W ostatnich miesiącach obserwujemy gwałtowny wzrost wykorzystania usług AI w aplikacjach i systemach teleinformatycznych. Jednocześnie rośnie skala nadużyć związanych z niewłaściwym zarządzaniem kluczami API. Opisany przypadek developera, który stracił 15 tys. dolarów przez wyciek klucza do usług AI, nie jest incydentem odosobnionym. To konkretny sygnał ostrzegawczy dla administracji publicznej. Jeśli w twojej jednostce wdrażasz integracje z usługami chmurowymi, modelami językowymi lub API dostawców takich jak Google, to zarządzasz realnym ryzykiem finansowym i operacyjnym. Błąd konfiguracyjny lub brak kontroli dostępu może skutkować nie tylko kosztami, ale także incydentem bezpieczeństwa danych.

Rys.1 Grafika „Wyciek klucza API” Źródło: Copilot M365

W analizowanym przypadku klucz API do usługi Google Gemini został ujawniony w publicznie dostępnym repozytorium kodu. Atakujący wykorzystali go do generowania zapytań na koszt właściciela. Mechanizm jest prosty. Klucz API działa jak token uwierzytelniający. Jeśli nie ograniczysz jego użycia, każdy kto go pozna, może korzystać z usług w twoim imieniu. W usługach rozliczanych per request oznacza to bezpośrednie straty finansowe. W środowisku JST konsekwencje mogą być poważniejsze. Atakujący może wykorzystać API do przetwarzania danych, testowania payloadów lub budowania kanałów komunikacji poza twoją kontrolą.

Wskazówki…

Zidentyfikuj wszystkie miejsca, w których używasz kluczy API. W praktyce znajdziesz je w kodzie aplikacji, skryptach automatyzujących, plikach konfiguracyjnych i pipeline CI CD. Najczęstszy błąd polega na przechowywaniu kluczy w repozytoriach Git. Nawet jeśli repozytorium jest prywatne, ryzyko wycieku istnieje. Wystarczy jeden błąd w uprawnieniach lub publikacja fragmentu kodu. W JST często spotykam sytuację, w której dostawca systemu zostawia klucz zaszyty w aplikacji, a administrator nie ma nad nim żadnej kontroli.

Wdrażaj restrykcje na poziomie dostawcy API. Każdy klucz powinien mieć ograniczenia. Ogranicz adresy IP, z których można go używać. Ogranicz domeny w przypadku aplikacji webowych. Włącz limity zapytań i budżety kosztowe. W usługach Google możesz ustawić quota oraz alerty billingowe. Jeśli ktoś zacznie generować nietypowy ruch, system powinien natychmiast cię powiadomić. Brak takich mechanizmów sprawił, że w opisanym przypadku koszt narastał przez dłuższy czas.

Zastosuj rotację kluczy. Klucz API nie jest statycznym elementem konfiguracji. Traktuj go jak hasło o wysokim poziomie uprzywilejowania. Wprowadź politykę rotacji co określony czas lub po każdym incydencie. Automatyzuj ten proces. W środowiskach produkcyjnych użyj menedżerów poświadczeń takich jak HashiCorp Vault, Azure Key Vault czy AWS Secrets Manager. W infrastrukturze on-premise możesz wykorzystać rozwiązania klasy KeePass w połączeniu z kontrolą dostępu i audytem.

Włącz monitoring i korelację zdarzeń. Integruj logi z usług API z systemem SIEM, na przykład Greylog, który planujesz wdrożyć. Analizuj wzorce ruchu. Szukaj anomalii takich jak nagły wzrost liczby zapytań, nietypowe godziny aktywności lub zapytania z nieznanych lokalizacji. W praktyce jeden dashboard z metrykami API pozwala wykryć incydent szybciej niż zgłoszenie z działu księgowości o wysokiej fakturze.

Zadbaj o bezpieczeństwo pipeline CI CD. Klucze API często trafiają do zmiennych środowiskowych w systemach takich jak GitLab CI czy Jenkins. Sprawdź kto ma do nich dostęp. Ogranicz możliwość ich odczytu. Włącz maskowanie wartości w logach. Atakujący często pozyskują hasła właśnie przez logi buildów.

Przeprowadź audyt kodu i repozytoriów. Użyj narzędzi do skanowania sekretów takich jak Gitleaks, TruffleHog lub GitGuardian. Te narzędzia wykrywają klucze API, tokeny i hasła w historii repozytoriów. W JST, gdzie projekty często mają długą historię i wielu wykonawców, takie skanowanie ujawnia realne problemy. Jeśli znajdziesz klucz w historii Git, uznaj go za skompromitowany i natychmiast go unieważnij.

Zwróć uwagę na aspekt odpowiedzialności dostawców. Jeśli korzystasz z oprogramowania od zewnętrznych firm, wymagaj w umowach stosowania bezpiecznego zarządzania sekretami. Wprowadź zapisy o zakazie hardcodowania kluczy API. Wymagaj dokumentacji dotyczącej rotacji i przechowywania kluczy. W praktyce to ty odpowiadasz za incydent, nawet jeśli błąd popełnił wykonawca.

Przygotuj procedurę reagowania. Jeśli wykryjesz nadużycie klucza API, działaj natychmiast. Unieważnij klucz, przeanalizuj logi, oszacuj zakres nadużycia i sprawdź, czy doszło do przetwarzania danych. W JST może to oznaczać konieczność zgłoszenia incydentu do UODO. Czas reakcji ma znaczenie zarówno dla ograniczenia kosztów, jak i skutków prawnych.

W kontekście jednostek sektora finansów publicznych musisz brać pod uwagę ryzyko naruszenia dyscypliny finansów publicznych. Nieautoryzowane wykorzystanie klucza API, które generuje koszty usług chmurowych, może zostać zakwalifikowane jako wydatkowanie środków publicznych bez podstawy prawnej lub bez zachowania zasad należytej staranności. Jeśli nie wdrożysz mechanizmów kontroli kosztów, limitów i monitoringu, trudno będzie wykazać, że działałeś w sposób gospodarny i zgodny z przepisami. W praktyce oznacza to potencjalną odpowiedzialność kierownika jednostki lub osoby zarządzającej systemem, zwłaszcza gdy incydent wynika z zaniedbań organizacyjnych lub braku procedur bezpieczeństwa. Dlatego traktuj zarządzanie kluczami API nie tylko jako element cyberbezpieczeństwa, ale także jako obszar kontroli finansowej i zgodności z przepisami.

Opisany przypadek pokazuje, że granica między błędem deweloperskim a incydentem bezpieczeństwa finansowego jest cienka. W twojej roli nie wystarczy ufać, że dostawca zadbał o szczegóły. Musisz aktywnie zarządzać kluczami API, monitorować ich użycie i wymuszać dobre praktyki. To obszar, który bezpośrednio wpływa na bezpieczeństwo systemów i budżet jednostki. Należy pamiętać, że wydajemy publiczne pieniądze.

Źródła:

TechRadar.com; US$15K bill destroyed a solo developer’s startup – how hackers are using leaked Google API keys to go wild with Gemini AI for free;

 

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, oraz opracowane przez człowieka.

W pracy w urzędzie masz dostęp do danych mieszkańców. To oznacza realną odpowiedzialność. Naruszenie danych może zdarzyć się każdemu. Wystarczy wysłać maila do niewłaściwej osoby, zgubić dokument albo źle ustawić uprawnienia w systemie. Kluczowe jest to, co zrobisz dalej. Masz konkretne obowiązki i bardzo mało czasu na reakcję. Ten tekst pokaże ci krok po kroku, komu zgłosić naruszenie, kiedy masz to zrobić i jak podjąć właściwą decyzję. 

