Tag: cyberbezpieczeństwo

Opublikowane w

PODSUMOWANIE ROKU W SFERZE CYBERBEZPIECZEŃSTWA

Rok dobiega końca. W urzędach panował wzmożony ruch, inwestycje, nowe projekty IT, audyty, aktualizacja SZBI. W tle rosło ryzyko włamań i szantażu. Wiele jednostek zbyt późno zauważyło, że utrata danych to nie awaria komputera, tylko brak ciągłości działania instytucji. Atak na urząd nie kończy się na nerwach pracowników. Płacą za to mieszkańcy, bo nie złożą wniosku o dowód, nie uregulują opłat, nie odbiorą świadczeń. Ten rok pokazał, że samorząd stał się realnym celem hakerów.

 

cyfrowa choinka

Rys.1 Grafika „cyfrowa choinka” Źródło: Designed by Freepik

Najczęściej włamania polegały na szyfrowaniu danych i żądaniu okupu oraz atakach na skrzynki e-mail. W kilku gminach systemy teleinformatyczne przestały działać a odtworzenie infrastruktury trwało kilka dni. Do wielu pracowników wpływały pisma w formie e-mail z domen przypominających GOV.PL. Cyberprzestępcy nie zawsze atakują fizyczne zabezpieczenia. Często obserwują profile pracowników, dzięki temu wiedzą kto choruje, kiedy kadrowa bierze urlop, kto odbiera wnioski o wypłatę świadczeń. To wystarczy, żeby podszyć się pod dyrektora i wysłać polecenie przelewu.

Bądź czujny każdego dnia. Sprawdź czy twoje hasła są wystarczająco silne i długie. Nie korzystaj z jednego hasła dla wszystkich systemów. Włącz podwójną autoryzację w usługach pocztowych. Aktywnie bierz udział w szkoleniach. W każdym systemie bezpieczeństwa najważniejszy jest człowiek i jego kompetencje.

Życzę wszystkim świąt pełnych spokoju i ciepła, bez telefonów o awariach, pożarach czy wyciekach danych. Niech nowy rok przyniesie mniej stresu, a więcej sukcesów, satysfakcji z pracy i poczucia sensu. Życzę wam więcej czasu dla bliskich, oddechu od codziennego pośpiechu i wiary, że to co robisz buduje lepszą przyszłość dla twojej społeczności.

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

Cyberatak na skrzynki e-mail w UZP i KIO

W połowie grudnia 2025 r. potwierdzono poważny incydent bezpieczeństwa w Urzędzie Zamówień Publicznych (UZP) i Krajowej Izbie Odwoławczej (KIO). Cyberprzestępcy uzyskali dostęp do skrzynek pocztowych urzędników. W wiadomościach e-maili mogły znajdować się dane kontaktowe, informacje finansowe, skargi, wnioski, postepowania odwoławcze itp. Oznacza to, że ktoś mógł przeczytać korespondencję urzędników, pobrać załączniki i wykorzystać je do własnych celów.

 

groźny e-mail

Rys.1 Grafika „cyberatak e-mail” Źródło: Designed by Freepik

Incydent uderzył w podstawowe narzędzie pracy administracji, czyli pocztę elektroniczną. To pokazuje, że atakujący interesują się instytucjami państwowymi i testują, gdzie użytkownicy popełniają błędy. Najczęściej cyberprzestępcy wykorzystują phishing i podszywają się pod znane instytucje do których mamy zaufanie. Gdy uda im się włamać na jedno konto, przygotowują kolejną kampanie z przejętego adresu. Taki atak jest bardzo wiarygodny i trudny do wykrycia na pierwszy rzut oka, ponieważ nadawca jest prawdziwy i zaufany. Z e-mail i załączników pobierają dane, które mogą wykorzystać do zaciągania zobowiązań.

Urząd zgłosił incydent do odpowiednich służb i rozpoczął działania naprawcze. Konta zostały zablokowane, hasła zresetowane, a sama sytuacja jest analizowana pod kątem naruszenia danych osobowych. To typowe kroki, które należy podjąć, gdy ktoś uzyska dostęp do korespondencji urzędowej. Ostatecznie ważne jest, aby każdy pracownik wiedział, że skrzynka pocztowa jest jak sejf, jeżeli ktoś tam wejdzie, może zrobić szkody.

Taka sytuacja może przydarzyć się każdemu. Dlatego warto wdrożyć dwuetapową autoryzację, regularnie zmieniać hasło, nie używać jednego hasła do wielu usług, nie klikać w podejrzane linki, nie pobierać nieoczekiwanych załączników i sprawdzać, kto tak naprawdę do nas pisze. Jeżeli wiadomość wywołuje presję, strach lub pośpiech, jest duża szansa, że to próba ataku. Najlepiej wtedy zadzwonić do nadawcy i upewnić się, że wiadomość jest prawdziwa.

Incydent w UZP to sygnał, że cyberbezpieczeństwo nie jest technologiczną ciekawostką, ale obowiązkiem w codziennej pracy. Każdy z nas ma wpływ na to, czy urząd pozostanie bezpieczny. Jeśli nie masz pewności, zawsze lepiej zapytać dział IT niż działać w ciemno. To właśnie drobne decyzje pracowników najczęściej decydują o tym, czy atak się uda.



Źródła:

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

GDZIE JEST GRANICA BEZPIECZEŃSTWA GIER DLA DZIECI?

