram, dyrektorka Centrum Badawczego Cyberbezpieczeństwa w Łukasiewicz-AI, rozwiała ostatnie złudzenia.

- Dla obywatela najważniejsze jest to, czy ma dostęp do usług świadczonych przez urząd albo czy ten dostęp może zostać przywrócony w krótkim horyzoncie czasowym, a jego dane nie zostały wykradzione i nie jest narażony na konsekwencje - dodała.

A skoro tak, to trzeba się przygotować - i to nie tylko na papierze, dla potwierdzenia zgodności z przepisami ustawy o krajowym systemie cyberbezpieczeństwa (KSC).

Procedury, piękne segregatory z dokumentacją, w przypadku ataku mają de facto wartość papieru, na którym je wydrukowano. Procedury to teoria, a testowanie i ćwiczenia to praktyka. Audytor zapyta o procedurę, a haker sprawdza, czy ta procedura działa - przekonywała Monika Ingram.

Zaznaczyła, że cyberatak to nie jest awaria IT. - To test działania państwa na poziomie lokalnym, zdawany w ciągu godziny - powiedziała.

Hakerzy operują bowiem błyskawicznie. Według "CrowdStrike 2026 Global Threat Report" od przełamania pierwszego zabezpieczenia do pełnej ekspozycji systemów mija średnio 29 minut ("breakout time"). Rekord wynosi zaś 27 sekund.

Monika Ingram przypomniała też, że za zarządzanie kryzysem odpowiada kierownik jednostki i to z nim należy ćwiczyć odpowiednie procedury cyberbezpieczeństwa.

- Decyzje o odłączaniu systemów, utrzymaniu usług krytycznych czy komunikacji z mieszkańcami nie mogą spaść na barki jednego informatyka - podkreśliła.

Żeby nie spoczywać na laurach

Spytany, czy za trzy lata JST będą bezpieczniejsze, czy tylko bardziej obciążone obowiązkami, Stanisław Korman odparł "dwa razy tak".

- Na pewno będą obciążone obowiązkami, bo zadań przybywa i widzimy to od lat. Myślę też, że będą bezpieczniejsze, bo jako samorządy stosujemy najnowsze rozwiązania i dostosowujemy się do sytuacji na rynku - wyjaśnił członek zarządu GZM.

Z kolei odnosząc się do sytuacji finansowej mniejszych organizacji, Monika Ingram zwróciła uwagę, że bezpieczeństwo można zwiększyć bez ogromnych wydatków.

- Uwierzytelnianie wieloskładnikowe, szybkie łatanie podatności, posiadanie i testowanie kopii offline usług krytycznych, wraz z regularnymi testami ich odtworzenia, a także szkolenia i przegląd uprawnień - wyliczała, zapewniając, że te środki mogą o połowę ograniczyć ryzyko skutecznego ataku. - Można to przeprowadzić nawet w małych gminach, z jednym informatykiem obsługującym cały urząd - zaznaczyła.

Paneliści dyskutowali także o rosnącej roli sztucznej inteligencji w cyberbezpieczeństwie. Jacek Orłowski przypomniał, że AI służy zarówno jako narzędzie ataku, jak i obrony.

AI zmusza nas - inżynierów, osoby odpowiedzialne za bezpieczeństwo - żeby nie spoczywać na laurach. To zawsze jest wyścig - powiedział Jacek Orłowski, dodając, że cyberprzestępcy ciągle wymyślają nowe sposoby, by przedrzeć się przez linię obrony.

- Trzeba więc być na bieżąco, monitorować narzędzia, próbować je. Zaczynamy mówić już nie tylko o tym, że musimy coś implementować, żeby mieć to wdrożone, ale że powinniśmy mieć laboratorium, w którym ćwiczymy - zaznaczył Jacek Orłowski.

Najpotężniejsze narzędzia AI znajdują się w rękach big techów. Na krótko przed rozpoczęciem CYBERSEC rząd Stanów Zjednoczonych polecił firmie Anthropic zablokować obcokrajowcom dostęp do jej najnowszych modeli sztucznej inteligencji: Claude Fable 5 i Claude Mythos 5, które tak skutecznie wykrywają podatności, że stanowią potężną cyberbroń.

Wiceminister cyfryzacji Michał Gramatyka porównał to z sytuacją z lat 90., gdy Polska była objęta pochodzącymi z czasów zimnej wojny zasadami COCOM, blokującymi nam i innym krajom bloku wschodniego dostęp do zaawansowanych technologii o potencjale militarnym.

- Wtedy nie można było sprowadzić do Polski na przykład komputerów z procesorem Pentium, który właśnie wchodził na rynek. 486DX2 to było maksimum tego, co uczelnia mogła kupić - wspominał Michał Gramatyka.

Na tym właśnie polega wykorzystywanie pewnych atrybutów związanych z technologią do robienia polityki. I o tyle istotniejsze staje się dla Polski i dla Europy wyzwanie suwerenności technologicznej - porównał. - Chodzi o to, żebyśmy mieli czym zastąpić zaawansowane technologie, kiedy ktoś blokuje nam do nich dostęp - podkreślił wiceminister Gramatyka.

- Pomijam zasadność tej decyzji, bo pewnie z punktu widzenia administracji amerykańskiej miała ona jakiś poziom zasadności. Natomiast w szerszym kontekście geopolitycznym ważne jest, żebyśmy mieli alternatywę w sytuacji, w której zostajemy odcięci - podsumował Michał Gramatyka.

Pełny zapis dyskusji można obejrzeć poniżej: