Kategoria: INFO

Informacje na temat cybwerbezpieczeństwa w jednostkach samorządu terytorialnego oraz podmiotach prywatnych.

Opublikowane w

PODSUMOWANIE ROKU W SFERZE CYBERBEZPIECZEŃSTWA

Rok dobiega końca. W urzędach panował wzmożony ruch, inwestycje, nowe projekty IT, audyty, aktualizacja SZBI. W tle rosło ryzyko włamań i szantażu. Wiele jednostek zbyt późno zauważyło, że utrata danych to nie awaria komputera, tylko brak ciągłości działania instytucji. Atak na urząd nie kończy się na nerwach pracowników. Płacą za to mieszkańcy, bo nie złożą wniosku o dowód, nie uregulują opłat, nie odbiorą świadczeń. Ten rok pokazał, że samorząd stał się realnym celem hakerów.

 

cyfrowa choinka

Rys.1 Grafika „cyfrowa choinka” Źródło: Designed by Freepik

Najczęściej włamania polegały na szyfrowaniu danych i żądaniu okupu oraz atakach na skrzynki e-mail. W kilku gminach systemy teleinformatyczne przestały działać a odtworzenie infrastruktury trwało kilka dni. Do wielu pracowników wpływały pisma w formie e-mail z domen przypominających GOV.PL. Cyberprzestępcy nie zawsze atakują fizyczne zabezpieczenia. Często obserwują profile pracowników, dzięki temu wiedzą kto choruje, kiedy kadrowa bierze urlop, kto odbiera wnioski o wypłatę świadczeń. To wystarczy, żeby podszyć się pod dyrektora i wysłać polecenie przelewu.

Bądź czujny każdego dnia. Sprawdź czy twoje hasła są wystarczająco silne i długie. Nie korzystaj z jednego hasła dla wszystkich systemów. Włącz podwójną autoryzację w usługach pocztowych. Aktywnie bierz udział w szkoleniach. W każdym systemie bezpieczeństwa najważniejszy jest człowiek i jego kompetencje.

Życzę wszystkim świąt pełnych spokoju i ciepła, bez telefonów o awariach, pożarach czy wyciekach danych. Niech nowy rok przyniesie mniej stresu, a więcej sukcesów, satysfakcji z pracy i poczucia sensu. Życzę wam więcej czasu dla bliskich, oddechu od codziennego pośpiechu i wiary, że to co robisz buduje lepszą przyszłość dla twojej społeczności.

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

FAŁSZYWE KONTROLE URE

W ostatnich tygodniach w całej Polsce pojawiają się sygnały, że nieznane osoby pukają do drzwi właścicieli instalacji fotowoltaicznych i przedstawiają się jako pracownicy Urzędu Regulacji Energetyki (URE), rzekomo w celu kontroli paneli słonecznych. Ten przekaz brzmi oficjalnie i może Cię zmylić. Urząd wydał jednak jasny komunikat, że nie prowadzi takich wizyt u prosumentów w domach prywatnych. To oznacza, że te kontrole są fałszywe i mogą być próbą oszustwa lub wyłudzenia.

serwisant

Rys.1 Grafika „fałszywe kontrole fotowoltaiki” Źródło: Designed by Freepik

Urząd jako regulator rynku energii nadzoruje przedsiębiorstwa energetyczne, ustala taryfy, wydaje koncesje i monitoruje rynek. Osoby twierdzące, że pracują na zlecenie URE i chcą wejść na posesję w celu kontroli, robią to bez uprawnień i wprowadzają Cię w błąd.

Operator systemu dystrybucyjnego (OSD), czyli firmy takie jak PGE, Tauron, Enea czy Energa, mogą przeprowadzać kontrole sieci i instalacji podłączonych do sieci. Takie kontrole mają zasady:

  • są wcześniej zapowiedziane,

  • kontrolerzy mają imienne upoważnienia i legitymacje,

  • nie proszą o podpisywanie dokumentów poza tym, co wynika z procedur operatora,

  • nie żądają pieniędzy od właściciela.

Jeżeli ktoś pojawia się bez wcześniejszego kontaktu, nie przedstawia prawdziwego dokumentu i mówi, że robi kontrolę „z URE”, najpewniej nie mówi prawdy.

Fałszywi „kontrolerzy” starają się być wiarygodni. Mogą mieć identyfikatory z logo, nosić profesjonalne ubrania albo znać podstawowe informacje o fotowoltaice. Jeśli coś Cię zaciekawi lub zaniepokoi w zachowaniu takiej osoby, nie wpuszczaj jej na posesję do czasu wyjaśnienia sytuacji.

Zawsze możesz poprosić o dokumenty i spisać dane osoby rzekomego kontrolera. Zadzwoń wtedy do Twojego operatora sieci, on potwierdzi, czy taka kontrola miała być wykonana. Jeżeli osoba zachowuje się natarczywie, żąda pieniędzy albo wymusza podpisy pod dokumentami, zakończ spotkanie i zadzwoń na policję (112). Ostrzeż sąsiadów, bo oszuści często działają w okolicy i odwiedzają od kilku do kilkunastu domów pod podobnym pretekstem.

W administracji często spotykasz się z sygnałami od mieszkańców o dziwnych kontrolach. W tej sytuacji możesz podjąć proste działania na rzecz społeczności:

  • Wyjaśnij obywatelom, że URE nie robi kontroli instalacji w domach.

  • Naucz ich weryfikować upoważnienia operatora i kontaktować się z firmą, zanim udostępnią komuś posesję.

