- Próby ataków ransomware kilka razy w tygodniu, „dziurawe” VPN-y i problem z dotarciem do „podatnych” podmiotów. Co naprawdę widzi CERT Polska, gdy gasną systemy urzędów i szpitali? O to pytamy Marcina Dudka, kierownika CERT Polska, czyli jednego z trzech krajowych zespołów CSIRT (Computer Security Incident Response Team, tj. Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) działającego w strukturach NASK.
- Co jest dziś „miękkim podbrzuszem” sektora energetycznego, jakie grupy APT najczęściej atakują Polskę, jakie są ich techniki i metody działania? Dlaczego nadal najczęściej stosowane są najprostsze ataki socjotechniczne? Te i wiele innych pytań pada w rozmowie z szefem CERT Polska.
- Jaki wpływ na cyberzagrożenia i cyberbezpieczeństwo ma obecnie sztuczna inteligencja? - Przestępcy korzystają z AI, zarówno grupy motywowane finansowo, jak i APT. Widzimy kampanie phishingowe, gdzie treści e-maili czy stron są ewidentnie generowane automatycznie. Ciekawostka jest taka, że dziś często oznacza to… niższą jakość. Mamy więcej błędów, słabszej jakości kod, schematyczne treści - usłyszeliśmy od eksperta.
- O cyberbezpieczeństwie będziemy rozmawiać podczas XVIII Europejskiego Kongresu Gospodarczego w Katowicach (22-24 kwietnia). Trwa rejestracja na to wydarzenie.
Ataki ransomware nękające różne sektory
Zaledwie kilka dni temu pojawiła się informacja o ataku na urząd miasta w Myszkowie. Zakładam, że wspieracie obsługę tego incydentu. Na jakim etapie są działania?
- Otrzymaliśmy od urzędu logi i inne materiały, które są nam potrzebne do analizy. Wspieramy też urząd w komunikacji - treść oświadczenia publikowanego na stronie była z nami uzgadniana. Wiele wskazuje na problem z urządzeniem brzegowym, w którym mogły być podatności, ale to wymaga potwierdzenia.
Niestety większość incydentów ransomware, które obsługujemy, ma podobny scenariusz: nieaktualizowane urządzenia brzegowe albo wycieki poświadczeń do VPN. Takich zdarzeń mamy w Polsce kilka tygodniowo.
Ostatnio głośno było też o atakach na szpitale w Szczecinie i Bonifraterskie Centrum Medyczne. Jaką funkcję pełnicie w takich sprawach?
- W incydentach tego typu główną rolę odgrywa CSIRT CeZ (zespół reagowania na incydenty cyberbezpieczeństwa dla sektora zdrowia - przyp. red.), który jest w stałym kontakcie z zaatakowanymi instytucjami. My szczególnie wspieramy część analityczną: ustalamy wektor ataku, analizujemy logi, patrzymy, co dokładnie robił atakujący. Mamy doświadczenie w analizie dużych ilości materiału technicznego.
W praktyce wygląda to tak, że CSIRT CeZ prowadzi proces wsparcia podmiotu w odbudowie systemów i w przywracaniu ciągłości działania, a my bardziej koncentrujemy się na wyjaśnieniu, co się dokładnie wydarzyło.
Mówisz, że incydenty ransomware zdarzają się kilka razy w tygodniu. Co najczęściej jest wspólnym mianownikiem tych ataków?
- Trzy rzeczy. Po pierwsze, podatne urządzenia brzegowe - głównie VPN wystawione do internetu i od lat nieaktualizowane. Często wiemy, że dane urządzenie jest podatne, wysyłamy ostrzeżenia, ale trudno dotrzeć do właściwej osoby. Widząc tylko adres IP, widzimy operatora telekomunikacyjnego, a nie konkretny szpital czy urząd. W praktyce wysyłamy powiadomienie do operatora z prośbą o przekazanie go dalej do właściciela adresu. Nie zawsze wiadomo jednak, kto jest tym właścicielem, a informacja potrafi „zaginąć” - albo na etapie przekazywania przez ISP (dostawca usług internetowych – przyp. red.), albo później, gdy trafia np. na ogólną skrzynkę szpitala i jest traktowana jak spam. To jest obecnie nasz największy problem w działaniach prewencyjnych. W wielu sytuacjach na jakimś etapie wiedzieliśmy, że dane urządzenie jest podatne i można było temu zapobiec, bo wystarczyło odpowiednio wcześnie zaktualizować system. Nie mamy jednak narzędzi prawnych, które pozwoliłyby szybko i jednoznacznie ustalić właściciela danego adresu IP.