Rys.1 Grafika skarga Źródło: Copilot M365

Naruszenie to każda sytuacja, w której dane osobowe trafiają tam, gdzie nie powinny. Może to być utrata dokumentów, nieuprawniony dostęp do systemu albo przypadkowe ujawnienie danych. Przykład z życia. Pracownik wysyła listę uczestników szkolenia do biblioteki, ale wpisuje zły adres mailowy. Dane trafiają do obcej osoby. To jest naruszenie. Jeśli pracujesz w JST, nie działaj sam. Zgłoś incydent do administratora danych (AD) lub inspektora ochrony danych (IOD). To oni odpowiadają za formalne zgłoszenie.

Nie każde naruszenie AD musisz zgłaszać na zewnątrz. Najpierw odpowiedz sobie na jedno pytanie. Czy ta sytuacja może zaszkodzić osobie, której dane dotyczą. Urząd Ochrony Danych Osobowych wskazuje jasno. Jeśli ryzyko jest realne, masz obowiązek zgłoszenia. Zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w sytuacji gdy zaistniałe naruszenie skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych, administratorzy zobligowani są do zgłoszenia naruszenia krajowemu organowi nadzorczemu, którym w Rzeczypospolitej Polskiej jest Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO).

Przykład. Zgubiłeś kartkę z imieniem i nazwiskiem. Ryzyko jest niewielkie. Zgubiłeś dokument z numerem PESEL i adresem. Ryzyko jest wysokie. W takim przypadku działasz dalej. Pamiętaj o jednej rzeczy. Nawet jeśli uznasz, że ryzyko jest znikome, zapisz swoją analizę. Organ nadzorczy może o to zapytać.

Jeżeli naruszenie dotyczy danych osób w różnych krajach UE, Prezes UODO może być, ale nie musi być wiodącym (czyli właściwym dla administratora) organem nadzorczym. W przypadku transgranicznego naruszenia danych administrator powinien dokonać analizy, czy wiodącym organem nadzorczym w odniesieniu do czynności przetwarzania, które zostały objęte naruszeniem, jest Prezes UODO, czy też może inny europejski organ nadzorczy.  

Kiedy masz zgłosić naruszenie?

Tu nie ma miejsca na zwłokę. Masz maksymalnie 72 godziny od momentu wykrycia naruszenia.

To oznacza, że liczysz czas od chwili, gdy dowiedziałeś się o problemie, a nie od momentu jego powstania. Jeśli nie zdążysz w terminie, nadal zgłaszasz naruszenie. Musisz tylko wyjaśnić, dlaczego się spóźniłeś.

Zanim zgłosisz naruszenie do UODO, zbierz konkretne dane. Opisz co się stało, ilu osób dotyczy problem, jakie dane wyciekły i co już zrobiłeś, żeby ograniczyć skutki. Nie czekaj na pełny obraz sytuacji. Jeśli nie masz wszystkich informacji, zgłoś to, co wiesz. Resztę możesz uzupełnić później.

Kiedy informujesz osoby, których dane dotyczą?

Jeśli ryzyko jest wysokie, informujesz bezpośrednio mieszkańców. Robisz to szybko i jasno.

Przykład. Wyciekły dane z numerami PESEL. Informujesz poszkodowane osoby, żeby mogły zastrzec dokumenty i zabezpieczyć się przed kradzieżą tożsamości. Jeśli ryzyko jest niskie, nie musisz informować osób. Wystarczy dokumentacja wewnętrzna.

Przykładowy komunikat o naruszeniu ochrony danych osobowych

Informujemy, że w Urzędzie doszło do naruszenia ochrony danych osobowych mieszkańców. Zdarzenie polegało na nieuprawnionym dostępie do danych zawierających imię, nazwisko, adres zamieszkania oraz numer PESEL.

Po wykryciu incydentu natychmiast podjęliśmy działania zabezpieczające. Zablokowaliśmy źródło naruszenia, zabezpieczyliśmy systemy oraz rozpoczęliśmy szczegółową analizę zdarzenia. Sprawę zgłosiliśmy do Prezesa Urzędu Ochrony Danych Osobowych. Obecnie wprowadzamy dodatkowe zabezpieczenia w systemach informatycznych oraz procedurach obsługi danych. Przeprowadzamy audyt bezpieczeństwa i szkolenia dla pracowników, aby ograniczyć ryzyko podobnych zdarzeń w przyszłości.

Dane, które wyciekły, mogą zostać wykorzystane do prób wyłudzeń lub kradzieży tożsamości. Osoba nieuprawniona może próbować zaciągnąć zobowiązania finansowe lub podszyć się pod Ciebie.

Co możesz zrobić aby zminimalizować ryzyko…

• Zastrzeż swój numer PESEL. Możesz to zrobić przez profil zaufany lub w urzędzie gminy. To najważniejszy krok, który utrudnia wykorzystanie Twoich danych.

• Sprawdzaj swoją historię kredytową. Skorzystaj z raportów BIK. Zwracaj uwagę na próby zaciągania zobowiązań, których nie rozpoznajesz.

• Uważaj na podejrzane telefony i wiadomości. Oszust może podawać się za pracownika banku lub urzędu i próbować wyłudzić dodatkowe informacje.

• Zgłaszaj każdą podejrzaną sytuację. Jeśli ktoś próbuje wykorzystać Twoje dane, skontaktuj się z policją lub swoim bankiem.

• Rozważ włączenie alertów w banku. Dzięki nim szybko dowiesz się o próbach użycia Twoich danych.

Jeśli masz pytania lub potrzebujesz pomocy, skontaktuj się z nami:

Urząd Gminy w ……….

…………………………….

Każde zgłoszenie traktujemy poważnie. Możesz uzyskać informacje o zakresie naruszenia oraz wsparcie w zabezpieczeniu swoich danych.

Najczęstsze błędy w urzędach

Pierwszy błąd to brak reakcji. Pracownik dostrzega problem, ale liczy, że nikt się nie dowie.

Drugi błąd to zbyt późne zgłoszenie. 72 godziny mijają szybciej niż myślisz.

Trzeci błąd to brak dokumentacji. Nawet jeśli nie zgłaszasz naruszenia, musisz mieć zapis analizy.

Czwarty błąd to działanie w pojedynkę. Zawsze informuj inspektora ochrony danych.

Co powinieneś zrobić w praktyce?

Zauważyłeś incydent. Zatrzymaj go. Zablokuj dostęp, wycofaj maila, zabezpiecz dokumenty.

Zgłoś sprawę do przełożonego lub IOD.

Oceń ryzyko. Jeśli istnieje, przygotuj zgłoszenie do UODO.

Pilnuj czasu. 72 godziny to twój realny limit.

Zapisz wszystko. Każdą decyzję i każdy krok.

Taka reakcja pokazuje, że urząd działa odpowiedzialnie i chroni mieszkańców.

Źródła:

uodo.gov.pl; Komu należy zgłosić zaistniałe naruszenie ochrony danych osobowych?

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, oraz opracowane przez człowieka.

W sieci zostawiasz swoje dane każdego dnia. Podajesz je w urzędzie, sklepie internetowym czy przy rejestracji wizyty lekarskiej. Masz prawo oczekiwać, że będą bezpieczne. Gdy ktoś je wykorzysta niezgodnie z prawem, możesz zareagować. Jednym z najważniejszych narzędzi jest skarga do Urzędu Ochrony Danych Osobowych. To prostsze niż myślisz. W tym tekście znajdziesz konkretne wskazówki, które pozwolą ci skutecznie złożyć skargę i zadbać o swoje dane.

 

Rys.1 Grafika skarga Źródło: @UODOgov_pl / X https://x.com/UODOgov_pl/status/2039297098571534414?s=20

Kiedy możesz złożyć skargę?