  • Zachęcaj do rejestrowania wizyt, robienia zdjęć dokumentów i konsultowania się z lokalnym urzędem gminy, policją albo z prawnikiem.

  • Udostępnij listę operatorów sieci lokalnych, żeby mieszkańcy mogli zadzwonić bezpośrednio w razie wątpliwości.

Statystyki pokazują, że w Polsce działa już ponad 1,5 mln mikroinstalacji OZE, z czego zdecydowana większość to fotowoltaika prosumentów. To duża liczba potencjalnych celów dla oszustów. Jeżeli potrafisz ostrzec mieszkańców, że mogą paść ofiarą fałszywych kontroli URE, i nauczysz jak je rozpoznać, minimalizujesz ryzyko oszustw w społeczności. Twoja wiedza pomaga ludziom zachować ostrożność i unikać zagrożeń związanych z nieuprawnionymi wizytami.





Źródła:



AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

 

Opublikowane w

CZY WOLNO MONITOROWAĆ SĄSIADÓW I PRZESTRZEŃ PUBLICZNĄ?

Coraz więcej osób montuje kamery wokół domu dla własnego bezpieczeństwa. To naturalne. Każdy chce chronić swój dom i majątek. Nie każdy jednak wie, że kamera nie zawsze może rejestrować wszystko dookoła. Gdy jej zasięg obejmuje teren należący do sąsiada albo publiczną drogę, wchodzi w grę prawo o ochronie danych osobowych. Prezes Urzędu Ochrony Danych Osobowych (UODO) właśnie wydał decyzję, która to potwierdza. Ta informacja ma pomóc zrozumieć granice monitoringu prywatnego i uniknąć konfliktów z prawem.

monitorowanie kamer

 

Rys.1 Grafika „monitoring publiczny” Źródło: Designed by Freepik

Prawo nie zabrania instalacji systemów monitoringu na własnej posesji. Możesz je montować po to, by chronić dom przed włamaniem albo wandalizmem. Takich kamer nie musisz zgłaszać do urzędu, jeżeli filmują tylko Twój teren. Problem pojawia się wtedy, gdy kamera nagrywa więcej niż Twój dom. Jeżeli w polu widzenia znajduje się podwórko sąsiada, wejście do domu, okna, albo nawet fragment drogi publicznej, sytuacja się zmienia. Wtedy te dane to już informacje o osobach trzecich i podlegają przepisom RODO.

Zgodnie z wyrokiem Trybunału Sprawiedliwości Unii Europejskiej z 11 grudnia 2014 r. w sprawie C-212/13 (František Ryneš), przetwarzanie danych nie ma charakteru wyłącznie osobistego lub domowego, jeśli monitoring obejmuje choćby częściowo przestrzeń publiczną lub teren należący do osób trzecich.

Na podstawie art. 58 ust. 2 lit. c RODO Prezes UODO nakazał zaprzestania przetwarzania danych osobowych skarżących za pomocą monitoringu wizyjnego w zakresie wizerunku oraz głosu, obejmującego swym zasięgiem drogę publiczną oraz nieruchomości skarżących, wobec braku podstawy prawnej dla tego przetwarzania. DECYZJA

Sąsiedzi w skardze do Prezesa UODO podnieśli, że zebrane dane są przetwarzane bez ich zgody. Mieszkańcy czują się nękani i mają poczucie naruszania ich prywatności, co negatywnie wpływa na ich codzienne życie. Kamery obejmowały kilkanaście obszarów, w tym drogę publiczną i sąsiednie budynki. Nagrywały obraz i dźwięk przez całą dobę. Jedna z kamer miała być skierowana bezpośrednio na okno toalety w sąsiednim budynku.

Jeśli kamera rejestruje przestrzeń publiczną albo cudzą posesję, jesteś traktowany jak administrator danych. W takiej sytuacji musisz stosować przepisy o ochronie danych. Nie wolno traktować kamery jak narzędzia do „utrzymania porządku” na drodze albo w sąsiedztwie. Takie zadania należą do organów państwowych i profesjonalnych służb, nie do osób prywatnych. UODO jasno wskazał, że prywatny monitoring nie może zastępować policji czy straży miejskiej.

Sprawdź zasięg kamery. Jeżeli filmujesz drogi, chodniki albo cudze posesje, zmień kąt widzenia. Skieruj kamerę tak, aby rejestrowała tylko własną działkę. Jeżeli to możliwe, wyeliminuj fragmenty z sąsiedztwa i publiczne miejsca. Nie nagrywaj dźwięku, jeśli obejmujesz cudze tereny. Zbieranie dźwięku to również dane osobowe i zwiększa ryzyko naruszenia prywatności. Umieść tabliczkę informującą o monitoringu tylko tam, gdzie to Twoje tereny.

Źródła:

 

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

Cyberatak na skrzynki e-mail w UZP i KIO

W połowie grudnia 2025 r. potwierdzono poważny incydent bezpieczeństwa w Urzędzie Zamówień Publicznych (UZP) i Krajowej Izbie Odwoławczej (KIO). Cyberprzestępcy uzyskali dostęp do skrzynek pocztowych urzędników. W wiadomościach e-maili mogły znajdować się dane kontaktowe, informacje finansowe, skargi, wnioski, postepowania odwoławcze itp. Oznacza to, że ktoś mógł przeczytać korespondencję urzędników, pobrać załączniki i wykorzystać je do własnych celów.