Gry komputerowe są dziś ogromnym rynkiem – NASK podaje, że ich wartość przewyższa przemysł filmowy i muzyczny. To nie tylko zabawa – to także ogromne zasoby: konta graczy, wirtualne przedmioty, portfele cyfrowe. Dla cyberprzestępców to atrakcyjny cel. Ryzyko pojawia się w momentach, które na pierwszy rzut oka wydają się normalne: instalowanie aktualizacji, korzystanie z testowych wersji gier („early access”), pobieranie modów, logowanie do platform. To, co wygląda jak codzienna rutyna gracza, może być pułapką.

 

dziecko przy telewizorze

 

Rys.1 Grafika „gry komputerowe” Źródło: Designed by Freepik

Fałszywe aktualizacje i zainfekowane gry

NASK opisuje przypadki, gdy aktualizacja gry zawiera złośliwy kod. Gracz myśli, że instaluje poprawkę lub nową wersję. Jednak w tle, uruchamiają się programy, które zbierają dane logowania, hasła lub nawet przejmują kontrolę nad kontem.

Przykładem jest gra „BlockBlasters”: po jej aktualizacji okazało się, że zainfekowano komputery graczy. Dane z kont Steam zostały przejęte, a 150 000 USD skradziono z portfeli kryptowalutowych użytkowników.

Fakeowe wersje testowe („early access”)

Oszuści oferują rzekome testowe wersje gier, kusząc darmowym dostępem lub kluczem. Tworzą nawet imitacje stron producentów. Gracz pobiera plik, loguje się – i przekazuje swoje dane oszustom. W niektórych przypadkach aplikacja wygląda jak prawdziwa gra, ale zawiera malware.

NASK przywołuje przykład gry „Chemia” („survival-crafting”) – użytkownicy myśleli, że testują normalny projekt, tymczasem wersja wczesnego dostępu była zainfekowana narzędziami do kradzieży danych i backdoorami. Ciekawość graczy („będę pierwszy”, „pobiorę test”) staje się narzędziem ataku.

Phishing w świecie graczy

Phishing to nie tylko e-mail – w kontekście gier może przybrać formę fałszywych stron logowania, zaproszeń na turnieje albo ofert darmowych kluczy. NASK opisuje mechanizm „browser-in-the-browser”: oszuści imitują okno prawdziwej przeglądarki lub aplikacji (np. Steam), podszywając się pod nią.

Takie strony mogą wyglądać identycznie jak oryginał. Różnica bywa w detalu – np. adres URL. Wprowadzając swoje dane, gracz przekazuje je bezpośrednio przestępcy.

Eksperci z CERT Polska zalecają: nie loguj się przez linki z wiadomości, nawet jeśli wyglądają dobrze. Lepiej wejść na stronę samodzielnie lub przez oficjalną aplikację. Warto też włączyć uwierzytelnianie dwuskładnikowe (2FA) dla konta – to prosty, ale skuteczny środek ochrony.

Ryzyko związane z modami

Modyfikacje (mody) są niesamowicie popularne. Pozwalają graczom dodawać nowe treści, postacie, mapy. Ale nie wszystkie są bezpieczne. Ponieważ mody tworzy społeczność, czasem anonimowo, nie zawsze wiesz, skąd naprawdę pochodzą.

Dobre źródło modów to podstawa bezpieczeństwa – korzystaj z zaufanych stron, sprawdzaj opinie, unikaj nieoficjalnych linków.

Psychologiczne i społecznościowe pułapki

Gry online to nie tylko kod – to społeczność. Ludzie grają razem, rozmawiają, wymieniają się treściami. To idealne środowisko dla oszustów. Fałszywe oferty turniejów, pracy jako gracz czy twórca – to wszystko może być maską do przekazywania złośliwych linków.

Przestępcy potrafią też wykorzystać komunikatory i media społecznościowe powiązane z grami, by zmanipulować graczy. Tworzą kampanie, które łączą technikę (złośliwe pliki) z socjotechniką (zaufanie społeczności).

Jak rozpoznać bezpieczne gry?

Granica między rozrywką a zagrożeniem zależy w dużej mierze od tego, jak ostrożne są nasze dzieci. Przekaż im kilka dobrych wskazówek:

  1. Pobieraj gry tylko z oficjalnych platform – Steam, Epic Games, inne zaufane sklepy.

  2. Przed aktualizacją upewnij się, że pochodzi od prawdziwego wydawcy – sprawdź komunikat, adres strony.

  3. Unikaj podejrzanych wersji testowych – jeśli ktoś oferuje „ekskluzywny klucz”, sprawdź, czy to oficjalna propozycja.

  4. Używaj uwierzytelniania dwuskładnikowego (2FA) na kontach – to znacznie zwiększa bezpieczeństwo.

  5. Przy modach – sięgaj po modyfikacje z oficjalnych stron lub renomowanych społeczności, unikaj nieznanych źródeł.

  6. Ucz dzieci krytycznego myślenia – tłumacz, że nie każdy link w grze lub na czacie jest bezpieczny.

  7. Rozmawiaj z dzieckiem o cyberzagrożeniach i monitoruj, w jakie gry gra – zwłaszcza te nowe lub tanie wersje testowe.

W Polsce coraz więcej dzieci korzysta z internetu samodzielnie. Z badań podawanych przez PAP wynika, że 77 proc. dzieci w wieku 13–17 lat korzysta z sieci bez nadzoru rodziców. To oznacza, że ryzyko, które opisuje NASK, dotyczy wielu młodych użytkowników.

Instytut Cyfrowego Obywatelstwa podaje, że 58 proc. dzieci w wieku 7–12 lat aktywnie korzysta z serwisów społecznościowych i komunikatorów, mimo że oficjalnie są one przeznaczone dla osób od 13. roku życia.