Po drugie, wykradzione poświadczenia. Ktoś na prywatnym komputerze infekuje się stealerem, który wyciąga hasła m.in. do VPN. Te dane trafiają potem na fora czy kanały przestępcze np. na Telegramie. Ktoś je przegląda, widzi „ciekawy” podmiot i po prostu loguje się na konto pracownika. Przy braku segmentacji sieci i monitoringu w krótkim czasie da się przejąć dużo więcej. Gdyby wszędzie było obowiązkowe 2FA (uwierzytelnienie dwuskładnikowe – przyp. red.) na VPN, większość takich ataków byłaby dużo trudniejsza do przeprowadzenia.
Po trzecie, problemem też są wystawione do internetu usługi, które w ogóle nie powinny być publiczne, np. zdalny pulpit z prostym hasłem. Atakujący „słownikowo” (chodzi o atak typu brute force – przyp. red.) sprawdza kolejne kombinacje i czasem udaje mu się zalogować. Wtedy uzyskuje dostęp do konkretnego komputera w sieci, a dalej może już swobodnie się po niej poruszać.
Wystarczy telefon i socjotechnika
Z jednej strony opisujesz bardzo techniczne scenariusze, ale z drugiej nadal działają proste schematy oszustw na zwykłych obywateli. Co dziś jest dla nich największym zagrożeniem?
- Dla obywateli zdecydowanie największym problemem są oszustwa socjotechniczne: fałszywe strony wyłudzające dane logowania i kampanie telefoniczne, w których ktoś namawia do przelania pieniędzy. Tu technika odgrywa drugo-, a czasem trzeciorzędną rolę.
W 2025 r. zarejestrowaliśmy ponad 260 tys. incydentów - aż 97,3 proc. z nich to właśnie oszustwa, w których przestępcy skupiają się na uśpieniu czujności odbiorcy zamiast forsownego przełamywania zabezpieczeń. Dla porównania, opisywane wcześniej włamania do systemów to niecały 1 proc., a szkodliwe oprogramowanie – 1,5 proc.
Jeżeli ktoś odbierze telefon, uwierzy w historię o „policjancie” czy „pracowniku banku” i sam pójdzie do oddziału, żeby przelać pieniądze, to nawet najlepsze systemy bezpieczeństwa banku nie zawsze go zatrzymają. Tu jedyną realną „tarczą” jest edukacja - świadomość, że łatwy zysk i presja czasu to często sygnał ostrzegawczy, a nie okazja inwestycyjna.
Mimo tylu kampanii edukacyjnych te oszustwa wciąż działają.
- I to jest obszar, który rośnie. Kiedyś oszustwa były bardziej techniczne np. trojany bankowe podmieniające numer rachunku w schowku, zaawansowane malware. To dało się stosunkowo dobrze adresować technicznie: sygnatury, systemy detekcji, blokady. Teraz coraz częściej problemem jest to, że ktoś sam „chce” przelać pieniądze. Tego nie da się załatwić jednym centralnym systemem, bo tu trzeba mozolnej, długofalowej edukacji.
Widzimy jednocześnie, że coraz więcej osób ma świadomość dokąd zgłaszać podejrzane treści znalezione w internecie - w 2023 r. otrzymaliśmy 371 tys. zgłoszeń od obywateli, w 2024 - 601 tys., a w zeszłym roku niemal 660 tys. Jeszcze przed 2020 r. były to liczby rzędu 20-30 tys. zgłoszeń rocznie - wielu obywateli już teraz aktywnie pomaga chronić siebie i innych, ale wciąż dużo pracy przed nami.
Jak w to wszystko wpisuje się sztuczna inteligencja? Widzicie, że zmienia balans sił między bezpiecznikami a cyberprzestępcami?