 

groźny e-mail

Rys.1 Grafika „cyberatak e-mail” Źródło: Designed by Freepik

Incydent uderzył w podstawowe narzędzie pracy administracji, czyli pocztę elektroniczną. To pokazuje, że atakujący interesują się instytucjami państwowymi i testują, gdzie użytkownicy popełniają błędy. Najczęściej cyberprzestępcy wykorzystują phishing i podszywają się pod znane instytucje do których mamy zaufanie. Gdy uda im się włamać na jedno konto, przygotowują kolejną kampanie z przejętego adresu. Taki atak jest bardzo wiarygodny i trudny do wykrycia na pierwszy rzut oka, ponieważ nadawca jest prawdziwy i zaufany. Z e-mail i załączników pobierają dane, które mogą wykorzystać do zaciągania zobowiązań.

Urząd zgłosił incydent do odpowiednich służb i rozpoczął działania naprawcze. Konta zostały zablokowane, hasła zresetowane, a sama sytuacja jest analizowana pod kątem naruszenia danych osobowych. To typowe kroki, które należy podjąć, gdy ktoś uzyska dostęp do korespondencji urzędowej. Ostatecznie ważne jest, aby każdy pracownik wiedział, że skrzynka pocztowa jest jak sejf, jeżeli ktoś tam wejdzie, może zrobić szkody.

Taka sytuacja może przydarzyć się każdemu. Dlatego warto wdrożyć dwuetapową autoryzację, regularnie zmieniać hasło, nie używać jednego hasła do wielu usług, nie klikać w podejrzane linki, nie pobierać nieoczekiwanych załączników i sprawdzać, kto tak naprawdę do nas pisze. Jeżeli wiadomość wywołuje presję, strach lub pośpiech, jest duża szansa, że to próba ataku. Najlepiej wtedy zadzwonić do nadawcy i upewnić się, że wiadomość jest prawdziwa.

Incydent w UZP to sygnał, że cyberbezpieczeństwo nie jest technologiczną ciekawostką, ale obowiązkiem w codziennej pracy. Każdy z nas ma wpływ na to, czy urząd pozostanie bezpieczny. Jeśli nie masz pewności, zawsze lepiej zapytać dział IT niż działać w ciemno. To właśnie drobne decyzje pracowników najczęściej decydują o tym, czy atak się uda.



Źródła:

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

GDZIE JEST GRANICA BEZPIECZEŃSTWA GIER DLA DZIECI?

Gry komputerowe są dziś ogromnym rynkiem – NASK podaje, że ich wartość przewyższa przemysł filmowy i muzyczny. To nie tylko zabawa – to także ogromne zasoby: konta graczy, wirtualne przedmioty, portfele cyfrowe. Dla cyberprzestępców to atrakcyjny cel. Ryzyko pojawia się w momentach, które na pierwszy rzut oka wydają się normalne: instalowanie aktualizacji, korzystanie z testowych wersji gier („early access”), pobieranie modów, logowanie do platform. To, co wygląda jak codzienna rutyna gracza, może być pułapką.

 

dziecko przy telewizorze

 

Rys.1 Grafika „gry komputerowe” Źródło: Designed by Freepik

Fałszywe aktualizacje i zainfekowane gry

NASK opisuje przypadki, gdy aktualizacja gry zawiera złośliwy kod. Gracz myśli, że instaluje poprawkę lub nową wersję. Jednak w tle, uruchamiają się programy, które zbierają dane logowania, hasła lub nawet przejmują kontrolę nad kontem.

Przykładem jest gra „BlockBlasters”: po jej aktualizacji okazało się, że zainfekowano komputery graczy. Dane z kont Steam zostały przejęte, a 150 000 USD skradziono z portfeli kryptowalutowych użytkowników.

Fakeowe wersje testowe („early access”)

Oszuści oferują rzekome testowe wersje gier, kusząc darmowym dostępem lub kluczem. Tworzą nawet imitacje stron producentów. Gracz pobiera plik, loguje się – i przekazuje swoje dane oszustom. W niektórych przypadkach aplikacja wygląda jak prawdziwa gra, ale zawiera malware.

NASK przywołuje przykład gry „Chemia” („survival-crafting”) – użytkownicy myśleli, że testują normalny projekt, tymczasem wersja wczesnego dostępu była zainfekowana narzędziami do kradzieży danych i backdoorami. Ciekawość graczy („będę pierwszy”, „pobiorę test”) staje się narzędziem ataku.

Phishing w świecie graczy

Phishing to nie tylko e-mail – w kontekście gier może przybrać formę fałszywych stron logowania, zaproszeń na turnieje albo ofert darmowych kluczy. NASK opisuje mechanizm „browser-in-the-browser”: oszuści imitują okno prawdziwej przeglądarki lub aplikacji (np. Steam), podszywając się pod nią.

Takie strony mogą wyglądać identycznie jak oryginał. Różnica bywa w detalu – np. adres URL. Wprowadzając swoje dane, gracz przekazuje je bezpośrednio przestępcy.

Eksperci z CERT Polska zalecają: nie loguj się przez linki z wiadomości, nawet jeśli wyglądają dobrze. Lepiej wejść na stronę samodzielnie lub przez oficjalną aplikację. Warto też włączyć uwierzytelnianie dwuskładnikowe (2FA) dla konta – to prosty, ale skuteczny środek ochrony.