Te liczby pokazują, że granica między bezpieczną zabawą a cyberzagrożeniem może być cienka a problem może dotykać wielu rodzin.

Twoja rola jako rodzica lub opiekuna

Jeśli jesteś rodzicem, opiekunem lub pracujesz w administracji (np. w szkole, bibliotece), masz wpływ. Możesz edukować dzieci i ich rodziny:

  • Organizuj warsztaty lub spotkania o cyberbezpieczeństwie – wyjaśnij, dlaczego nie każdy link w grze jest bezpieczny.

  • Wprowadź w szkole zasady dobrej higieny cyfrowej – zachęcaj do stosowania mocnych haseł, 2FA, świadomego pobierania gier.

  • Rozważ wspólne granie z dzieckiem – to okazja, żeby sprawdzić, skąd pobiera gry i jakie mody instaluje.

  • Udostępnij materiały edukacyjne – broszury, poradniki NASK, strony zaufanych instytucji.



Źródła:

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

WTYCZKI „MUST-HAVE” DO PRZEGLĄDARKI DLA URZĘDNIKA

Twoja przeglądarka jest narzędziem, które pracuje z tobą przez cały dzień. Jeśli ją udoskonalisz, będzie poprawiać błędy językowe, ograniczy zbędne reklamy, pomoże ci szybciej wyszukiwać istotne informacje, co przełoży się na wydajniejszą pracę. Rozszerzenia, które proponuję, wpływają na twoje bezpieczeństwo, koncentrację i jakość pracy. W administracji masz ciągłą presję terminów, wiele okien i dokumentów. Funkcjonalne dodatki odciążają cię przy rutynie i dają przestrzeń na myślenie.

 

rozszerzenia przeglądarkowe

Rys.1 Grafika – opracowanie własne.

Reklamy odciągają cię od ważnych zadań i potrafią spowolnić komputer. Zainstaluj uBlock Origin. To bardzo lekki dodatek, który blokuje wyskakujące okna i śledzące elementy stron. Pracownicy, którzy używają go codziennie, mówią, że mają mniej chaosu na ekranie. W administracji to ważne, bo twoje okna przestają falować od banerów i możesz spokojnie czytać dokumenty lub wytyczne.

Aby zadbać o bezpieczeństwo warto zainstalować rozszerzenie, które kontroluje, czy link prowadzi tam, gdzie deklaruje autor. W praktyce obserwuję, że wiele osób klika linki w pośpiechu. HTTPS Everywhere albo DuckDuckGo Privacy Essentials pokazują jasno czy strona chroni twoje dane. To ważne podczas pracy z danymi osobowymi, które pojawiają się u ciebie w pismach i systemach.

Sprawdzaj teksty, która piszesz. Grammarly albo LanguageTool pomagają ci tworzyć przejrzyste pisma i maile. Wielu urzędników twierdzi, że dzięki nim popełniają mniej literówek a wiadomości nie wymagają korekty innych osób. To ważne, bo każdy błąd w piśmie uderza w wizerunek urzędu i zaufanie mieszkańca. Jak podaje Gemini AI „LanguageTool jest lepszym wyborem dla języka polskiego, ponieważ oferuje zaawansowaną obsługę wielu języków, w tym polskiego, jest zgodny z RODO i zazwyczaj działa szybciej”. Projekt LanguageTool jest wspierany przez Ministerstwo Pracy, Spraw Społecznych, Zdrowia, Kobiet i Rodziny ze środków Europejskiego Funduszu Społecznego.

Możesz też stosować rozszerzenia, które ułatwiają zdobywanie informacji. Perplexity pomaga szybko znaleźć dane, artykuły, akty prawne. Gdy masz mało czasu, ale musisz zrobić szybki „research”, takie narzędzie przyspiesza pracę. W praktyce widzę, że osoby które korzystają z Perplexity, mają szybszy dostęp do gotowych treści i mniej frustracji.

Poprawne planowane zadań to bardzo ważny element dnia. Rozszerzenie, które łączy się z twoim kalendarzem, daje ci jasność, co masz dzisiaj do zrobienia. Google Calendar lub Microsoft To Do w wersji przeglądarkowej przypominają ci o zaplanowanych zadaniach. Kiedy prowadzę szkolenia, często słyszę, że ludzie dopiero po wdrożeniu takich dodatków czują kontrolę nad rozkładem dnia. Redukuje to niepotrzebne napięcie i poprawia ergonomię pracy.

Zaproponowane rozszerzenia nie są jednymi, katalog jest otwarty i każdy może wybrać coś dla siebie. Najważniejsze to wiedzieć, że przeglądarka to potężne narzędzie do pracy i można je dostosować do swoich potrzeb. Każde rozszerzenie pozwala się uruchomić w ciągu kilku minut, więc możesz je przetestować. Jeśli nie będzie spełniało twoich oczekiwań, możesz je usunąć i poszukać innego.





Źródła:

 

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

POWAŻNY ATAK DDOS NA BLIK

W dniach 1 i 2 listopada nieznani hakerzy zaatakowali system BLIK, który jest odpowiedzialny za miliardy płatności każdego roku. To atak na infrastrukturę płatniczą całej Polski. Jeśli używasz BLIKA do płacenia w sklepach, wypłacania pieniędzy z bankomatów lub transferów online, powinieneś wiedzieć co się działo i co to oznacza dla ciebie. BLIK to standard płatności mobilnych, który pozwala ci zapłacić w sklepie stacjonarnym przy użyciu sześciocyfrowego kodu. Możesz też transferować pieniądze online i wypłacać z niektórych bankomatów. System obsługuje każdego roku 2,4 miliarda transakcji na kwotę ponad 347 miliardów złotych. Oznacza to, że BLIK przenosi praktycznie połowę pieniędzy, które się przemieszczają między Polakami.