Przestępcy korzystają z AI, zarówno grupy motywowane finansowo, jak i APT. Widzimy kampanie phishingowe, gdzie treści e-maili czy stron są ewidentnie generowane automatycznie. Ciekawostka jest taka, że dziś często oznacza to… niższą jakość. Mamy więcej błędów, słabszej jakości kod, schematyczne treści. Z jednej strony ułatwia im to tworzenie wielu wariantów kampanii, trudniejszych do powiązania, z drugiej – te błędy bywają dla nas atutem. Pozwalają odkryć kolejne serwery czy infrastrukturę, bo ktoś skonfigurował coś nie do końca poprawnie.
My też intensywnie wykorzystujemy AI - do klasyfikowania i tagowania zgłoszeń, wyszukiwania wzorców, a także od niedawna do wspierania fuzzingu, czyli automatycznego szukania podatności.
Trwają też pracę nad wykorzystaniem AI do wsparcia analizy szkodliwego oprogramowania czy analizy materiałów zabezpieczonych po ataku, np. logów. Na razie nie widzimy, żeby użycie AI przez przestępców spowodowało dramatyczny „skok jakościowy” po ich stronie. Jednak widać, że to kierunek, który będzie się rozwijał, a my chcemy o tym mówić - już 8 kwietnia spotykamy się z praktykami cyberbezpieczeństwa na konferencji SECURE w Warszawie, gdzie poruszymy te i wiele innych tematów z codzienności naszego zespołu i Krajowego Systemu Cyberbezpieczeństwa.
Energetyka: miękkie „podbrzusze” systemu
Przejdźmy do dyskusji o cyberatakach z końca 2025 r. w sektorze energetycznym. Jakie są najważniejsze wnioski z tego incydentu?
- Największym zaskoczeniem było uświadomienie sobie, jak niesamowicie rozproszona jest energetyka odnawialna. Mówimy o setkach czy tysiącach instalacji: farmach wiatrowych, fotowoltaicznych, należących do setek małych spółek. Większość z nich nie podlega żadnym realnym obowiązkom w zakresie cyberbezpieczeństwa i nawet po wejściu KSC 2.0 w wielu przypadkach nadal tak będzie.
Każda taka farma osobno to „tylko” kilkanaście megawatów, więc w regulacjach wygląda na mały podmiot. Problem w tym, że gdy wiele takich źródeł zostanie wyłączonych jednocześnie, to ich wpływ na system może być bardzo znaczący. Do tego dochodzą kwestie techniczne: nieaktualizowane urządzenia brzegowe, brak segmentacji sieci, domyślne hasła na urządzeniach sterujących. W praktyce, jeżeli ktoś pokona pierwszą barierę zabezpieczeń, ma bardzo ułatwioną drogę, by działać dalej.
To jest pewna luka, o której wcześniej mówiło się głównie w kontekście fotowoltaiki na dachach domów. Pojedyncza mała instalacja niewiele znaczy, ale gdyby nagle milion prosumentów został odłączony od sieci, wpływ byłby odczuwalny. Szczególnie że praktycznie zawsze są one podłączone do internetu, zazwyczaj do chmury producenta, często w Chinach. Z poziomu tej chmury da się zmieniać firmware urządzeń, więc masowe wyłączenie takich instalacji jest potencjalnie możliwe, a to realne zagrożenie, choć na dziś bez prostego rozwiązania.
O energetyce „zawodowej” OZE - większych, ale wciąż stosunkowo małych farmach – do tej pory mówiło się mniej. Wydawało się, że to już sektor poważny, dobrze uporządkowany, z odpowiednim poziomem bezpieczeństwa. Tymczasem okazało się, że w wielu małych obiektach OZE poziom zabezpieczeń jest bardzo niski.
Nie ma wymogów cyberbezpieczeństwa, więc rozumiem, że właściciel nie inwestuje – jego celem jest produkcja energii przy jak najniższych kosztach. Jeśli nikt nie żąda od niego środków na cyberbezpieczeństwo, nie widzi powodu, żeby je wydawać.
Kto atakuje Polskę?