Złóż skargę, gdy ktoś naruszy twoje prawa związane z danymi osobowymi. Przykłady są bardzo konkretne. Firma wysyła ci reklamy bez twojej zgody lub udostępnia twoje dane osobom trzecim. Pracodawca przetwarza więcej danych niż powinien. Bank nie chce usunąć twoich danych pomimo wniosku. Jeśli czujesz, że ktoś działa niezgodnie z przepisami RODO, masz podstawę do działania.

Zanim wyślesz skargę najpierw skontaktuj się z podmiotem, który przetwarza twoje dane. Napisz wniosek o wyjaśnienie sprawy lub o realizację twojego prawa, na przykład dostępu do danych albo ich usunięcia. Daj czas na odpowiedź. Prawo przewiduje zwykle miesiąc. Zachowaj kopie wiadomości. Będzie to dowód, że próbowałeś rozwiązać sprawę bez udziału UODO.

Jak przygotować skargę?

Opisz swoją sprawę jasno i konkretnie. Podaj, kto przetwarza twoje dane i na czym polega problem. Wskaż, kiedy doszło do naruszenia. Dołącz dowody. Mogą to być maile, zrzuty ekranu, odpowiedzi firmy. Podaj swoje dane kontaktowe. Nie pisz ogólnie. Zamiast „naruszono moje dane” napisz „firma X wysłała mi 12 wiadomości marketingowych bez zgody między 1 a 15 marca”.

Jak złożyć skargę?

Masz kilka możliwości. Możesz wysłać skargę pocztą tradycyjną do UODO. Możesz złożyć ją elektronicznie przez e-doręczenia. Możesz też dostarczyć ją osobiście. Formularz nie jest obowiązkowy, ale ułatwia sprawę. Najważniejsze jest, aby pismo zawierało opis zdarzenia, twoje żądanie i dowody.

Urząd Ochrony Danych Osobowych

ul. Stanisława Moniuszki 1A, 00-014 Warszawa

tel. 22 531-03-00

Adres do doręczeń elektronicznych UODO AE:PL-67085-31860-RWFHC-35

Następnie UODO analizuje skargę i sprawdza, czy doszło do naruszenia. Może poprosić cię o uzupełnienie informacji. Może też zwrócić się do firmy lub instytucji o wyjaśnienia. W razie stwierdzenia naruszenia urząd może nakazać zmianę działania, usunięcie danych albo nałożyć karę finansową. Postępowanie trwa, ale masz prawo pytać o jego stan. Otrzymasz informacje o przebiegu postępowania. Możesz też dostarczać nowe dowody. Jeśli nie zgadzasz się z decyzją, możesz ją zaskarżyć do sądu administracyjnego.

Praktyczne wskazówki

Rób zrzuty ekranu od razu, gdy zauważysz naruszenie. Zapisuj daty i godziny. Korzystaj z prostego języka. Pisz krótko i na temat. Dołącz tylko potrzebne dokumenty. Jeśli sprawa dotyczy dzieci lub osób starszych, opisz to wprost. To pomaga w ocenie sytuacji. Ten mechanizm działa. Jeśli z niego skorzystasz, chronisz nie tylko siebie, ale też innych.

Źródła:

uodo.gov.pl; Składanie skarg za pomocą e-doręczeń

X; Każda osoba ma prawo złożyć skargę do Prezesa UODO

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, oraz opracowane przez człowieka.

W wielu gminach występuje podobny problem. Mieszkańcy mają dostęp do Internetu, ale nie potrafią w pełni bezpiecznie z niego korzystać. Starsze osoby boją się załatwiać sprawy online. Rodzice nie wiedzą, jak chronić dzieci w sieci. Część mieszkańców nie potrafi skorzystać z usług publicznych przez Internet. Teraz pojawia się realna szansa, aby to zmienić. Program Klubów Rozwoju Cyfrowego daje twojej gminie konkretne środki na stworzenie miejsca, w którym mieszkańcy nauczą się praktycznych umiejętności cyfrowych. Program realizowany przez Centrum Projektów Polska Cyfrowa zakłada wsparcie dla gmin, które chcą rozwijać kompetencje swoich mieszkańców. Do podziału jest ponad 975 mln zł. To nie jest projekt teoretyczny. To konkretne pieniądze na działania lokalne, które możesz wdrożyć u siebie.

 

Rys.1 Grafika „KRC” Źródło: https://www.gov.pl/

Klub Rozwoju Cyfrowego to nie musi być nowa instytucja. Możesz go uruchomić w bibliotece, domu kultury lub urzędzie. Wystarczy miejsce, dostęp do Internetu i osoba, która poprowadzi zajęcia. Mieszkańcy przychodzą tam po praktyczną wiedzę. Uczą się jak założyć profil zaufany, jak skorzystać z e-usług, jak rozpoznać oszustwo w Internecie. To są umiejętności, które od razu wykorzystują w życiu.

Z perspektywy urzędu zyskujesz więcej niż tylko zadowolonych mieszkańców. Jeśli nauczysz ludzi korzystania z usług online, zmniejszysz kolejki w urzędzie. Pracownicy będą mieli więcej czasu na trudniejsze sprawy. To realna poprawa organizacji pracy. W jednej z gmin pilotażowych liczba wizyt w urzędzie w sprawach prostych spadła, bo mieszkańcy zaczęli załatwiać je samodzielnie przez Internet.

Nie komplikuj startu. Zacznij od diagnozy. Sprawdź, kto w twojej gminie najbardziej potrzebuje wsparcia. Seniorzy, osoby bezrobotne, rodzice dzieci w wieku szkolnym. Porozmawiaj z dyrektorami szkół i bibliotek. Oni wiedzą, jakie są realne potrzeby. Na tej podstawie zaplanuj program zajęć.

Zadbaj o prosty program. Nie zaczynaj od teorii. Pokaż mieszkańcom konkrety. Jak zapłacić podatek online. Jak umówić wizytę u lekarza przez Internet. Jak sprawdzić konto w ZUS. Jeśli uczestnik po zajęciach potrafi zrobić jedną rzecz samodzielnie, to jest sukces.

W projekcie masz środki nie tylko na zajęcia. Możesz sfinansować sprzęt, wynagrodzenia dla prowadzących i działania informacyjne. To ważne, bo bez promocji mieszkańcy nie przyjdą. Wykorzystaj lokalne kanały, stronę urzędu, Facebook, ogłoszenia w sołectwach. Zaproś ludzi konkretnym komunikatem: Przyjdź, bądź cyberodporny i naucz się korzystać z telefonu i Internetu.

Nabór wniosków już ruszył i ma określone terminy. Dokumenty składasz elektronicznie. Jeśli nie masz doświadczenia w projektach unijnych, skorzystaj z pomocy WOKISS. To praktyczne wsparcie, które pomaga uniknąć błędów formalnych i odciąży twój zespół.

Nie odkładaj decyzji na później. Projekty cyfrowe często przegrywają z inwestycjami infrastrukturalnymi. Droga czy kanalizacja są bardziej widoczne. Kompetencje cyfrowe dają równie realny efekt. Mieszkaniec, który radzi sobie w świecie cyfrowym, jest bardziej samodzielny i mniej zależny od urzędu.

Masz teraz narzędzie i finansowanie. Od twojej decyzji zależy, czy mieszkańcy twojej gminy będą tylko użytkownikami technologii, czy świadomymi jej uczestnikami.

Źródła:

samorzad.pap.pl; Ponad 975 mln złotych na zakładanie klubów rozwoju cyfrowego w gminach

gov.pl; Kluby Rozwoju Cyfrowego

gov.pl; Projekt Kluby Rozwoju Cyfrowego – wsparcie

gov.pl; Nabór wniosków FERS.01.09

funduszeunijne.gov.pl; Rozwój kompetencji cyfrowych

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, oraz opracowane przez człowieka.