 

hakerzy przy komputerach

Rys.1 Grafika „ddos” Źródło: Designed by Freepik

Atak DDoS to skrót od Distributed Denial of Service. Brzmi skomplikowanie, ale chodzi o coś prostego. Haker tworzy sztuczny ruch internetowy z wielu różnych adresów IP i kieruje go na serwery BLIKA. Serwery są zalewane taką ilością fałszywych żądań, że nie mogą obsługiwać prawdziwych transakcji.

W przypadku BLIKA powoduje to, że system nie może generować kodów, pojawiają się błędy przy płatnościach zbliżeniowych i transfery zawieszają się na koncie. Dla ciebie oznacza to, że nie możesz zapłacić za kawę, nie możesz przelewać pieniędzy przyjaciołom i nie możesz wypłacić gotówki. Dla biznesu jest to jednoznaczne z utratą przychodów.

Pierwszy atak miał miejsce w sobotę 1 listopada około godziny szóstej rano. Operator BLIKA, czyli spółka Polski Standard Płatności, potwierdził o godzinie dziewiątej, że ma miejsce zewnętrzny atak DDoS. O godzinie 10:33 operator oznajmił, że problem jest rozwiązany. Od tego momentu BLIK znowu działał prawidłowo.

Drugi atak nastąpił w poniedziałek 2 listopada około godziny czternastej. Historia się powtórzyła.

Nikt nie wie, kto dokładnie przeprowadził ataki. Operator nie wskazał żadnego konkretnego napastnika. To co wiemy, to fakt, że ataki DDoS zdarzają się regularnie na systemach płatniczych. Minister cyfryzacji Krzysztof Gawkowski powiedział publicznie, że tego typu ataki są codzienną rzeczywistością. Mówił, że na szczęście w większości przypadków polskie służby je blokują, zanim zwykłe osoby odczują konsekwencje. Tym razem jednak nie udało się uniknąć problemu.

Operator BLIKA zapewnił, że osoby których transakcja została zatwierdzona a pieniądze zostały zablokowane powinny automatycznie otrzymać zwrot w ciągu 48 godzin. Ważne jest, że zawsze możesz wyjaśnić sytuację z bankiem. Banki mają dostęp do pełnych logów transakcji i mogą sprawdzić, co dokładnie się stało.

Fakt, że BLIK został zaatakowany nie oznacza, że twoje hasła bankowe wyciekły. Atak DDoS nie polega na kradzieży danych. Twoje dane osobowe, piny, hasła są bezpieczne.

Jednak wciąż powinieneś być ostrożny. W takich sytuacjach przestępcy wysyłają fałszywe wiadomości oferując „szybki zwrot” pieniędzy lub „pomoc w odzyskaniu złoży.” Nigdy nie klikaj linków z nieznanych źródeł. Nigdy nie podawaj swoich danych logowania w wiadomościach przychodzących mailem lub SMS.

Jeśli BLIK się zawiesza, natychmiast wykorzystaj alternatywny sposób płatności. Użyj karty, transferu tradycyjnego, gotówki. Jeśli transakcja się zawiesza, nie klikaj przycisku zapłacenia wielokrotnie. To spowoduje, że transakcja zostaje powtórzona kilkanaście razy bez sukcesu.

Jeśli środki nie wrócą w ciągu dwóch dni, skontaktuj się z bankiem. Masz prawo do wyjaśnienia, gdzie podziały się twoje pieniądze.



Źródła:

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

KOLEJNY WYCIEK DANYCH – SUPERGROSZ

Pod koniec października hakerzy zaatakowali serwis Supergrosz, który oferuje pożyczki online. To nie był zwykły wyciek haseł. Nieuprawniona osoba lub grupa osób przełamała zabezpieczenia serwisu Supergrosz i dostała się do bazy danych zawierającej informacje klientów. Hakerzy stworzyli specjalny program, który pozwolił im na zdalny dostęp do systemu. Najprawdopodobniej był to czwartek, pierwszy listopada, kiedy cyberprzestępcy skopiowali wszystko, co im się podobało. Atak dotknął około dziesięciu tysięcy użytkowników. Teoretycznie skala wydaje się niewielka, to nie miliony osób, ale powagę problemu zrozumiemy dopiero znając szczegóły.

haker kredyt

Rys.1 Grafika „haker kredyt” Źródło: Designed by Freepik

Przede wszystkim wyciekły numery PESEL, adres zamieszkania, adres do korespondencji, numer telefonu, stan cywilny, liczba dzieci. Do tego dochodzą dane zawodowe takie jak nazwa i adres pracodawcy, numer NIP firmy, numer telefonu do biura oraz informacja o branży. Ale to wciąż nie wszystko. Hakerzy mają również numery rachunków bankowych i wiedzą, jaki jest deklarowany dochód roczny. Mają nawet informacje z dowodu osobistego, takie jak numer dokumentu, data wydania i data ważności.

To wszystko jest powiązane, skoordynowane i pokazuje kompleksowy obraz życia finansowego, zawodowego i osobistego osób, których dane utracono. Kombinacja tylu różnych rodzajów danych tworzy idealną bazę do tzw. ataku spersonalizowanego.