Kiedy mówimy o energetyce i krytycznej infrastrukturze, od razu pojawia się pytanie o atrybucję, którą w swoim raporcie po incydencie wskazaliście. Jakie grupy APT najmocniej obecnie zagrażają Polsce?
- Przy atrybucji trzeba rozróżnić dwa poziomy: techniczny i polityczny. My zajmujemy się atrybucją techniczną, tj. wskazujemy klastry aktywności, czyli zestawy zachowań, które wyglądają i zachowują się podobnie do grup APT, które były wcześniej opisane i nazwane, lub wskazujemy, że jest to coś nowego. Celowo branżowo wtedy mówimy o klastrach aktywności, a nie „grupach” w sensie konkretnej ekipy osób.
W naszym raporcie nie przypisujemy tego incydentu żadnej konkretnej służbie, ani nawet państwu, choć premier publicznie wskazał, z jakiego kraju pochodził atak. To nie jest nasza rola. Jako CERT krajowy analizujemy incydent technicznie, pokazujemy, do jakich znanych wcześniej kampanii pasują obserwowane artefakty i wskazujemy, jakie błędy popełniono, że taki atak był możliwy. Kto za tym stoi i dlaczego uderzył w tym momencie, to już jest rola służb.
W przypadku incydentu w sektorze energii uznaliśmy, że najbardziej pasuje on do klastra znanego publicznie jako „Static Tundra”/ „Berserk Bear”/ „Ghost Blizzard” oraz „Dragonfly”.
Ciekawe jest to, że był to pierwszy znany przypadek, w którym ten aktor przeprowadził atak o charakterze destrukcyjnym. Wcześniej był kojarzony z działaniami wywiadowczymi przeciwko sektorowi energetycznemu - pozyskiwaniem informacji, a nie niszczeniem infrastruktury. Stąd inne podmioty z automatu typowały Sandworm, bo ta grupa słynie z destrukcyjnych ataków. Nam jednak nic, poza samym faktem destrukcji i bliskością rocznicy ataku na Ukrainie, nie pasowało do Sandworm, więc nie przypisaliśmy tego incydentu do tej grupy.
Jeśli chodzi o bieżącą aktywność wobec Polski, widzimy bardzo dużo działań grupy znanej jako UNC1151, związanej z operacją Ghostwriter. To bardzo aktywny aktor, bo tygodniowo widzimy kilka, a czasem kilkanaście ataków, głównie na skrzynki mailowe, ale też z użyciem złośliwego oprogramowania.
Zresztą w Polsce to bardzo znana grupa, kojarzona przede wszystkim z aferą mailową.
- Tak, jest to jedna z najbardziej medialnie rozpoznawanych grup działających w Polsce. Mocno aktywne jest też APT28, zwłaszcza w obszarze wojskowym i podmiotów powiązanych z wojskiem.
Łącznie regularnie aktywnych wobec Polski jest mniej niż dziesięć takich „klastrów”. Część z nich atakuje globalnie, ale są i tacy, dla których Polska jest wyraźnie ulubionym celem, jak wspomniana UNC1151.
A na ile obecna sytuacja geopolityczna, szczególnie to, co dzieje się na Bliskim Wschodzie, wpłynęła na liczbę incydentów w polskiej cyberprzestrzeni?
- Widzimy wyraźny wzrost liczby zdarzeń powiązanych z aktywnością obcych państw. Wcześniej większość takich incydentów skupiała się na podmiotach przypisanych do działalności CSIRT GOV czy CSIRT MON. Obecnie coraz częściej widzimy je także w sektorze prywatnym - u cywilnych podmiotów, takich jak np. firmy, które na pierwszy rzut oka wydają się niepowiązane z obszarem zainteresowania aktorów państwowych.
Okazuje się, że np. niewielka firma logistyczna, która realizowała transport wsparcia na Ukrainę, może stać się celem takiej operacji. Coraz częściej trafiają do nas incydenty z firm czy instytucji, które są gdzieś „w tle” np. w łańcuchu dostaw, niekoniecznie na pierwszej linii.