Ryzyko związane z modami

Modyfikacje (mody) są niesamowicie popularne. Pozwalają graczom dodawać nowe treści, postacie, mapy. Ale nie wszystkie są bezpieczne. Ponieważ mody tworzy społeczność, czasem anonimowo, nie zawsze wiesz, skąd naprawdę pochodzą.

Dobre źródło modów to podstawa bezpieczeństwa – korzystaj z zaufanych stron, sprawdzaj opinie, unikaj nieoficjalnych linków.

Psychologiczne i społecznościowe pułapki

Gry online to nie tylko kod – to społeczność. Ludzie grają razem, rozmawiają, wymieniają się treściami. To idealne środowisko dla oszustów. Fałszywe oferty turniejów, pracy jako gracz czy twórca – to wszystko może być maską do przekazywania złośliwych linków.

Przestępcy potrafią też wykorzystać komunikatory i media społecznościowe powiązane z grami, by zmanipulować graczy. Tworzą kampanie, które łączą technikę (złośliwe pliki) z socjotechniką (zaufanie społeczności).

Jak rozpoznać bezpieczne gry?

Granica między rozrywką a zagrożeniem zależy w dużej mierze od tego, jak ostrożne są nasze dzieci. Przekaż im kilka dobrych wskazówek:

  1. Pobieraj gry tylko z oficjalnych platform – Steam, Epic Games, inne zaufane sklepy.

  2. Przed aktualizacją upewnij się, że pochodzi od prawdziwego wydawcy – sprawdź komunikat, adres strony.

  3. Unikaj podejrzanych wersji testowych – jeśli ktoś oferuje „ekskluzywny klucz”, sprawdź, czy to oficjalna propozycja.

  4. Używaj uwierzytelniania dwuskładnikowego (2FA) na kontach – to znacznie zwiększa bezpieczeństwo.

  5. Przy modach – sięgaj po modyfikacje z oficjalnych stron lub renomowanych społeczności, unikaj nieznanych źródeł.

  6. Ucz dzieci krytycznego myślenia – tłumacz, że nie każdy link w grze lub na czacie jest bezpieczny.

  7. Rozmawiaj z dzieckiem o cyberzagrożeniach i monitoruj, w jakie gry gra – zwłaszcza te nowe lub tanie wersje testowe.

W Polsce coraz więcej dzieci korzysta z internetu samodzielnie. Z badań podawanych przez PAP wynika, że 77 proc. dzieci w wieku 13–17 lat korzysta z sieci bez nadzoru rodziców. To oznacza, że ryzyko, które opisuje NASK, dotyczy wielu młodych użytkowników.

Instytut Cyfrowego Obywatelstwa podaje, że 58 proc. dzieci w wieku 7–12 lat aktywnie korzysta z serwisów społecznościowych i komunikatorów, mimo że oficjalnie są one przeznaczone dla osób od 13. roku życia.

Te liczby pokazują, że granica między bezpieczną zabawą a cyberzagrożeniem może być cienka a problem może dotykać wielu rodzin.

Twoja rola jako rodzica lub opiekuna

Jeśli jesteś rodzicem, opiekunem lub pracujesz w administracji (np. w szkole, bibliotece), masz wpływ. Możesz edukować dzieci i ich rodziny:

  • Organizuj warsztaty lub spotkania o cyberbezpieczeństwie – wyjaśnij, dlaczego nie każdy link w grze jest bezpieczny.

  • Wprowadź w szkole zasady dobrej higieny cyfrowej – zachęcaj do stosowania mocnych haseł, 2FA, świadomego pobierania gier.

  • Rozważ wspólne granie z dzieckiem – to okazja, żeby sprawdzić, skąd pobiera gry i jakie mody instaluje.

  • Udostępnij materiały edukacyjne – broszury, poradniki NASK, strony zaufanych instytucji.



Źródła:

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

CZY UMIESZ ROZPOZNAĆ OSZUSTWA INWESTYCYJNE?

Wszyscy na korytarzach rozmawiają o pasywnym dochodzie i inwestycjach w złoto, o zyskach i wizji emerytury na włoskim wybrzeżu morza śródziemnego. Może i ja zainwestuje oszczędności. Dzięki Internetowi inwestowanie jest dziś bardzo proste. Możesz kupować akcje, kryptowaluty czy metale szlachetne bez wychodzenia z domu. Tak duża dostępność oznacza ogromną przestrzeń dla oszustów. Przestępcy tworzą fałszywe platformy, udając znane firmy lub doradców finansowych. W swoich reklamach używają haseł typu „gwarantowany zysk”, „bonus tylko dziś” czy „zero ryzyka”, aby sprowokować natychmiastową reakcję. Wystarczy chwilowa presja emocji – jedno kliknięcie, żebyś mógł stracić oszczędności. Dlaczego oszuści celują w inwestorów takich jak ty?

 

oszustwa inwestycyjne

Rys.1 Grafika – NASK, bezpiecznymiesiac.pl

Dane GUS pokazują, że w 2024 roku aż 86,1 % gospodarstw domowych w Polsce miało możliwość oszczędzania, przy czym 29 % robiło to regularnie, a 57,1 % nieregularnie.
Wartość oszczędności Polaków rośnie – według analiz, połowa ich aktywów finansowych to nadal gotówka lub depozyty. To pokazuje, że wielu z nas ma środki, które potencjalnie może inwestować – a tym samym stać się celem oszustów. Z drugiej strony CSIRT KNF w raporcie za 2024 rok zgłosił i zidentyfikował około 45–51 tys. domen związanych z fałszywymi ofertami inwestycyjnymi. Wiedza i ostrożność mogą ochronić twoje oszczędności.