O sprawie Supergrosz wiedzą najwyższe szczeble polskiego rządu i specjalistyczne zespoły ds. bezpieczeństwa. Minister cyfryzacji Krzysztof Gawkowski publicznie ogłosił incydent i nazwał sytuację bardzo poważną. Zaraz po jego wpisie do działania przystąpiły zespoły CSIRT KNF i CSIRT NASK. Powiadomiony został też Prezes Urzędu Ochrony Danych Osobowych. Spółka AIQLABS, która prowadzi serwis Supergrosz, przyznała publicznie, że wyciek miał miejsce.



Wyciek danych z serwisu pożyczkowego to nie jest anomalia. To symptom czasów, w których żyjemy. Cyberprzestępcy stają się coraz bardziej wyrafinowani. Atakują nie tylko wielkie korporacje, ale też polskie serwisy pożyczkowe, e-commerce, strefę publiczną.



Wszyscy pracownicy administracji, którzy pracują z danymi osobowymi klientów, powinni zrozumieć, że bezpieczeństwo nie jest sprawą informatyka. To jest odpowiedzialność każdej osoby w organizacji. Nikt nie powinien mylić złożoności zagrożeń z niemożliwością ich zrozumienia. Bezpieczeństwo zaczyna się od edukacji.



Dla ciebie to oznacza, że powinieneś regularnie zmieniać hasła, włączać 2FA wszędzie, gdzie to możliwe, być ostrożny wobec wiadomości podejrzanego pochodzenia i nigdy nie klikać linków z nieznanych źródeł. Te zasady brzmią jak banał, ale to fundamenty, które mogą oszczędzić ci mnóstwa stresu.



Źródła:

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

 

Opublikowane w

NARUSZENIE, KIEDY KONIECZNE POWIADOMIENIE. WAŻNY WYROK NSA

Jak podaje UODO „Naczelny Sąd Administracyjny potwierdził zarzuty Prezesa UODO do wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie związanego z karą w wysokości 159 176 zł, jaką Prezes UODO nałożył na sopockie Towarzystwo Ubezpieczeniowe Ergo Hestia SA za niezgłoszenie naruszenia ochrony danych osobowych i nie powiadomienie osoby nim dotkniętej. Sprawa trafi więc ponownie do rozpatrzenia przez WSA. Naruszenie dotyczyło wysyłki maila z niezaszyfrowanym załącznikiem z ofertą ubezpieczeniową, zawierającą dane osobowe (m.in. imię, nazwisko oraz numer PESEL) i informacje finansowe do niewłaściwej osoby.”

Młotek sąd

Rys.1 Grafika „uodo kara wyrok” Źródło: Designed by Freepik

NSA wskazał, jak należy interpretować obowiązek notyfikacji naruszenia wskazany w RODO (art. 34 ust. 1 w związku z art. 33 ust. 1):

  • Pomimo zaistnienia naruszenia ochrony danych osobowych administrator nie musi dokonywać zgłoszenia, jeżeli jest mało prawdopodobne, by skutkowało ono ryzykiem naruszenia praw lub wolności osób fizycznych. Prawa i wolności należy rozumieć podobnie jak na gruncie przepisu art. 6 ust. 1 lit. f RODO. W konsekwencji obowiązek notyfikacyjny nie ma charakteru bezwzględnego.
  • Oceny, czy występuje ryzyko naruszenia praw lub wolności człowieka, musi dokonać administrator. Ocena taka powinna być oparta na obiektywnych kryteriach (jak dotychczasowe doświadczenie związane z podobnymi sprawami, wiedza z zakresu bezpieczeństwa informacji) oraz na uwzględnieniu okoliczności samego naruszenia ochrony danych osobowych.
  • Żeby nie trzeba było zgłaszać naruszenia do PUODO, musimy mówić o małym prawdopodobieństwie, ale nie samego naruszenia praw lub wolności osób fizycznych, lecz ryzyka takiego naruszenia. Powoduje to szerszy zakres obowiązku niż w przypadku, gdyby ocena dotyczyła prawdopodobieństwa wystąpienia naruszenia praw lub wolności.
  • Nie jest konieczne, by wysokie ryzyko się zmaterializowało i by faktycznie doszło do naruszenia praw lub wolności. Dlatego nie ma znaczenia, czy ostatecznie ich naruszenie nastąpi. Wystarczy samo pojawienie się wysokiego ryzyka naruszenia.

Definicje i dobre praktyki.

Naruszenie ochrony danych osobowych to sytuacja, w której dochodzi do przypadkowego lub bezprawnego :

  • zniszczenia, utraty, zmodyfikowania albo ujawnienia danych osobowych;
  • albo dostępu do danych osobowych przez osobę nieuprawnioną.

Definicję znajdziesz w Rozporządzenie (UE) 2016/679 – RODO (art. 4 pkt 12).

Podejmij działania bez zbędniej zwłoki.

Gdy nastąpi naruszenie, może to oznaczać ryzyko dla praw lub wolności osób, których dane dotyczą – np. kradzież tożsamości, utrata poufności, szkoda finansowa lub naruszenie dobrego imienia.
Reagując szybko:

  • ograniczasz szkody dla tych osób;
  • realizujesz obowiązki prawne jako administrator danych;
  • pokazujesz, że administrujesz danymi odpowiedzialnie – co w administracji ma duże znaczenie wizerunkowe.

Jeśli zwlekasz, narażasz jednostkę na karę lub utratę zaufania.