Jeśli chodzi o osoby indywidualne, obecnie rzadko wprost atakowane są skrzynki mailowe najważniejszych polityków. Częściej celem stają się osoby z ich otoczenia: osoby spokrewnione czy blisko współpracujące, a także osoby, które mogą mieć wiedzę ciekawą z perspektywy atakującego, np. tłumacze przysięgli języka rosyjskiego, księża prawosławni, czy prawnicy. Taki „drugi rząd” nie czuje się naturalnym celem ataku, przez co bywa bardziej podatny na różne techniki.
KSC 2.0 i CSIRT-y sektorowe - więcej pracy, ale też więcej narzędzi
W czasie rozmowy o cyberbezpieczeństwie trudno pominąć temat nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Po kilku latach prac nad dokumentem wreszcie została przyjęta. Co to dla was oznacza?
- Dla nas oznacza to więcej pracy, ale jednocześnie kolejny krok naprzód. Podobnie było przy pierwszej wersji ustawy o KSC, która nałożyła wiele obowiązków na podmioty, a nam dała nowe możliwości, uprawnienia, finansowanie i przede wszystkim doprowadziła do tego, że podmioty zaczęły zgłaszać incydenty. KSC 2.0 jest naturalnym rozwinięciem tego procesu. To nie jest zmiana, która zadziała z dnia na dzień, nagle świadomość wszystkich wzrośnie, a kilkadziesiąt tysięcy objętych regulacjami podmiotów zacznie działać inaczej. Jednak z czasem to się po prostu wydarzy. Świadomość będzie coraz powszechniejsza, a zgłaszanie incydentów stanie się czymś naturalnym.
Nowością są CSIRT-y sektorowe. Mam nadzieję, że poprawią one kontakt z konkretnymi sektorami i ich specyfiką. Nie oczekuję, że mocno nas „odciążą” technicznie, bo moim zdaniem najgłębsze kompetencje, jak głębokie analizy szkodliwego oprogramowania na poziomie inżynierii wstecznej czy zaawansowany forensic, powinny pozostać scentralizowane. Nie ma tylu specjalistów, żeby zbudować takie zespoły w każdym sektorze, ani tylu zdarzeń, żeby ich pracę sensownie wypełnić.
Natomiast ogromną wartość widzę w „animowaniu” sektorów – w stałym kontakcie z podmiotami, regularnych spotkaniach, tłumaczeniu, co powinny zrobić, i sprawdzaniu, czy faktycznie to realizują. Każdy sektor ma swoje typowe systemy i dostawców. W zdrowiu są specyficzne systemy szpitalne i bez znajomości tej branży trudno właściwie przeanalizować incydent, bo trzeba rozumieć, jak systemy są zbudowane, połączone, jak przepływają dane. CSIRT sektorowy, który zna tę specyfikę, wie, z kim rozmawiać po incydencie, jak dane systemy powinny wyglądać w wersji bezpiecznej - to ogromne wsparcie.
W nowelizacji jest też zapis, że jeśli CSIRT sektorowy nie będzie miał odpowiednich kompetencji czy zasobów, może zwrócić się do was o wsparcie. Czy w praktyce nie oznacza to, że przynajmniej na początku i tak będziecie mieli więcej pracy, bo te zespoły dopiero będą się uczyć i wypracowywać swoje procedury?
- Przeciwnie, ta praca już dziś jest u nas. Z CSIRT-ami sektorowymi różnica polega na tym, że będziemy mieć partnera, który zna swój sektor, jego procesy i ludzi. Część incydentów zostanie obsłużona na poziomie sektorowym, a do nas trafią te najtrudniejsze.
Przykład CSIRT KNF pokazuje, że to naprawdę może odciążać „centralę”, trochę jak dobry, branżowy pierwszy filtr, który rozumie specyfikę swojej działki.
Które sektory w pierwszej kolejności powinny powołać CSIRT-y, żeby także odciążyć wasz zespół?
- Na pewno bardzo potrzebny jest CSIRT dla sektora telekomunikacyjnego. Nie tylko ze względu na liczbę incydentów, ale przede wszystkim na działania, które są konieczne, aby skuteczniej z nimi walczyć też w innych sektorach. To choćby wypracowanie drogi do identyfikacji podmiotów na podstawie adresów IP czy lepsza współpraca z operatorami, żeby szybciej i sprawniej przekazywać informacje o zagrożeniach, np. w zakresie Listy Ostrzeżeń, której wdrożenie przez operatorów jest dziś dobrowolne.