Podstawowym sposobem ochrony jest edukacja. Jeśli zrozumiesz, jak działa rynek inwestycyjny, trudniej będzie ci dać się oszukać. Zanim zainwestujesz, zadaj sobie pytania:

  • Czy naprawdę rozumiesz, w co chcesz zainwestować?

  • Czy akceptujesz możliwość strat?

  • Czy wiesz, na czym dokładnie polega ta inwestycja?

Warto też śledzić oficjalne komunikaty – np. Komisji Nadzoru Finansowego (KNF) czy Narodowego Banku Polskiego (NBP) – które regularnie ostrzegają przed nieuczciwymi podmiotami.

Zanim klikniesz: sprawdzaj firmę i warunki

Nie działaj pochopnie. Gdy pojawia się inwestycyjna oferta:

  • Sprawdź, czy firma jest legalna i posiada licencję.

  • Przejrzyj regulamin: skąd pochodzi firma, jakie są prowizje, w jaki sposób wypłacasz środki. Zwróć uwagę na zapisy o właściwości sądu.

  • Unikaj ofert typu „oferta ważna tylko dzisiaj”, „pewny zysk bez ryzyka” – to typowe sztuczki manipulacyjne.

  • Sprawdź opinie w różnych miejscach w sieci. Zwróć uwagę, czy recenzje są powtarzalne – identyczne komentarze mogą być fałszywe.

Zachowaj czujność w bankowości i transakcjach

Podczas przelewania pieniędzy:

  • Czytaj uważnie powiadomienia z banku – kwota i odbiorca muszą być dokładnie takie, jak zamierzałeś.

  • Zanim zatwierdzisz przelew, sprawdź dane konta odbiorcy. Jeśli bank ostrzega, że to może być rachunek oszustów, przerwij działanie i skontaktuj się z bankiem.

  • Nigdy nie podawaj loginów, haseł ani skanów dokumentów obcym osobom.

  • Nie pozwalaj nikomu instalować na twoim komputerze programów do sterowania zdalnego – takich jak AnyDesk czy TeamViewer – zwłaszcza gdy propozycja pochodzi od „doradcy inwestycyjnego”.

Uważaj na deepfake i manipulację z pomocą AI

Coraz częściej oszuści używają sztucznej inteligencji, by tworzyć realistyczne wideo lub nagrania głosowe. Mogą się podszywać pod znane osoby, celebrytów lub twój znajomy głos.
Kilka sygnałów ostrzegawczych:

  • Nagrania z obietnicą „pewnych zysków bez ryzyka”.

  • Nagranie pochodzi z nieznanego źródła, nie z oficjalnego kanału.

  • Błędy językowe w mowie – np. ktoś mówiący w żeńskiej formie, a wygląda jak mężczyzna.

Co zrobić, jeśli coś pójdzie nie tak

Jeśli podejrzewasz oszustwo:

  • Skontaktuj się natychmiast z bankiem – poproś o zablokowanie przelewów.

  • Zbieraj dowody: wiadomości, potwierdzenia przelewów, numery telefonów.

  • Zgłoś sprawę na policję i do CERT Polska.

  • Pamiętaj, że odzyskanie pieniędzy jest trudne. Przestępcy często projektują oszustwo tak, by przerzucić winę na ofiarę – jeśli sam zatwierdziłeś przelew, bank niekoniecznie zwróci Ci straty.

Ryzyko jest realne – nie ignoruj go

Wysokie zyski oznaczają wysokie ryzyko. Jeśli oferta brzmi zbyt dobrze, by była prawdziwa – prawdopodobnie jest oszustwem. Czasami lepiej zweryfikować dwa razy, niż ponieść przykre konsekwencje. Rozsądek i spokój powinny przewyższać chęć szybkiego zarobku.



Źródła:

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

WTYCZKI „MUST-HAVE” DO PRZEGLĄDARKI DLA URZĘDNIKA

Twoja przeglądarka jest narzędziem, które pracuje z tobą przez cały dzień. Jeśli ją udoskonalisz, będzie poprawiać błędy językowe, ograniczy zbędne reklamy, pomoże ci szybciej wyszukiwać istotne informacje, co przełoży się na wydajniejszą pracę. Rozszerzenia, które proponuję, wpływają na twoje bezpieczeństwo, koncentrację i jakość pracy. W administracji masz ciągłą presję terminów, wiele okien i dokumentów. Funkcjonalne dodatki odciążają cię przy rutynie i dają przestrzeń na myślenie.

 

rozszerzenia przeglądarkowe

Rys.1 Grafika – opracowanie własne.

Reklamy odciągają cię od ważnych zadań i potrafią spowolnić komputer. Zainstaluj uBlock Origin. To bardzo lekki dodatek, który blokuje wyskakujące okna i śledzące elementy stron. Pracownicy, którzy używają go codziennie, mówią, że mają mniej chaosu na ekranie. W administracji to ważne, bo twoje okna przestają falować od banerów i możesz spokojnie czytać dokumenty lub wytyczne.

Aby zadbać o bezpieczeństwo warto zainstalować rozszerzenie, które kontroluje, czy link prowadzi tam, gdzie deklaruje autor. W praktyce obserwuję, że wiele osób klika linki w pośpiechu. HTTPS Everywhere albo DuckDuckGo Privacy Essentials pokazują jasno czy strona chroni twoje dane. To ważne podczas pracy z danymi osobowymi, które pojawiają się u ciebie w pismach i systemach.