 

Kiedy musisz zgłosić naruszenie do organu nadzorczego

Jeśli jako administrator danych stwierdzisz naruszenie, to:

  • musisz podjąć analizę okoliczności zdarzenia – co się stało, jakie dane, ile osób, jakie mogą być skutki;
  • jeśli z tej analizy wynika, że naruszenie „może skutkować ryzykiem dla praw lub wolności osób fizycznych”, to musisz zgłosić je do Urząd Ochrony Danych Osobowych (UODO) „bez zbędnej zwłoki” – w praktyce nie dłużej niż 72 godziny od momentu stwierdzenia naruszenia.
  • jeśli uznasz, że po tej analizie ryzyko jest mało prawdopodobne, to zgłoszenie do UODO nie jest obowiązkowe, ale musisz wpisać zdarzenie do wewnętrznego rejestru naruszeń.

Przykład: W Twojej jednostce doszło do wycieku danych zdrowotnych pracownika (np. wrażliwe dane – „dane dotyczące zdrowia”). Taki typ danych sam w sobie wskazuje na wysokie ryzyko, więc musisz zgłosić naruszenie do UODO.

Inny przykład: Utrata dysku służbowego zawierającego dane pracowników, ale dane były w pełni zaszyfrowane i nie było możliwości odszyfrowania – po analizie stwierdziłeś, że ryzyko jest bardzo niskie. W takim przypadku zgłoszenia do UODO możesz nie dokonać, ale wpisujesz incydent do rejestru.

Co musi zawierać zgłoszenie do UODO

W zgłoszeniu musisz podać:

  • charakter naruszenia – co się stało; jeśli możliwe, kategorie danych, przybliżoną liczbę osób, których dane dotyczą;
  • dane kontaktowe – np. imię i nazwisko IOD-a lub innego punktu kontaktowego;
  • przewidywane skutki naruszenia dla osób;
  • opis działań podjętych lub planowanych przez Ciebie – co zrobiłeś, żeby zminimalizować szkody.

Jeśli nie masz wszystkich informacji w momencie zgłoszenia – możesz przesłać zgłoszenie wstępne, a resztę uzupełnić później, ale w terminie 72 godzin.

Praktyczna wskazówka: Zadbaj, by Twoje procedury incydentu przewidywały szybkie zebranie tych danych – kto zgłosił, kiedy, jakie dane dotknięte, jakie osoby mogły mieć dostęp, jakie środki ochrony były zastosowane.

Kiedy trzeba zawiadomić osoby, których dane dotyczą

Osoby (np. uczniowie, pracownicy, klienci), których dane zostały naruszone, muszą być zawiadomione wtedy, gdy naruszenie „może powodować wysokie ryzyko dla praw lub wolności tych osób”.
Zawiadomienie powinno być napisane prostym językiem. W treści wskaż:

  • co się stało;
  • jakie dane zostały naruszone;
  • jakie mogą być skutki;
  • co robisz, by ograniczyć szkody;
  • dane kontaktowe, gdzie można uzyskać więcej informacji.
    Jeśli natomiast dane zostały np. zaszyfrowane i ryzyko jest bardzo małe – zawiadomienie osób może nie być wymagane.

Przykład: W Twojej organizacji e-mailem wysłano listę z nr PESEL i adresami domowymi 50 pracowników do nieuprawnionej osoby. To jest wysokie ryzyko – należy zawiadomić te osoby.

Przykładowa procedura obsługi incydentu.

  1. Natychmiast po wykryciu incydentu:
    • zbierz początkowe informacje: co się stało, kiedy, jakie dane, ile osób;
    • odizoluj źródło naruszenia (np. wyłącz dostęp, zmień hasła, zabezpiecz system).
  1. Przeprowadź analizę ryzyka:
  • jakie dane naruszono (np. wrażliwe dane, dane zwykłe);
  • jaka jest liczba osób poszkodowanych;
  • czy dane są zaszyfrowane lub w jaki sposób zabezpieczone;
  • czy możliwe są konsekwencje (kradzież tożsamości, szkoda finansowa, naruszenie dobrego imienia).
  1. W ciągu maksymalnie 72 godzin od stwierdzenia naruszenia (jeśli ryzyko nie zostało wykluczone):
  • złóż zgłoszenie do UODO za pomocą formularza elektronicznego.
  • jeśli potrzebujesz więcej czasu na szczegółowe dane, wyślij zgłoszenie wstępne.
  1. Zdecyduj i jeśli trzeba – zawiadom osoby, których dane dotyczą:
  • ułóż prostą wiadomość (lub listę) z wyjaśnieniem;
  • podaj informacje kontaktowe;
  • doradź, co te osoby mogą zrobić same (np. zmiana hasła, czujność na podejrzane e-mail).
  1. Prowadź rejestr naruszeń: wpisz każdy przypadek – nawet jeśli nie musiałeś zgłaszać. Rejestr powinien zawierać okoliczności zdarzenia, ocenę ryzyka i podjęte działania.
  2. Zrewiduj procedury: po incydencie zweryfikuj, czy Twoje mechanizmy ochrony były wystarczające. Upewnij się, że masz plan wykrywania naruszeń i reagowania na nie.

Typowe błędy, które widuję i które Ty możesz uniknąć

  • Brak lub opóźnione zgłoszenie do UODO – termin 72 godzin jest kluczowy.
  • Ocena „ryzyko = niski” bez uzasadnienia – jeżeli nie udokumentujesz decyzji, organ może uznać to za naruszenie przepisów.
  • Zawiadomienie osób w sposób niewłaściwy – użycie trudnego języka, pominięcie informacji o tym, co mogą zrobić sami.
  • Brak odizolowania incydentu – przysłowiowe „zasypanie sprawy” bez działań naprawczych.
  • Nieprowadzenie rejestru naruszeń – co utrudnia wykazanie, że działasz zgodnie z zasadą rozliczalności.