Atak na urząd miasta nie jest już incydentem wyjątkowym. To scenariusz, który może dotknąć każdą jednostkę samorządu terytorialnego. Z informacji opublikowanych przez Polską Agencję Prasową wynika, że w jednym z urzędów doszło do naruszenia bezpieczeństwa systemów IT, a na poziomie centralnym uruchomiono procedury kryzysowe. Sprawą zajęły się CSIRT NASK, UODO oraz organy ścigania. Jeśli odpowiadasz za infrastrukturę IT w JST, potraktuj ten przypadek jako sygnał ostrzegawczy. Twój system nie jest anonimowy w sieci. Jest celem. Masz ograniczony czas na reakcję, gdy incydent już wystąpi.

Rys.1 Grafika „cyberatak” Źródło: Designed by Freepik

Atak objął systemy informatyczne urzędu. Najczęściej w takich przypadkach dochodzi do kompromitacji kont uprzywilejowanych lub wykorzystania podatności w usługach dostępnych z sieci publicznej. Typowy wektor wejścia to phishing lub podatność w VPN, RDP albo serwer aplikacyjny. Po uzyskaniu dostępu napastnik wykonuje ruch boczny i przejmuje kolejne zasoby.

Z punktu widzenia informatyka kluczowe jest jedno pytanie. Jak szybko wykrywasz incydent. W wielu JST czas wykrycia liczony jest w dniach lub tygodniach. Według raportów branżowych średni czas obecności atakującego w sieci to ponad 20 dni. W tym czasie napastnik mapuje środowisko, zbiera dane i przygotowuje eskalację. Jeśli nie masz centralnego systemu zbierania logów i korelacji zdarzeń, działasz w ciemno.

Sprawdź swoje logowanie zdarzeń. Windows Event ID 4624, 4625, 4672 oraz 4720 to podstawowe sygnały aktywności kont. Jeśli nie analizujesz ich automatycznie, nie zobaczysz ataku. Wdrożenie systemu klasy SIEM, np. Greylog, Wazuh czy Elastic, pozwala na korelację i alertowanie w czasie rzeczywistym.

Zadbaj o segmentację sieci. Jeśli użytkownik z referatu budownictwa ma dostęp do serwera finansowego, to błąd architektoniczny. VLAN bez kontroli ruchu nie wystarczy. Wprowadź polityki firewall między segmentami. Wymuś zasadę least privilege. Każdy dostęp musi mieć uzasadnienie.

Przeanalizuj dostęp zdalny. RDP wystawione do Internetu to zaproszenie dla atakującego. Jeśli musisz używać zdalnego dostępu, wdróż VPN z MFA. Sprawdź logi logowań. Wiele ataków zaczyna się od prostych prób brute force.

Zabezpiecz kopie zapasowe. W incydentach ransomware to jedyny element, który pozwala wrócić do działania. Backup musi być offline lub w modelu immutable. Testuj odtwarzanie. W praktyce wiele JST posiada backup, którego nie da się użyć.

Zwróć uwagę na użytkownika końcowego. Phishing nadal działa. Wystarczy jedno kliknięcie. Szkolenia powinny być cykliczne i oparte na symulacjach. Przykład z życia. W jednej z gmin przeprowadzono test phishingowy. Ponad 40 procent pracowników kliknęło w link. To nie jest problem ludzi. To problem procesu i świadomości.

Wprowadź procedury reagowania. Jeśli nie masz playbooka na incydent, stracisz czas na improwizację. Określ, kto podejmuje decyzje, kto izoluje systemy, kto komunikuje się z kierownictwem. W ataku liczą się minuty. Odłącz zainfekowaną stację od sieci. Zablokuj konta. Zabezpiecz logi. Nie wyłączaj systemu bez analizy, bo stracisz ślady.

Monitoruj aktualizacje. Wiele ataków wykorzystuje znane podatności. Brak patchowania to najprostsza droga do kompromitacji. W środowisku Windows użyj WSUS lub Intune. Dla urządzeń sieciowych wprowadź harmonogram aktualizacji firmware.

Patrz na incydent jak na proces, nie jednorazowe zdarzenie. Atak na urząd miasta pokazał, że reakcja musi być wielopoziomowa. Ty odpowiadasz za pierwszy poziom. Masz wpływ na architekturę, monitoring i procedury. Jeśli tego nie zrobisz, kolejne komunikaty mogą dotyczyć twojej jednostki.

Źródła:
Serwis Samorządowy PAP; Atak hakerski na urząd miasta. Ministerstwo wdraża procedury kryzysowe

CyberDefence24; Cyberatak na Urząd Miasta w Myszkowie. Ryzyko wycieku danych

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, oraz opracowane przez człowieka.

 

Rząd utrzymuje w Polsce stopień alarmowy BRAVO oraz BRAVO CRP. Dla wielu mieszkańców to tylko komunikat w mediach. Dla administracji publicznej to wyraźny sygnał. Państwo oczekuje większej czujności i konkretnych działań w obszarze bezpieczeństwa. Dotyczy to także cyberprzestrzeni. Właśnie tam coraz częściej dochodzi do prób ataków na instytucje publiczne. Urząd gminy, szkoła czy ośrodek pomocy społecznej korzystają z systemów informatycznych każdego dnia. Każdy z nich może stać się celem cyberataku. Dlatego pytanie o bezpieczeństwo systemów w samorządzie nie jest dziś teorią. To pytanie o ciągłość pracy urzędu i ochronę danych mieszkańców.

Rys.1 Grafika „Alarm” Źródło: https://www.gov.pl

Stopień alarmowy BRAVO oznacza zwiększone ryzyko zdarzenia o charakterze terrorystycznym. Stopień BRAVO CRP dotyczy cyberprzestrzeni. Administracja publiczna ma wtedy prowadzić wzmożony monitoring bezpieczeństwa systemów informatycznych i reagować na podejrzane zdarzenia.

W praktyce oznacza to jedno. Każda jednostka samorządu terytorialnego powinna sprawdzić, czy jest przygotowana na incydent cyfrowy.

Czy Twoje systemy są aktualne

Najprostszy sposób ataku to wykorzystanie starego oprogramowania. W wielu urzędach systemy aktualizuje się dopiero wtedy, gdy coś przestaje działać. To błąd. Aktualizacje usuwają luki bezpieczeństwa. Hakerzy często wykorzystują właśnie te znane błędy. Sprawdź więc w swojej jednostce trzy rzeczy. Czy systemy mają włączone automatyczne aktualizacje. Czy aktualizujesz oprogramowanie serwerowe. Czy ktoś odpowiada za kontrolę tych procesów.

Czy pracownicy wiedzą, jak wygląda atak

W większości przypadków atak zaczyna się od wiadomości e-mail. Pracownik dostaje fakturę, wezwanie do zapłaty albo informację o przesyłce. Otwiera załącznik. W tym momencie uruchamia złośliwy program. W wielu urzędach takie sytuacje zdarzają się regularnie. Wystarczy jedno kliknięcie, aby zainfekować sieć urzędu.

Dlatego szkolenia z cyberbezpieczeństwa nie są formalnością. Powinny pokazywać konkretne przykłady, prawdziwe wiadomości phishingowe. Pracownik musi wiedzieć jak rozpoznać podejrzany adres nadawcy albo dziwny link.

Dobrym rozwiązaniem jest prosta zasada. Jeśli wiadomość wzbudza niepokój, nie otwieraj załącznika. Zgłoś ją do administratora systemu.

Czy masz kopię zapasową danych

Ataki ransomware stały się codziennością. Haker blokuje dostęp do systemu i żąda okupu za odblokowanie danych. Ofiarami takich ataków były już urzędy w Europie i w Polsce.

Jedyna realna ochrona to kopia zapasowa danych. Musi być wykonywana regularnie. Musi być przechowywana poza głównym systemem. Jeśli kopia znajduje się na tym samym serwerze co dane, atakujący zablokuje wszystko.