Sprawdzaj teksty, która piszesz. Grammarly albo LanguageTool pomagają ci tworzyć przejrzyste pisma i maile. Wielu urzędników twierdzi, że dzięki nim popełniają mniej literówek a wiadomości nie wymagają korekty innych osób. To ważne, bo każdy błąd w piśmie uderza w wizerunek urzędu i zaufanie mieszkańca. Jak podaje Gemini AI „LanguageTool jest lepszym wyborem dla języka polskiego, ponieważ oferuje zaawansowaną obsługę wielu języków, w tym polskiego, jest zgodny z RODO i zazwyczaj działa szybciej”. Projekt LanguageTool jest wspierany przez Ministerstwo Pracy, Spraw Społecznych, Zdrowia, Kobiet i Rodziny ze środków Europejskiego Funduszu Społecznego.

Możesz też stosować rozszerzenia, które ułatwiają zdobywanie informacji. Perplexity pomaga szybko znaleźć dane, artykuły, akty prawne. Gdy masz mało czasu, ale musisz zrobić szybki „research”, takie narzędzie przyspiesza pracę. W praktyce widzę, że osoby które korzystają z Perplexity, mają szybszy dostęp do gotowych treści i mniej frustracji.

Poprawne planowane zadań to bardzo ważny element dnia. Rozszerzenie, które łączy się z twoim kalendarzem, daje ci jasność, co masz dzisiaj do zrobienia. Google Calendar lub Microsoft To Do w wersji przeglądarkowej przypominają ci o zaplanowanych zadaniach. Kiedy prowadzę szkolenia, często słyszę, że ludzie dopiero po wdrożeniu takich dodatków czują kontrolę nad rozkładem dnia. Redukuje to niepotrzebne napięcie i poprawia ergonomię pracy.

Zaproponowane rozszerzenia nie są jednymi, katalog jest otwarty i każdy może wybrać coś dla siebie. Najważniejsze to wiedzieć, że przeglądarka to potężne narzędzie do pracy i można je dostosować do swoich potrzeb. Każde rozszerzenie pozwala się uruchomić w ciągu kilku minut, więc możesz je przetestować. Jeśli nie będzie spełniało twoich oczekiwań, możesz je usunąć i poszukać innego.





Źródła:

 

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

UWAGA! TRZECI STOPIEŃ ALARMOWY (CHARRLIE)

Uprzejmie informujemy, że w związku z zarządzeniem Prezesa Rady Ministrów od dnia 19 listopada 2025 r. (godz. 00:00) do dnia 28 lutego 2026 r. (godz. 23:59) obowiązuje trzeci stopień alarmowy „CHARLIE” na obszarach linii kolejowych zarządzanych przez PKP Polskie Linie Kolejowe S.A. oraz PKP Linia Hutnicza Szerokotorowa Sp. z o.o. Dodatkowo przedłużono obowiązywanie stopni alarmowych BRAVO i BRAVO-CRP na ternie całego kraju.

 

trzeci stopień alarmowy

 

Rys.1 Grafika „Trzeci stopień alarmowy” Źródło: gov.pl

Lista zarządzeń:

  • Zarządzenie nr 68 z dnia 18 listopada 2025 roku w sprawie wprowadzenia trzeciego stopnia alarmowego (3. stopień CHARLIE), na obszarach linii kolejowych zarządzanych przez PKP Polskie Linie Kolejowe S.A. i PKP Linia Hutnicza Szerokotorowa Sp. z o.o., obowiązuje od dnia 19 listopada 2025 r., od godz. 00.00, do dnia 28 lutego 2026 r., do godz. 23.59,

  • Zarządzenie nr 69 z dnia 18 listopada 2025 roku w sprawie wprowadzenia drugiego stopnia alarmowego CRP (2. stopień BRAVO-CRP), na całym terytorium Rzeczypospolitej Polskiej, obowiązuje od dnia 1 grudnia 2025 r., od godz. 00.00, do dnia 28 lutego 2026 r., do godz. 23.59,

  • Zarządzenie nr 70 z dnia 18 listopada 2025 roku w sprawie wprowadzenia drugiego stopnia alarmowego (2. stopień BRAVO), na całym terytorium Rzeczypospolitej Polskiej, obowiązuje od dnia 1 grudnia 2025 r., od godz. 00.00, do dnia 28 lutego 2026 r., do godz. 23.59,

  • Zarządzenie nr 71 z dnia 18 listopada 2025 roku w sprawie wprowadzenia drugiego stopnia alarmowego (2. stopień BRAVO), wobec polskiej infrastruktury energetycznej mieszczącej się poza granicami Rzeczypospolitej Polskiej, obowiązuje od dnia 1 grudnia 2025 r., od godz. 00.00, do dnia 28 lutego 2026 r., do godz. 23.59.

Stopnie alarmowe CRP są wprowadzane w przypadku zagrożenia wystąpienia zdarzenia o charakterze terrorystycznym, które dotyczy systemów teleinformatycznych organów administracji publicznej lub systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej.