Zastanów się teraz – czy Twoja jednostka ma procedurę zgłaszania naruszeń? Czy masz wzór rejestru incydentów? Czy każda osoba odpowiedzialna wie, co robić, gdy wykryje wyciek danych? Jeżeli nie – koniecznie to uzupełnij. Jeśli już masz – sprawdź, czy uwzględnia wszystkie powyższe kroki i wskazówki.

 

Źródła:

Opublikowane w

MONITORUJ SWOJE KONTO BANKOWE

W ostatnim tygodniu bank Santander poinformował, że około 170 klientów straciło środki z kont osobistych. Transakcje były nieuprawnione, dokonywane przy użyciu kart płatniczych w bankomatach sieci współpracującej. Bank podkreślił, że środki te zostaną zwrócone poszkodowanym automatycznie. Służby i bank podejrzewają, że sprawcy wykorzystali tzw. „nakładki skanujące” na bankomatach i skimming kart. Zysk z przestępstw był legalizowany poprzez rachunki tzw. słupów, a także lokowany w kryptowalutach, za pomocą wpłat w bitomatach. Jeśli nie sprawdzisz swojego rachunku, możesz stracić znaczne środki. Banki i służby reagują po fakcie – twój własny monitoring może być pierwszą linią obrony. Choć bank Santander deklaruje zwrot środków, nie zawsze będzie to automatyczne, więc w Twoim interesie jest być proaktywnym.

mężczyzna w kapturze z kartą kredytową

 

Rys.1 Grafika „haker konto bankowe” Źródło: Designed by Freepik

Praktyczne wskazówki – jak się zabezpieczyć.

  1. Codziennie sprawdzaj stan konta i historię transakcji
    – Otwórz aplikację banku lub zaloguj się na stronę online.
    – Zwróć uwagę na każdą wypłatę lub przelew – nawet jeśli to kilka złotych.


  2. Włącz powiadomienia SMS lub w aplikacji mobilnej
    – Jeśli przyjdzie komunikat o transakcji, której nie robiłeś – reaguj natychmiast.


  3. Zwracaj uwagę na bankomaty, z których korzystasz
    – Zwróć uwagę na wygląd czy obudowa bankomatu nie jest naruszona, czy czytnik kart nie wygląda inaczej.
    – Jeśli masz wątpliwości wybierz inny bankomat lub wypłać gotówkę bezpośrednio w banku.


  4. Ustal górny limit codziennych wypłat/przelewów lub ustaw blokadę nietypowych transakcji
    – Jeśli bank daje taką możliwość wykorzystaj ją. To zmniejsza ryzyko, że ktoś w krótkim czasie opróżni konto.


  5. Reaguj natychmiast przy podejrzanych operacjach
    – Jeżeli widzisz transakcję, której nie zrobiłeś natychmiast zadzwoń do banku i zgłoś incydent.
    – Zgłoś też sprawę na policję, Centralne Biuro Zwalczania Cyberprzestępczości doradza, aby zgłoszenie zawierało numer rachunku i historię konta.

„Jeśli jesteś pokrzywdzonym w wyniku nieuprawnionych wypłat ze swojego konta, chcąc złożyć zawiadomienie o przestępstwie zabierz ze sobą następujące dokumenty: dowód osobisty, numer rachunku w banku, o ile to możliwe wydrukowaną historię rachunku ze wskazaniem budzącej wątpliwość transakcji” – apeluje policja.

Jako pracownik JST dobrze rozumiesz, że zagrożenia nie dotyczą tylko indywidualnych kont, ale również służbowe rachunki bankowe mogą być celem ataku. Stosuj powyższe wskazówki na poziomie zawodowym i prywatnym:
– Przemyśl możliwość stosowania dwuetapowej autoryzacji dla logowania do banku.
– Traktuj konto bankowe jako zasób krytyczny – nie tylko w pracy, ale także w życiu prywatnym.
– Rozważ cykliczne audyty własnej sytuacji – raz w miesiącu przejrzyj, które urządzenia mają dostęp do aplikacji bankowej, czy telefon jest regularnie aktualizowany, czy nie używasz starego hasła.

.

Źródła:

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

 

Opublikowane w

UODO REALIZUJE XVI EDYCJĘ PROGRAMU „TWOJE DANE – TWOJA SPRAWA” PRYWATNOŚĆ I SZTUCZNA INTELIGENCJA W EDUKACJI

Program „Twoje dane – Twoja sprawa” wystartował w nowej, szesnastej odsłonie. Głównym tematem tej edycji jest rola sztucznej inteligencji w edukacji i wpływ nowych technologii na prywatność uczniów. 22–23 października 2025 r. w siedzibie UODO odbyła się konferencja inauguracyjna programu. Wzięli w niej udział nauczyciele, dyrektorzy szkół, eksperci oraz przedstawiciele administracji. Program skierowany jest do szkół podstawowych, ponadpodstawowych oraz placówek doskonalenia nauczycieli.

dzieci w szkole

 

Rys.1 Grafika „szkoła komputer” Źródło: Designed by Freepik



Co należy do priorytetów edycji XVI

W tej edycji UODO stawia na:

  • zrozumienie, jak działają systemy sztucznej inteligencji oraz jakie mogą być ich konsekwencje dla prywatności uczniów i nauczycieli;

  • naukę odpowiedzialnego korzystania z nowych technologii: wybieranie bezpiecznych aplikacji i rozwiązań cyfrowych;

  • kształtowanie postaw uczniów i nauczycieli: prywatność nie jest przeszkodą, ale wartością, którą trzeba chronić;

  • uwzględnienie wpływu AI nie tylko jako narzędzia, ale także jako środowiska życia cyfrowego młodych ludzi.