Sprawdź więc jedną rzecz. Czy jesteś w stanie przywrócić system z kopii zapasowej w ciągu jednego dnia. Jeśli odpowiedź brzmi nie, to znak że procedury wymagają poprawy.

Czy urząd monitoruje swoją sieć

Stopień BRAVO CRP oznacza wzmożony monitoring systemów. W wielu JST monitoring ogranicza się do sprawdzania czy serwer działa. To za mało.

Administrator powinien widzieć, kto loguje się do systemów. Powinien wiedzieć czy ktoś próbuje wielokrotnie odgadnąć hasło. Powinien otrzymywać alert, gdy pojawia się nietypowa aktywność w sieci.

Przykład z życia. W jednym z urzędów administrator zauważył w logach kilkaset prób logowania z zagranicznego adresu IP. Szybka blokada adresu zatrzymała próbę włamania. Bez monitoringu nikt nie zauważyłby problemu.

Czy masz plan działania

Największym problemem w czasie incydentu jest chaos. Nikt nie wie, kto podejmuje decyzje. Nikt nie wie, czy trzeba wyłączyć system. Nikt nie wie, kogo powiadomić.

Dlatego każda jednostka powinna mieć prosty plan reagowania na incydent. Dokument nie musi być długi. Wystarczy kilka punktów.

• Kto zgłasza incydent.

• Kto odpowiada za decyzję o odłączeniu systemu od sieci.

• Kto kontaktuje się z zespołem reagowania na incydenty.

• Kto informuje kierownictwo jednostki.

W sytuacji kryzysowej takie informacje oszczędzają cenny czas.

Bezpieczeństwo zaczyna się od codziennych decyzji

Stopień alarmowy BRAVO CRP nie oznacza, że atak jest pewny. Oznacza zwiększone ryzyko. Państwo daje sygnał, aby instytucje publiczne działały ostrożniej. Dla pracownika samorządu to dobra okazja, aby spojrzeć na bezpieczeństwo systemów w swojej jednostce. Czasem wystarczy kilka prostych działań. Aktualizacja systemu. Szkolenie pracowników. Sprawdzenie kopii zapasowych. Każdy z tych kroków zwiększa bezpieczeństwo danych mieszkańców i stabilność pracy urzędu.

Źródła:
Gov.pl; Ministerstwo Spraw Wewnętrznych i Administracji; Stopnie alarmowe BRAVO i BRAVO CRP na terenie całego kraju wciąż obowiązują

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, oraz opracowane przez człowieka.

Twój smartfon jest z Tobą przez cały dzień. Służy do rozmów, pisania wiadomości, przeglądania Internetu i zdjęć rodzinnych. Coraz częściej jednak pojawiają się pytania: czy telefon Cię podsłuchuje? Czy ktoś bez mojej zgody słyszy to, co mówię? Wiele osób zauważa, że po rozmowie o jakimś temacie pojawiają się reklamy związane z tym tematem. To może budzić niepokój o prywatność. W tym artykule wyjaśniam, jak działa mikrofon w telefonie, skąd mogą brać się podejrzenia podsłuchu, jak sprawdzić, które aplikacje mają dostęp do twojego mikrofonu, i jak ograniczyć ich możliwości oraz zadbać o cyfrowe bezpieczeństwo w codziennym użyciu telefonu.

Rys.1 Grafika „szpieg w telefonie” Źródło: Designedby Freepik

Twój telefon rzeczywiście „nasłuchuje”, ale niekoniecznie w sensie podsłuchu. W nowoczesnych telefonach asystent głosowy, taki jak Google Assistant, stale analizuje dźwięki wokół Ciebie, aby wychwycić komendę głosową. Mikrofon pozostaje aktywny w tle po to, żeby wykryć wyznaczone hasło, np. „OK Google”. To nie oznacza, że urządzenie wysyła do firm nagrania wszystkich twoich rozmów. Analiza tej funkcji odbywa się lokalnie na urządzeniu i nie musi trafić do chmury, jeśli nie wyraziłeś dodatkowej zgody na udostępnianie danych.

Dlaczego pojawiają się spersonalizowane reklamy?

Częstym argumentem rzekomo potwierdzającym podsłuch w telefonie są reklamy dopasowane do rozmów. W rzeczywistości większość takich sugestii wynika z danych o Twoich zachowaniach: lokalizacji, historii wyszukiwania, odwiedzanych miejscach czy preferencjach zakupowych. Systemy reklamowe analizują wzorce, a nie treść twoich rozmów. Od 2019 roku eksperymenty wykazały, że reklamy nie są generowane na podstawie wypowiadanych słów, lecz na podstawie trendów i zachowań użytkowników.

Najczęstszym źródłem rzeczywistego ryzyka są aplikacje, którym sam przyznałeś uprawnienia do korzystania z mikrofonu, kamery lub innych danych. Często podczas instalacji aplikacji klikasz „zgadzam się”, bez sprawdzenia, jakie dane udostępniasz. Aplikacje takie jak komunikatory rzeczywiście potrzebują mikrofonu, aby działać, ale gry czy skanery kodów QR nie powinny mieć takiego dostępu bez wyraźnej potrzeby.

Jak sprawdzić, kto słucha?

W systemach Android i iPhone możesz sprawdzić, które aplikacje mają dostęp do mikrofonu. W Android przejdź do Ustawienia > Prywatność > Menedżer uprawnień i zobacz listę aplikacji z dostępem do mikrofonu oraz kamery. W iPhone możesz wejść w Ustawienia > Prywatność > Mikrofon i wyłączyć dostęp aplikacjom, którym nie ufasz. W nowszych wersjach Androida oraz iOS pojawiają się także ikony informujące, gdy mikrofon jest aktywnie używany na ekranie. Zielona lub pomarańczowa kropka oznacza, że mikrofon lub kamera działają właśnie teraz.

Co możesz zrobić, aby zwiększyć prywatność?

Pierwszą praktyczną rzeczą jest regularne przeglądanie uprawnień aplikacji. Jeśli jakaś aplikacja ma dostęp do mikrofonu bez wyraźnej potrzeby, odbierz jej to uprawnienie. Możesz ustawić, aby aplikacja pytała o zgodę za każdym razem, gdy chce skorzystać z mikrofonu. To ogranicza ryzyko działania aplikacji w tle bez Twojej wiedzy.

Czasem możesz zobaczyć ikonę mikrofonu bez aktualnej aktywności aplikacji, którą używasz. W takich sytuacjach sprawdź listę uprawnień. Jeśli nic nie wydaje się podejrzane, możesz zainstalować aplikację bezpieczeństwa lub antywirusową, która przeskanuje urządzenie pod kątem złośliwego oprogramowania. Prawdziwy spyware (np.: Pegasus), nagrywa rozmowy, sms, zdjęcia i przesyła je poza telefon. Takie sytuacje występują rzadko i są bardzo trudne do wykrycia bez specjalistycznych narzędzi.

Pamiętaj, Twoja prywatność zaczyna się od świadomości.

Twoje zdjęcia, sms, historia przeglądarki i rozmowy są wartościowe dla reklamodawców i firm technologicznych, ale znacznie mniej pożądane przez cyberprzestępców. Nie przyznawaj szerokich uprawnień aplikacjom. Regularnie sprawdzaj ustawienia prywatności i nie instaluj nieznanych aplikacji bez uzasadnionego powodu. To zwiększa Twoje bezpieczeństwo cyfrowe.

Źródła:
Business Insider Polska; Czy telefon podsłuchuje rozmowy? Jak to sprawdzić i wyłączyć mikrofon w Androidzie
Asurion; Is my phone listening to me? How to check app microphone and camera access
Benchmark; Jak sprawdzić, czy telefon nie jest na podsłuchu? Kod na telefon

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, oraz opracowane przez człowieka.