Jak podaje Ministerstwo Spraw Wewnętrznych i Administracji do zadań organów państwa w związku z wprowadzeniem stopni alarmowych należą:

W przypadku stopnia BRAVO m.in.:

  • prowadzenie przez Policję, Straż Graniczną lub Żandarmerię Wojskową wzmożonej kontroli dużych skupisk ludzkich;

  • prowadzenie wzmożonej kontroli obiektów użyteczności publicznej oraz innych obiektów potencjalnie mogących stać się celem ataków terrorystycznych;

  • zapewnienie dostępności w trybie alarmowym członków personelu wyznaczonego do wdrażania procedur działania na wypadek zdarzenia o charakterze terrorystycznym;

  • ostrzeżenie personelu o możliwych zagrożeniach;

  • obowiązek noszenia broni długiej oraz kamizelek kuloodpornych przez umundurowanych funkcjonariuszy lub żołnierzy bezpośrednio realizujących zadania związane z zabezpieczeniem miejsc i obiektów, które potencjalnie mogą stać się celem zdarzenia o charakterze terrorystycznym;

  • dodatkowe kontrole pojazdów, osób oraz budynków publicznych w rejonach zagrożonych;

  • wzmocnienie ochrony środków komunikacji publicznej oraz ważnych obiektów publicznych;

  • wprowadzenie zakazów wstępu do przedszkoli, szkół i uczelni osobom postronnym.,
     

W przypadku stopnia CHARLIE:

  • wprowadzić, na polecenie ministra właściwego do spraw wewnętrznych, całodobowe dyżury we wskazanych urzędach lub jednostkach organizacyjnych organów administracji publicznej; 

  • wprowadzić dyżury dla osób funkcyjnych odpowiedzialnych za wprowadzanie procedur działania na wypadek zdarzeń o charakterze terrorystycznym; 

  • sprawdzić dostępność obiektów wyznaczonych na zastępcze miejsca czasowego pobytu na wypadek ewakuacji ludności;

  • wydać broń i amunicję oraz środki ochrony osobistej uprawnionym osobom wyznaczonym do wykonywania zadań ochronnych;

  • wprowadzić dodatkowy całodobowy nadzór nad miejscami, które tego wymagają, do tej pory nieobjętych nadzorem.

W przypadku stopnia BRAVO-CRP:

  • wzmożone monitorowanie stanu bezpieczeństwa systemów teleinformatycznych organów administracji publicznej lub systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej;

  • monitorowanie i weryfikowanie czy nie doszło do naruszenia bezpieczeństwa komunikacji elektronicznej;

  • sprawdzenie dostępności usług elektronicznych;

  • poinformowanie personelu instytucji  o konieczności zachowania zwiększonej czujności;

  • zapewnienie dostępności w trybie alarmowym personelu odpowiedzialnego za bezpieczeństwo systemów;

  • wprowadzenie całodobowych dyżurów administratorów systemów kluczowych dla funkcjonowania organizacji oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów teleinformatycznych.

Podczas obowiązywania stopnia alarmowego należy zwracać szczególną uwagę na wszelkie niestandardowe sytuacje i potencjalne zagrożenia, na przykład: nietypowo zachowujące się osoby, pakunki, torby lub plecaki pozostawione bez opieki w miejscach publicznych, samochody (szczególnie transportowe) zaparkowane w pobliżu miejsc zgromadzeń.

Bezpieczeństwo w czasie obowiązywania stopnia uzależnione jest nie tylko od działania właściwych służb, ale też od przygotowania administratorów obiektów użyteczności publicznej, którzy zobowiązani są do prowadzenia ich wzmożonej kontroli, a także czujności obywateli.



Źródła:

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

POWAŻNY ATAK DDOS NA BLIK

W dniach 1 i 2 listopada nieznani hakerzy zaatakowali system BLIK, który jest odpowiedzialny za miliardy płatności każdego roku. To atak na infrastrukturę płatniczą całej Polski. Jeśli używasz BLIKA do płacenia w sklepach, wypłacania pieniędzy z bankomatów lub transferów online, powinieneś wiedzieć co się działo i co to oznacza dla ciebie. BLIK to standard płatności mobilnych, który pozwala ci zapłacić w sklepie stacjonarnym przy użyciu sześciocyfrowego kodu. Możesz też transferować pieniądze online i wypłacać z niektórych bankomatów. System obsługuje każdego roku 2,4 miliarda transakcji na kwotę ponad 347 miliardów złotych. Oznacza to, że BLIK przenosi praktycznie połowę pieniędzy, które się przemieszczają między Polakami.

 

hakerzy przy komputerach

Rys.1 Grafika „ddos” Źródło: Designed by Freepik

Atak DDoS to skrót od Distributed Denial of Service. Brzmi skomplikowanie, ale chodzi o coś prostego. Haker tworzy sztuczny ruch internetowy z wielu różnych adresów IP i kieruje go na serwery BLIKA. Serwery są zalewane taką ilością fałszywych żądań, że nie mogą obsługiwać prawdziwych transakcji.

W przypadku BLIKA powoduje to, że system nie może generować kodów, pojawiają się błędy przy płatnościach zbliżeniowych i transfery zawieszają się na koncie. Dla ciebie oznacza to, że nie możesz zapłacić za kawę, nie możesz przelewać pieniędzy przyjaciołom i nie możesz wypłacić gotówki. Dla biznesu jest to jednoznaczne z utratą przychodów.

Pierwszy atak miał miejsce w sobotę 1 listopada około godziny szóstej rano. Operator BLIKA, czyli spółka Polski Standard Płatności, potwierdził o godzinie dziewiątej, że ma miejsce zewnętrzny atak DDoS. O godzinie 10:33 operator oznajmił, że problem jest rozwiązany. Od tego momentu BLIK znowu działał prawidłowo.

Drugi atak nastąpił w poniedziałek 2 listopada około godziny czternastej. Historia się powtórzyła.