Dlaczego to ma znaczenie dla szkoły i nauczycieli

Jeśli jesteś nauczycielem lub pracujesz w szkole, ta edycja to okazja, by:

  • włączyć temat ochrony danych i AI w codzienne działania dydaktyczne i wychowawcze – na lekcjach języka polskiego, matematyki czy wychowania fizycznego;

  • zadbać o bezpieczeństwo systemów wykorzystywanych w placówce – np. rejestrów uczniów, aplikacji edukacyjnych – oraz o świadomość uczniów w tym zakresie;

  • rozwijać w uczniach kompetencje, jak krytycznie korzystać z treści generowanych przez AI, jak rozpoznawać zagrożenia np. „deepfake”, profilowanie;

  • współpracować z rodzicami, by razem budować kulturę cyfrowej odpowiedzialności – ponieważ dzieci spędzają coraz więcej czasu w Internecie, a szkoła może być przewodnikiem w tym obszarze.

Praktyczne wskazówki

  • Przeprowadź krótką lekcję na temat prywatności danych: np. „Co to są moje dane?”, „Dlaczego moje dane w Internecie mogą być zagrożone?”.

  • Podczas korzystania z aplikacji edukacyjnych w szkole zapytaj uczniów: „Kto ma dostęp do danych, które wprowadzamy?”, „Czy aplikacja poprosiła o zgodę na przetwarzanie moich danych?”.

  • Zorganizuj wspólnie z uczniami mały projekt: sprawdźcie trzy darmowe aplikacje edukacyjne i oceńcie je pod kątem prywatności – jakie dane aplikacja zbiera, czy można je usunąć, kto ma do nich dostęp.

  • Z rodzicami zgódźcie się na zasadę: raz w semestrze omówcie wspólnie, jakie urządzenia dzieci używają poza szkołą i jakie zasady bezpieczeństwa obowiązują (np. hasła, prywatność w sieci, czas ekranowy).

  • W szkolnym regulaminie lub procedurze IT uwzględnij punkt: „Wszelkie dane uczniów w systemach edukacyjnych powinny być chronione, dostęp ograniczony, publikacje wizerunku wymagają zgody opiekunów”.



Źródła:



AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

UDANY ATAK HAKERSKI NA ZAKŁAD BUDYNKÓW MIEJSKICH W CIESZYNIE

W poniedziałek 6 października hakerzy zaatakowali Zakład Budynków Miejskich w Cieszynie i całkowicie zablokowali serwery. Instytucja miejska straciła kontrolę nad swoją wewnętrzną bazą danych. Atak pokazał, jak łatwo można sparaliżować pracę publicznej jednostki. Kto będzie ponosił odpowiedzialność i jakie będą kary? Warto o tym pomyśleć przed incydentem i zabezpieczyć infrastrukturę krytyczną.

Atak hakerski

 

Rys.1 Grafika UDANY ATAK HAKERSKI NA ZAKŁAD BUDYNKÓW MIEJSKICH W CIESZYNIE Źródło: gemini.google.com

Hakerzy użyli złośliwego programu typu ransomware. To oprogramowanie, które szyfruje i blokuje pliki na komputerach i serwerach. Nie ma pewności, czy skopiowali dane, ale istnieje takie ryzyko. Mogli uzyskać dostęp do imion, nazwisk, adresów, numerów telefonów i e-maili. Czy administratorzy danych w jednostkach samorządu terytorialnego są gotowi na takie incydenty? Niech to zdarzenie będzie refleksją, którą przekujemy w bezpieczeństwo innych JST. Zachęcam do analizy ryzyka i aktualizacji polityki bezpieczeństwa informacji oraz instrukcji zarządzania systemem teleinformatycznym.

W przeciwieństwie do ostatniego ataku na Łotwę, tutaj chodziło o coś więcej niż tylko o zablokowanie strony. Tu zagrożone są pieniądze i tożsamość klientów ZBM. Jeśli przestępcy znają PESEL, mogą wziąć kredyt pozabankowy. Mogą też podszyć się pod klienta i podpisać umowę cywilną, na przykład najmu. Pomyśl jako pracownik administracji, ile od ciebie zależy. Musisz zrozumieć, że to ty jesteś pierwszą i najważniejszą barierą przed atakiem. Jeden nierozważny klik pozwala hakerom na dostęp do całej bazy danych instytucji. Bierz udział w szkoleniach i pilnuj procedur.

Osoby poszkodowane powinny działać natychmiast, aby ochronić się przed oszustwem. Po pierwsze, należy założyć konto w systemie informacji kredytowej. Dzięki temu natychmiast dostaniesz powiadomienie, gdy ktoś będzie chciał wziąć na ciebie pożyczkę. Po drugie, zachowaj szczególną ostrożność przy odbieraniu telefonów i e-maili od nieznajomych. Nie podawaj żadnych danych. Ignoruj wiadomości, które proszą o pilne wykonanie mikroprzelewu lub kliknięcie w link. Twoja czujność to najlepsza zapora. Zmień hasła do kluczowych cyber usług.

Źródła:

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.