Sektor energetyczny to kolejny oczywisty kandydat, bo mamy tam wiele rozproszonych podmiotów i specyficzne systemy automatyki przemysłowej. Po incydencie w sektorze energii przygotowaliśmy rekomendacje, ale nie mieliśmy prostego mechanizmu, żeby przekazać je wszystkim istotnym podmiotom. Robiliśmy to własnymi metodami. CSIRT sektorowy mógłby tę rolę wziąć na siebie i zapewnić, że takie rekomendacje dotrą tam, gdzie trzeba.
CSIRT-y sektorowe będą potrzebowały ekspertów. Pana zdaniem w Polsce jest ich obecnie wystarczająco dużo? W raportach unijnych i globalnych zawsze wskazywane są gigantyczne liczby, wskazujące na ich brak.
- My, na szczęście, obecnie nie odczuwamy tego bardzo dotkliwie, ale niewątpliwie będzie to wyzwanie i dla CSIRT-ów sektorowych, i dla SOC-ów oraz działów bezpieczeństwa w podmiotach objętych KSC 2.0.
Wejście nowelizacji ustawy oznacza, że wiele organizacji będzie chciało jednocześnie zatrudniać specjalistów od cyberbezpieczeństwa, a to naturalnie zwiększy konkurencję o ludzi.
U nas pomaga rozpoznawalność, bo wiele osób na początku kariery chce do nas przyjść, zdobyć doświadczenie, a dopiero później przejść np. do CSIRT-u sektorowego czy do biznesu. Mamy dopracowaną ścieżkę rozwoju, a przez to, że działamy od wielu lat, ten mechanizm „sam się kręci”, pracownicy rozwijają się u nas stopniowo. U nas to działa, ale na rynku deficyt specjalistów będzie realnym wyzwaniem.
Jak mówić o cyber, by nie straszyć?
Z punktu widzenia pana doświadczenia, czy widać zmianę w zachowaniu organizacji, gdy dochodzi do incydentu?
- Zdecydowanie tak. Dziś dużo częściej mamy do czynienia z organizacjami, które wiedzą, jakie mają obowiązki w przypadku wystąpienia incydentu i są otwarte na pomoc od nas. Coraz częściej też widzimy zrozumienie dla potrzeby jasnej komunikacji medialnej i z klientami. Administratorzy coraz częściej mają świadomość, że cyberbezpieczeństwo jest istotne i rozumieją, jakie dane są potrzebne do analizy, potrafią wskazać, gdzie popełnili błąd i co chcą poprawić.
Coraz rzadziej mamy sytuację typu „sami sobie poradzimy”, czy “nie rozumiem, o co prosicie”. Cyberbezpieczeństwo przestało być niszą, to teraz temat obecny w głównym nurcie debaty publicznej. I to jest zmiana na plus.
Jak mówić o cyberatakach, żeby z jednej strony nie popadać w katastrofalne tony, a z drugiej nie uśpić czujności „pana Kowalskiego”?
- Nasze podejście jest proste: każda komunikacja powinna zawierać element praktyczny. Nie tylko „znowu był atak, jest źle”, ale też „co możesz zrobić, żeby się lepiej chronić”, czy chodzi o hasła, 2FA, czy rozpoznawanie phishingu.
Druga kwestia to budowanie świadomości. Wiadomo, że przeciętny odbiorca nie siedzi w logach serwera, tylko dostaje fałszywy SMS lub telefon. Dla niego kluczowe są proste nawyki, a nie detale techniczne.
Jednocześnie rozumiemy, że media potrzebują chwytliwych tytułów, liczy się jednak to, co jest w środku. Im więcej w treści rzetelnych informacji i konkretnych porad, tym większa szansa, że ten cały wysiłek - po naszej i waszej stronie - faktycznie przełoży się na bezpieczeństwo użytkownika.
Dziękuję za rozmowę.