Podnieś cyberbezpieczeństwo swojego urzędu już dziś, zgłoś się do darmowego audytu. Nie czekaj, aż wydarzy się incydent, który zmusi Cię do działania. Lepiej działać zapobiegawczo, mając wsparcie doświadczonych specjalistów. Darmowy audyt bezpieczeństwa od CERT Polska to dla Ciebie ogromna szansa. Możesz w prosty sposób zidentyfikować i usunąć zagrożenia zanim hakerzy wyrządzą szkody. Zyskasz cenną wiedzę o własnej infrastrukturze, poprawisz ochronę danych mieszkańców, a także zwiększysz zaufanie do e-usług oferowanych przez Twój urząd. Ten drogowskaz w postaci raportu bezpieczeństwa pokaże Ci, nad czym warto popracować, aby Twoja jednostka samorządowa była cyberodporna.

 

 

Rys.1 Grafika „procedura” Źródło: Designed by Freepik

Jak zgłosić się do darmowego audytu? (Instrukcja krok po kroku)
Prosta ścieżka wdrożenia darmowego audytu bezpieczeństwa w Twoim urzędzie:

1. Wejdź na stronę moje.cert.pl i utwórz konto. Załóż bezpłatne konto używając służbowego adresu e-mail. Rejestracja zajmie Ci tylko chwilę – formularz wymaga podstawowych danych. (Podpowiedź: jeśli to możliwe, użyj adresu w domenie urzędu, co ułatwi weryfikację uprawnień.)

2. Dodaj domeny i usługi do skanowania. Po zalogowaniu zgłoś wszystkie domeny internetowe należące do Twojej jednostki. Zacznij od głównych stron (np. urzadTwojejGminy.pl, bip.urzadTwojejGminy.pl), a następnie dodaj ewentualne inne adresy (portale, systemy publiczne) oraz kluczowe adresy IP. System pokaże instrukcje weryfikacji – trzeba potwierdzić, że reprezentujesz daną instytucję, np. poprzez e-mail od podanego adresu domeny lub dodanie specjalnego wpisu na stronie czy dodanie rekordu TXT w DNS.

3. Zamów bezpłatne skanowanie bezpieczeństwa. Gdy Twoje zasoby są już dodane, uruchom skanowanie. Narzędzie Artemis zacznie analizować Twoje strony pod kątem podatności (znanych błędów i dziur). Nie musisz nadzorować tego procesu – skan odbywa się automatycznie w tle i zazwyczaj trwa od kilku do kilkunastu minut (w zależności od wielkości i liczby serwisów).

4. Odbierz raport i zapoznaj się z wynikami. Po zakończeniu testu zaloguj się na platformę i sprawdź wyniki audytu. Znajdziesz tam listę wykrytych podatności posegregowanych według poziomu istotności (np. wysoki, średni, niski). Przy każdej pozycji otrzymasz opis problemu oraz wskazówki, jak go usunąć. Przeczytaj uważnie rekomendacje CERT Polska – to praktyczne porady, co zmienić lub zaktualizować, żeby załatać dziurę.

5. Usuń podatności jak najszybciej. Nie odkładaj poprawek na później. Wiele zagrożeń (jak np. przestarzałe oprogramowanie, otwarty port czy brak szyfrowania połączenia) można wyeliminować w krótkim czasie we własnym zakresie. Czasem wystarczy zmiana ustawień serwera, aktualizacja systemu lub wyłączenie nieużywanej usługi. Bywa i tak, że potrzebna będzie pomoc firmy zewnętrznej (np. dostawcy oprogramowania) – jednak świadomość problemu to pierwszy krok do jego rozwiązania.

6. Zaplanuj regularne skanowania. Po naprawieniu błędów pozwól platformie ponownie przeskanować systemy. Moje.cert.pl cyklicznie powtórzy testy i sprawdzi, czy wprowadzone poprawki działają, a także czy nie pojawiły się nowe podatności. W praktyce wystarczy, że będziesz monitorować powiadomienia od CERT Polska – jeśli coś nowego zagraża Twojej infrastrukturze lub jeśli Twoi pracownicy są ofiarami wycieku haseł, od razu dostaniesz alert na e-mail. Dzięki temu bezpieczeństwo stanie się procesem ciągłym, a nie jednorazowym zdarzeniem.

Świat cyfrowy stawia przed administracją nowe wyzwania, ale też daje nowe narzędzia do ich wdrażania. Skoro istnieje rozwiązania bezpłatne i rekomendowane przez krajowy zespół ds. cyberbezpieczeństwa, warto z niego skorzystać. Sprawdź, jak Twoja JST wypada pod lupą audytu. Takie działanie może uchronić Cię przed poważnymi konsekwencjami ataku. Pamiętaj, w cyberbezpieczeństwie lepiej zapobiegać niż leczyć. Teraz masz ku temu idealną okazję.

Źródła:
CERT Polska; Rok moje.cert.pl i nowe narzędzie – infrastruktura organizacji (12.02.2026) – cert.pl (analiza wyników darmowych audytów i nowej funkcji moje.cert.pl)
Serwis Samorządowy PAP; Nowa bezpłatna usługa CERT pomoże zwiększyć cyberbezpieczeństwo urzędu lub jednostki podległej (12.02.2025) – pap.pl

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, oraz opracowane przez człowieka.

– CZY TWOJA JST DOKONAŁA SPRAWDZENIA?

Wyobraź sobie, że ktoś właśnie przetestował zabezpieczenia stron internetowych Twojego urzędu. Czy znalazłby luki, o których nie masz pojęcia? W ciągu zaledwie roku działania bezpłatnego serwisu moje.cert.pl eksperci z CERT Polska wykryli ponad 573 tysięcy podatności oraz błędnych konfiguracji na polskich witrynach – wielu administratorów nawet nie zdawało sobie z nich sprawy. Dodatkowo ujawniono prawie 4 miliony haseł pochodzących z wycieków związanych z tymi stronami. Te liczby to nie tylko statystyka, ale realne zagrożenia. Każda usunięta luka to minimalizacja ryzyka wystąpienia incydentu. Z bezpłatnych skanów korzysta już niemal 16 tysięcy użytkowników w tym około 19 tysięcy stron należących do firm, instytucji publicznych i osób prywatnych. Czy wśród nich jest Twoja jednostka samorządowa? Jeśli nie masz pewności, że cyfrowe systemy Twojego urzędu są w pełni bezpieczne, czas to sprawdzić, tym bardziej że audyt bezpieczeństwa możesz przeprowadzić szybko i za darmo.

Rys.1 Grafika – opracowanie własne.

Cyberzagrożenia nie omijają samorządów. Lokalne urzędy coraz częściej stają się celem ataków. Przykłady z ostatnich lat pokazują, że nawet w mniejszych gminach ryzyko jest poważne. Na początku 2025 roku Urząd Miasta i Gminy w Nowej Sarzynie padł ofiarą poważnego cyberataku. Doszło do zaszyfrowania baz danych mieszkańców przy użyciu ransomware. Podobnie jesienią 2025 Urząd Miejski w Wadowicach poinformował o włamaniu do swojej infrastruktury IT i możliwości wycieku danych osobowych mieszkańców. Władze tych gmin podkreślały, że dysponowały nowoczesnymi zabezpieczeniami oraz procedurami ochrony, a mimo to atakującym udało się złamać zabezpieczenia. Te incydenty to sygnał ostrzegawczy: żaden urząd nie powinien zakładać, że “u nas na pewno nic się nie stanie”. Każda luka czy zaniedbanie może zostać prędzej czy później wykorzystane przez cyberprzestępców. Dlatego tak ważne jest aktywne sprawdzanie odporności systemów – zanim zrobi to ktoś niepożądany.