Nikt nie wie, kto dokładnie przeprowadził ataki. Operator nie wskazał żadnego konkretnego napastnika. To co wiemy, to fakt, że ataki DDoS zdarzają się regularnie na systemach płatniczych. Minister cyfryzacji Krzysztof Gawkowski powiedział publicznie, że tego typu ataki są codzienną rzeczywistością. Mówił, że na szczęście w większości przypadków polskie służby je blokują, zanim zwykłe osoby odczują konsekwencje. Tym razem jednak nie udało się uniknąć problemu.

Operator BLIKA zapewnił, że osoby których transakcja została zatwierdzona a pieniądze zostały zablokowane powinny automatycznie otrzymać zwrot w ciągu 48 godzin. Ważne jest, że zawsze możesz wyjaśnić sytuację z bankiem. Banki mają dostęp do pełnych logów transakcji i mogą sprawdzić, co dokładnie się stało.

Fakt, że BLIK został zaatakowany nie oznacza, że twoje hasła bankowe wyciekły. Atak DDoS nie polega na kradzieży danych. Twoje dane osobowe, piny, hasła są bezpieczne.

Jednak wciąż powinieneś być ostrożny. W takich sytuacjach przestępcy wysyłają fałszywe wiadomości oferując „szybki zwrot” pieniędzy lub „pomoc w odzyskaniu złoży.” Nigdy nie klikaj linków z nieznanych źródeł. Nigdy nie podawaj swoich danych logowania w wiadomościach przychodzących mailem lub SMS.

Jeśli BLIK się zawiesza, natychmiast wykorzystaj alternatywny sposób płatności. Użyj karty, transferu tradycyjnego, gotówki. Jeśli transakcja się zawiesza, nie klikaj przycisku zapłacenia wielokrotnie. To spowoduje, że transakcja zostaje powtórzona kilkanaście razy bez sukcesu.

Jeśli środki nie wrócą w ciągu dwóch dni, skontaktuj się z bankiem. Masz prawo do wyjaśnienia, gdzie podziały się twoje pieniądze.



Źródła:

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

KOLEJNY WYCIEK DANYCH – SUPERGROSZ

Pod koniec października hakerzy zaatakowali serwis Supergrosz, który oferuje pożyczki online. To nie był zwykły wyciek haseł. Nieuprawniona osoba lub grupa osób przełamała zabezpieczenia serwisu Supergrosz i dostała się do bazy danych zawierającej informacje klientów. Hakerzy stworzyli specjalny program, który pozwolił im na zdalny dostęp do systemu. Najprawdopodobniej był to czwartek, pierwszy listopada, kiedy cyberprzestępcy skopiowali wszystko, co im się podobało. Atak dotknął około dziesięciu tysięcy użytkowników. Teoretycznie skala wydaje się niewielka, to nie miliony osób, ale powagę problemu zrozumiemy dopiero znając szczegóły.

haker kredyt

Rys.1 Grafika „haker kredyt” Źródło: Designed by Freepik

Przede wszystkim wyciekły numery PESEL, adres zamieszkania, adres do korespondencji, numer telefonu, stan cywilny, liczba dzieci. Do tego dochodzą dane zawodowe takie jak nazwa i adres pracodawcy, numer NIP firmy, numer telefonu do biura oraz informacja o branży. Ale to wciąż nie wszystko. Hakerzy mają również numery rachunków bankowych i wiedzą, jaki jest deklarowany dochód roczny. Mają nawet informacje z dowodu osobistego, takie jak numer dokumentu, data wydania i data ważności.

To wszystko jest powiązane, skoordynowane i pokazuje kompleksowy obraz życia finansowego, zawodowego i osobistego osób, których dane utracono. Kombinacja tylu różnych rodzajów danych tworzy idealną bazę do tzw. ataku spersonalizowanego.

O sprawie Supergrosz wiedzą najwyższe szczeble polskiego rządu i specjalistyczne zespoły ds. bezpieczeństwa. Minister cyfryzacji Krzysztof Gawkowski publicznie ogłosił incydent i nazwał sytuację bardzo poważną. Zaraz po jego wpisie do działania przystąpiły zespoły CSIRT KNF i CSIRT NASK. Powiadomiony został też Prezes Urzędu Ochrony Danych Osobowych. Spółka AIQLABS, która prowadzi serwis Supergrosz, przyznała publicznie, że wyciek miał miejsce.



Wyciek danych z serwisu pożyczkowego to nie jest anomalia. To symptom czasów, w których żyjemy. Cyberprzestępcy stają się coraz bardziej wyrafinowani. Atakują nie tylko wielkie korporacje, ale też polskie serwisy pożyczkowe, e-commerce, strefę publiczną.



Wszyscy pracownicy administracji, którzy pracują z danymi osobowymi klientów, powinni zrozumieć, że bezpieczeństwo nie jest sprawą informatyka. To jest odpowiedzialność każdej osoby w organizacji. Nikt nie powinien mylić złożoności zagrożeń z niemożliwością ich zrozumienia. Bezpieczeństwo zaczyna się od edukacji.



Dla ciebie to oznacza, że powinieneś regularnie zmieniać hasła, włączać 2FA wszędzie, gdzie to możliwe, być ostrożny wobec wiadomości podejrzanego pochodzenia i nigdy nie klikać linków z nieznanych źródeł. Te zasady brzmią jak banał, ale to fundamenty, które mogą oszczędzić ci mnóstwa stresu.



Źródła:

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.