Tak ściga się cyberprzestępców. Kulisy operacji Europolu

15-16 czerwca 2026 • Katowice • Międzynarodowe Centrum Kongresowe

Zarejestruj się

Jak działa Europol, czyli "policyjny hub świata"? Marijn Schuurbiers, szef ds. operacyjnych w Centrum ds. Walki z Cyberprzestępczością Europolu (EC3) ujawnia, jak funkcjonują tamtejsze zespoły, wymiana danych i informacji oraz jak wygląda prowadzenie operacji z perspektywy tej instytucji.
Wśród nowych wyzwań dla służb na całym świecie wskazuje na zacieranie się granic między grupami cyberprzestępczymi, aktorami państwowymi a ich działaniem, które coraz częściej przybiera formę zarówno cyberszpiegostwa, cyberataków, jak i np. działań dezinformacyjnych.
Marijn Schuurbiers ściganie cyberprzestępców porównuje do gry w pokera: po obu stronach stołu siedzą cyberprzestępcy i służby - to od dobrej współpracy tych ostatnich zależy skuteczność ich działań.
O zwalczaniu cyberprzestępczości będziemy rozmawiali w czasie CYBERSEC Expo & Forum 15-16 czerwca 2026 w Katowicach. Dołącz do nas i zarejestruj się na konferencję.

Marijn Schuurbiers, szef ds. operacyjnych w Centrum ds. Walki z Cyberprzestępczością Europolu (EC3) w czasie konferencji ESET World ujawnił kulisy ścigania cyberprzestępców z punktu widzenia tej instytucji.

Agencja pełni funkcję "globalnego węzła" w walce z cyberprzestrzępczością zarówno na poziomie ludzi, danych, jak i koordynacji w zakresie dużych śledztw między państwami. - Europol to dziś największy policyjny hub na świecie. Nie ma drugiego takiego miejsca - stwierdził Marijn Schuurbiers.

Marijn Schuurbiers, szef ds. operacyjnych w Centrum ds. Walki z Cyberprzestępczością Europolu (EC3) w czasie konferencji ESET World Fot. Nikola Bochyńska / PTWP

Jak zaznaczył, siedziba Europolu w Hadze jest miejscem spotkań funkcjonariuszy z państw członkowskich, ale i państw partnerskich spoza UE (m.in. z USA, Wielkiej Brytanii czy Japonii).

- To unikalne miejsce i hub dla ludzi - policjantów z całego świata, ale z perspektywy cyberbezpieczeństwa potrzebowaliśmy czegoś więcej, również prawdziwych ekspertów cyber - stwierdził.

W związku z tym powstała Wspólna Grupa Zadaniowa ds. Przeciwdziałania Cyberprzestępczości (J-CAT – Joint Cybercrime Action Taskforce), którą ulokowano w Europejskim Centrum ds. Walki z Cyberprzestępczością (EC3) Europolu. Zespół specjalistów ds. ścigania cyberprzestępczości pracuje wspólnie, często w jednym pomieszczeniu, co znacznie ułatwia organizację ich działań.

Jeśli rano pojawia się nowy atak ransomware, oficer nie musi szukać właściwego biura w gmachu; wystarczy, że podniesie głowę znad komputera i spyta kolegów, czy ktoś ma doświadczenie z danym rodzajem malware i dołączy do wspólnej operacji - objaśnił przedstawiciel Europolu.

W ramach Europolu działają także wyspecjalizowane zespoły, które skupiają się na:

przestępstwach komputerowych (takich, jak np. ransomware);
oszustwach finansowych (jak np. phishing czy ataki na bankomaty);
przestępstwach prowadzonych w darknecie (np. handel narkotykami);
przestępstwach seksualnych wobec dzieci w sieci.

Współpraca z biznesem

Marijn Schuurbiers z Europolu podkreślił, że organy ścigania nie są w stanie działać "w izolacji", dlatego konieczna jest współpraca z sektorem prywatnym i wymiana doświadczeń. Jednym z partnerów jest właśnie firma ESET (organizator konferencji, na której byliśmy obecni), która z perspektywy służb oferuje im zarówno swoje dane czy informacje o atakach, jak i kompetencje analityczne.

- Zapraszamy do naszej siedziby partnerów, którzy mają najbardziej użyteczny cyberwywiad. Siadają z nami przy jednym stole i wnoszą swoje możliwości, wiedzę oraz dane do naszych operacji - zaznaczył.

Europol jako centralny węzeł informacyjny

Drugim wymiarem roli Europolu jest funkcja hubu danych. Agencja dysponuje szeregiem systemów, które w czasie zbliżonym do rzeczywistego zbierają informacje o prowadzonych dochodzeniach w UE.

Kluczowym systemem jest Europol Information System (EIS) - każdej nocy automatycznie kopiowane są do niego dane o trwających postępowaniach i przestępcach z państw członkowskich, jeśli sprawy mieszczą się w mandacie Europolu. Dzięki temu agencja ma aktualny obraz działań śledczych w całej Unii. - Mamy niemal w czasie rzeczywistym przegląd wszystkich śledztw w UE w obszarach naszego mandatu i to bez dodatkowego obciążenia dla państw członkowskich - dodał ekspert.

Jeśli państwo chce przekazać dane wykraczające poza EIS, musi użyć systemu SIENA (Secure Information Exchange Network Application), czyli bezpiecznej platformy komunikacyjnej Europolu, umożliwiającej udostępnianie danych i informacji.

Marijn Schuurbiers jako przykład podał sytuację, w której np. Francja chce zapytać Hiszpanię o grupę cyberprzestępczą, podobnie jak Norwegia, która kontaktuje się w tej sprawie z Niemcami. Dzięki SIENA, Europol widzi wszystkie te zapytania i może połączyć je w jedno, wspólne dochodzenie.