Ustawa o krajowym systemie cyberbezpieczeństwa (KSC) zobowiązuje operatorów usług kluczowych i inne instytucje publiczne do stosowania środków zabezpieczających i monitorowania ryzyka. Regularne audyty bezpieczeństwa IT stają się standardem, nie tylko dla spełnienia wymogów przepisów, ale przede wszystkim dla ochrony danych mieszkańców i ciągłości działania urzędu. Darmowy audyt od CERT Polska może pomóc Twojej jednostce samorządowej wypełnić te obowiązki bez ponoszenia dodatkowych kosztów.

CERT Polska (Computer Emergency Response Team, działający w instytucie badawczym NASK) uruchomił platformę moje.cert.pl, aby wspierać wszystkich posiadaczy stron internetowych w walce z cyberzagrożeniami. To pierwsze w Polsce tak kompleksowe narzędzie dostępne za darmo dla każdego. Od małej gminy czy szkoły, przez firmy, aż po duże urzędy centralne. Za pomocą tej platformy Ty również możesz aktywnie przeskanować bezpieczeństwo wszystkich domen swojego urzędu. Wynik dostaniesz tylko do rąk własnych, nie jest on upubliczniany, więc nie musisz się obawiać ujawnienia słabych punktów. Co ważne, system będzie automatycznie powtarzał skanowanie cyklicznie, aby sprawdzić, czy wprowadziłeś już poprawki i czy nie pojawiły się nowe zagrożenia. W praktyce oznacza to ciągły monitoring bezpieczeństwa Twojej infrastruktury bez dodatkowej pracy i kosztów.

Na czym polega takie skanowanie? Po dodaniu swojej domeny (np. strony urzędu, Biuletynu Informacji Publicznej itp.) serwis wykorzystuje zaawansowane skanery stworzone przez ekspertów CERT (m.in. narzędzie o nazwie Artemis). Artemis automatycznie „obchodzi” Twoją witrynę i usługi internetowe, szukając znanych luk i podatności, robi to jednak w sposób bezpieczny i nieinwazyjny. Możesz być spokojny, skanowanie nie przeciąży serwera ani nie zakłóci działania strony, nie wykonuje też żadnych destrukcyjnych testów (nie atakuje Twoich systemów, nie omija firewalli itp.). Najlepiej obrazuje to prosta metafora, Artemis puka do Twoich drzwi, sprawdza czy są zamknięte – ale nie próbuje wyważać zamka na siłę. Jeśli drzwi (czyli zabezpieczenia) są uchylone, system to zauważy i da Ci znać.

Wyniki audytu otrzymasz w formie przejrzystego raportu na platformie moje.cert.pl. Znajdziesz tam listę wykrytych podatności i słabych konfiguracji w Twoich serwisach i sieci. System wykrywa zarówno częste błędy, jak i te najgroźniejsze. Przykładowo może wskazać krytyczną lukę pozwalającą włamywaczowi skopiować całą bazę danych Twojej strony. Tak poważne problemy zdarzają się częściej niż myślisz – dlatego lepiej dowiedzieć się o nich od skanera, niż od przestępcy. Oprócz luk w zabezpieczeniach, platforma alarmuje też o wyciekach haseł. Jeśli w Internecie pojawi się baza skradzionych loginów i haseł, a wśród nich znajdą się adresy e-mail z domeny Twojego urzędu, CERT Polska natychmiast wyśle ostrzeżenie. Dzięki temu możesz szybko zmusić użytkowników do zmiany haseł, zanim ktoś niepowołany wykorzysta te dane.

Co ważne, najnowsza funkcjonalność “Infrastruktura organizacji” pozwala spojrzeć na Twój urząd oczami atakującego. Po dodaniu domeny, system automatycznie wyszukuje i pokazuje pełną mapę usług Twojej instytucji widocznych od strony Internetu. Innymi słowy, zobaczysz nie tylko oficjalne strony, ale też np. zapomniane subdomeny testowe, stare serwery, otwarte porty czy publicznie dostępne panele administracyjne. To właśnie ten “technologiczny cień” często bywa pomijany – a stanowi wymarzony cel dla włamywaczy. Im mniej takich niezabezpieczonych elementów w sieci, tym mniejsze ryzyko ataku. Moje.cert.pl wskaże Ci, które „otwarte drzwi” warto jak najszybciej zatrzasnąć. Na platformie dostępne jest interaktywne demo, które pozwala przećwiczyć korzystanie z funkcji i zobaczyć na przykładzie, jakie dane o infrastrukturze potrafi znaleźć system.

Praktyczne korzyści dla Twojego urzędu
Dzięki regularnym audytom w moje.cert.pl Twój urząd może podnosić poziom bezpieczeństwa w sposób ciągły. Nawet drobne błędy konfiguracji, które kiedyś mogłyby pozostać niewykryte przez wiele miesięcy, teraz od razu pojawią się w raporcie. Wyeliminowanie prostego uchybienia często zajmuje tylko kilka minut. Dla porównania odnalezienie go samodzielnie mogłoby zająć tygodnie albo nastąpić dopiero wtedy, gdy ktoś włamie się do systemu. Platforma CERT Polska daje więc cenny czas i wiedzę, abyś mógł zawczasu reagować na zagrożenia. W efekcie zyskujesz nie tylko większe bezpieczeństwo danych mieszkańców i urzędu, ale też spokój – świadomość, że kontrolujesz sytuację i zmniejszasz ryzyko kosztownych incydentów (jak np. paraliżu systemów czy wycieku wrażliwych informacji). Co więcej, korzystanie z takiego narzędzia może poprawić zgodność Twojej jednostki z wymaganiami prawnymi i standardami. Audyt zewnętrzny to mocny punkt w dokumentacji bezpieczeństwa. Krótko mówiąc, darmowy audyt to same korzyści: finansowe (oszczędność na komercyjnych usługach tego typu), organizacyjne (wsparcie małego zespołu IT przez zewnętrznych specjalistów) i wizerunkowe (pokazujesz mieszkańcom dbałość o ich dane).

Warto dodać, że moje.cert.pl zostało zaprojektowane jako usługa dla każdego, nie tylko dla ekspertów. Interfejs jest prosty i dostępny przez przeglądarkę. Wiele samorządów oraz innych instytucji publicznych już przekonało się do tego rozwiązania i włączyło je do swojej strategii bezpieczeństwa. Ty również możesz to zrobić od zaraz bez zbędnej biurokracji czy wydatków.

Źródła:
CERT Polska; Rok moje.cert.pl i nowe narzędzie – infrastruktura organizacji
Serwis Samorządowy PAP; Nowa bezpłatna usługa CERT pomoże zwiększyć cyberbezpieczeństwo urzędu lub jednostki podległej
Ministerstwo Cyfryzacji; Bezpieczne domeny dzięki narzędziu moje.cert.pl
TVN24; Wadowice: cyberatak na urząd miasta, “ryzyko kradzieży tożsamości”. Jest apel

Rzeszów News; Cyberatak na Urząd Miasta i Gminy w Nowej Sarzynie – co wiemy o incydencie

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, oraz opracowane przez człowieka.

 

Masz w domu kamerę, która daje ci spokój i poczucie bezpieczeństwa? Być może używasz jej jako elektronicznej niani do podglądu śpiącego dziecka lub obserwujesz mieszkanie podczas urlopu. Czujesz się bezpieczniej, wiedząc, że w każdej chwili możesz sprawdzić, co się dzieje w domu. Zastanawiałeś się jednak, czy tylko ty patrzysz na obraz ze swojej kamery IP? Okazuje się, że jeśli kamera jest źle zabezpieczona, dostęp do niej mogą uzyskać również obcy. W ostatnich tygodniach w internecie pojawiły się nawet oferty sprzedaży dostępu do przejętych kamer domowych. Na zamkniętych forach i serwerach w popularnym wśród młodzieży serwisie, hakerzy handlują obrazem z prywatnych mieszkań z całego świata, także z Polski.

 

Rys.1 Grafika „kamera IP haker” Źródło: Designed by Freepik

Urządzenie, które miało strzec twojego domu, może łatwo stać się narzędziem ataku. Jedna z głośnych spraw dotyczyła kamer znanej firmy Dahua. Przestępcy znaleźli w nich lukę i przejęli setki takich kamer, a następnie sprzedawali dostęp do nich jak towar na czarnym rynku. Efekty takich włamań są bardzo poważne dla zwykłych ludzi. Obcy mogą patrzeć na twoje życie prywatne. Mogą widzieć, czy twoje dziecko śpi w łóżeczku, jak zachowują się twoi dziadkowie lub rodzice w domu, a nawet podejrzeć pacjentów w szpitalach i domach opieki. Potrafią też użyć głośnika w kamerze, by spróbować cię przestraszyć – zdarzały się przypadki, gdy intruzi krzyczeli do domowników lub odtwarzali przez kamerę niepokojące dźwięki. Takie zachowania to poważne naruszenie prywatności i mogą być szokujące dla ciebie i twojej rodziny.

Czy włamanie do kamery internetowej wymaga specjalistycznej wiedzy? Niestety, często nie. Cyberprzestępcy zwykle nie muszą łamać skomplikowanych zabezpieczeń. W wielu przypadkach po prostu próbują zalogować się do urządzenia fabrycznym hasłem i loginem dostarczonym przez producenta. Właściciele kamer często zapominają je zmienić przy instalacji. Standardowe hasła, takie jak „admin” czy „1234”, są powszechnie znane – wystarczy więc je wpisać, by dostać się do wnętrza niestrzeżonej kamery. Dodatkowo włamywacze wykorzystują algorytmy losowo zgadujące numery identyfikacyjne kamer w sieci. Dzięki temu potrafią hurtowo przejmować setki urządzeń przy minimalnym wysiłku. Później chwalą się w internecie swoimi „sukcesami” – na tajnych grupach pokazują zrzuty ekranu z prywatnych mieszkań, a nawet wspólnie organizują transmisje na żywo. W trakcie takich transmisji grupa osób jednocześnie obserwuje cudze domy i nęka właścicieli kamer, wymyślając coraz bardziej niepokojące sposoby na ich straszenie.

Możesz pomyśleć, że to problem odległy i dotyczący tylko egzotycznych krajów. Niestety, nasz kraj również znalazł się na celowniku. Specjaliści z zespołu Dyżurnet.pl (polski punkt kontaktowy do zgłaszania zagrożeń w sieci) ostrzegają, że także polskie kamery są przejmowane przez hakerów. Co gorsza, na niektórych zamkniętych polskich forach internetowych większość członków stanowią młode osoby, które dla rozrywki udostępniają sobie przejęte transmisje. Materiały z tych grup potwierdzają, że ofiarami padają również dzieci i młodzież. Hakerzy zaglądają do ich pokojów, odbierając im poczucie prywatności i bezpieczeństwa. Widać tam także osoby starsze, a nawet pacjentów leżących w szpitalach. Większość zhakowanych kamer pochodzi z krajów azjatyckich, ale pojawiły się również nagrania z Polski. Takie praktyki zaczynają przenikać na kolejne strony internetowe i platformy społecznościowe, gdzie publikowane są fragmenty nagrań. To nakręca spiralę nękania, kolejne osoby skuszone „zabawą” chcą płacić, by przez internet podglądać i straszyć niewinne ofiary.

Jak się ochronić?
Czy możesz w ogóle obronić się przed takim włamaniem? Na szczęście tak. Właściciele kamer nie są bezbronni, bo większości włamań można zapobiec. Okazuje się, że wielu ataków by nie było, gdyby nie proste błędy samych użytkowników. Trzeba tylko pamiętać o kilku podstawowych zasadach cyberbezpieczeństwa, aby twoja kamera służyła ochronie, a nie stała się źródłem zagrożenia.

Przede wszystkim upewnij się, że obraz z kamery nie jest publicznie dostępny w internecie. Kamery IP często oferują możliwość podglądu obrazu przez internet, ale jeśli skonfigurujesz to niewłaściwie, każdy może trafić na taką transmisję. Nie udostępniaj swojego wideo z kamer w sieci bez solidnego zabezpieczenia. Jeżeli chcesz mieć zdalny dostęp do domowej kamery (np. będąc w pracy lub na wakacjach), skorzystaj z bezpiecznego sposobu połączenia, którym tylko ty możesz zarządzać. Jednym z rozwiązań jest VPN (wirtualna sieć prywatna) – to jak prywatny, szyfrowany tunel do twojej domowej sieci. Dzięki niemu tylko ty zalogujesz się do kamery i nikt niepowołany nie podejrzy obrazu.

Nigdy nie zostawiaj w kamerze ustawień fabrycznych dotyczących hasła lub nazwy użytkownika. Zmień hasło od razu przy instalacji urządzenia. Standardowe loginy i kody dostępu (np. „admin”/„admin” lub „1234”) są powszechnie znane i ich niezmienienie to jak zostawienie klucza w drzwiach. Ustaw własny silny, unikalny kod dostępu, którego nie używasz nigdzie indziej. Jeśli kamera pozwala na zmianę nazwy użytkownika, też to zrób – tak, żeby włamywacz nie znał nawet loginu. Mocne hasło to podstawa twojego bezpieczeństwa.

Regularnie instaluj aktualizacje oprogramowania (tzw. firmware) swojej kamery. Każdy nowoczesny sprzęt ma system operacyjny, który czasem wymaga poprawek. Producent udostępnia aktualizacje właśnie po to, żeby załatać wykryte luki i błędy w zabezpieczeniach. Jeśli nie zadbasz o uaktualnienia swojego urządzenia, narażasz się na znane sposoby ataku, które producent już naprawił w nowszej wersji systemu. Aktualizacja to często jeden przycisk w aplikacji lub na stronie konfiguracyjnej kamery – nie zajmuje wiele czasu, a może uchronić cię przed włamaniem.

Zwracaj uwagę, od kogo kupujesz kamerę. Niestety na rynku jest mnóstwo tanich, nieznanych marek urządzeń monitorujących. Kuszą ceną, ale często nie oferują aktualizacji ani wsparcia technicznego. Taki sprzęt może mieć niezałatane dziury w zabezpieczeniach, o których nawet nie wiesz, a producent ich nie poprawia. Dla własnego bezpieczeństwa wybieraj kamery renomowanych firm. Znani producenci szybciej reagują, gdy znajdzie się zagrożenie, i dostarczają poprawki. Być może zapłacisz trochę więcej za markowy sprzęt, ale kupujesz spokój i solidne zabezpieczenie.

Nowoczesne technologie mają służyć ludziom, a kamera IP może naprawdę zwiększyć twoje bezpieczeństwo – pomoże ci doglądać domu, dzieci albo zwierząt, gdy nie możesz być na miejscu. Ale pamiętaj, że każde urządzenie podłączone do sieci może stać się furtką dla złodzieja. To od Ciebie zależy, czy twoja kamera będzie sprzymierzeńcem, czy słabym punktem domowej ochrony. Przestrzegając kilku prostych zasad – ustawiając hasło, dbając o aktualizacje i zachowując ostrożność – sprawisz, że niepożądane osoby nie będą mogły zajrzeć do twojego domu przez kamerę. Cyfrowe bezpieczeństwo zaczyna się od twoich decyzji. Technologia daje nam wygodę i ochronę, ale tylko wtedy, gdy sami odpowiedzialnie o nią zadbamy.

Źródła:

NASK.PL; Podglądani we własnych domach – czy twoja kamera jest bezpieczna?