Jeśli wszystko odbywałoby się na zasadzie kontaktów bilateralnych, wiele powiązań pozostałoby niewidocznych. Za pomocą SIENA widzimy pełen obraz i możemy łączyć sprawy - dodał.

Z kolei sektor prywatny może łączyć się z Europolem za pomocą Cyber Intelligence Gateway.

Europol jako centrum operacji

Kolejnym wątkiem poruszonym przez eksperta było przedstawienie Europolu nie tylko jako miejsca zbierania danych i ludzi, ale też zarządzania poszczególnymi śledztwami, które łączą się tam w operacje przeciwko grupom cyberprzestępczym.

- Nie zbieramy ludzi po to, by pili kawę, ani danych po to, by mieć wielką bazę. To środki do celu. Celem są sprawy, zatrzymania, realne interwencje w przypadku działalności grup cyberprzestępczych - ocenił przedstawiciel Europolu.

Porównał on pracę operacyjną do układania puzzli - celem jest zebranie kilku elementów układanki w jeden spójny obraz sytuacji. Współpraca państw odbywa się właśnie w ten sposób - każdy kraj i jego przedstawiciel dokłada swoje obserwacje, wiedzę i doświadczenie, by wspólnie dojść do rozwiązania.

Udane operacje kończą się zwykle komunikatami dla mediów o zatrzymaniu kluczowych osób, jednak część sprawców nadal pozostaje nieuchwytna lub przebywa poza jurysdykcją Europolu.

- Jeśli nie możemy ich zatrzymać, pokazujemy im, że nie są nietykalni. Że wiemy, kim są, umieszczamy ich na liście najbardziej poszukiwanych w UE (chodzi o EU Most Wanted List - przyp. red.). - zaznaczył ekspert.

Szereg wyzwań dla służb

Skala problemu jest przytłaczająca: każdego dnia odnotowuje się setki ataków ransomware, ogromną liczbę przypadków wykorzystywania seksualnego dzieci online czy masowe kampanie phishingowe.

Zdaniem przedstawiciela Europolu, gdyby organy ścigania próbowały reagować na każdy incydent osobno, byłaby to "z góry przegrana walka". Stąd służby państw europejskich wraz z partnerami koncentrują się na całym ekosystemie cyberprzestępczym, a nie na pojedynczych ofiarach.

- Gdy uderzamy w dobrze ulokowaną usługę w ekosystemie przestępczym, jednym ciosem ograniczamy możliwość popełnienia wielu przestępstw naraz - usłyszeli goście konferencji ESET World.

Zagrożenia hybrydowe i "rozmycie" granic przestępstw

Jednym z największych wyzwań, które ekspert określił jako zagrożenia hybrydowe, jest coraz większe rozmycie granic nie tylko w kategoriach popełnianych czynów, ale też w zakresie sprawców. Są to zarówno aktorzy państwowi, cyberprzestępcy niepowiązani z państwami, jak i np. haktywiści, sprawcy przestępstw seksualnych wobec dzieci, ale też osoby, które chcą się "sprawdzić" i są ciekawe czy dadzą radę oszukać służby (tzw. script kiddies).

To, co kiedyś było wyraźnie rozdzielone, dziś się zaciera. W hybrydowej rzeczywistości granice między aktorami przestają być jasne - podkreślił Marijn Schuurbiers.

Aktorzy państwowi nadal często prowadzą klasyczne kampanie szpiegowskie, ale coraz częściej działają także w celu finansowego zysku, atakując np. giełdy kryptowalut czy organizując kampanie ransomware.

Z kolei grupy haktywistyczne zwykle prowadzą ataki motywowane politycznie, najczęściej w formie masowych DDoS i destrukcyjnych działań, wymierzonych w infrastrukturę krytyczną.

"Rozmycie ról" w świecie cyberprzestępczym komplikuje także podział kompetencji po stronie państw. Dziś zacierają się różnice między sprawami dla wywiadu czy dla policji.

Walka na cyberfroncie jak gra w pokera

Szef ds. operacyjnych w Centrum ds. Walki z Cyberprzestępczością Europolu (EC3) działania w cyberprzestrzeni porównał do gry w pokera. Po jednej stronie siedzą "dobrzy gracze": organy ścigania, Europol, agencje wywiadowcze, firmy cyberbezpieczeństwa. Z kolei po drugiej stronie - źli: cyberprzestępcy, aktorzy państwowi, grupy haktywistyczne.

Wspólnym mianownikiem jest konieczność ciągłej współpracy między podmiotami po "dobrej" stronie stołu. W obliczu zagrożeń hybrydowych żadna instytucja nie ma bowiem pełnego obrazu sytuacji ani wystarczających narzędzi, by samodzielnie chronić społeczeństwo i infrastrukturę.

Zawsze podkreślam: w przypadku zagrożeń hybrydowych potrzebujemy hybrydowych rozwiązań. Nie obchodzi mnie, kto po naszej stronie stołu wygra daną rozgrywkę, dopóki ktoś po drugiej stronie ją przegrywa - powiedział ekspert.

Sednem takiego podejścia jest maksymalne ułatwienie współpracy po "dobrej" stronie stołu: między policją, służbami wywiadowczymi a sektorem prywatnym. Chodzi o to, by znaleźć legalne i techniczne metody, które pozwolą "dobrym graczom" pokazywać sobie karty, kiedy wymaga tego operacja. Od tego zależy czy się powiedzie i jaki będzie jej wynik.

- Cyberprzestępczość rozumiemy i potrafimy ją wykrywać, ale tylko razem możemy ją realnie zakłócać - podsumował.

***

Tekst powstał na konferencji ESET World, w której redakcja WNP uczestniczyła na zaproszenie firmy ESET.

wnp.pl