Tag: poufność

Opublikowane w

PODSUMOWANIE ROKU W SFERZE CYBERBEZPIECZEŃSTWA

Rok dobiega końca. W urzędach panował wzmożony ruch, inwestycje, nowe projekty IT, audyty, aktualizacja SZBI. W tle rosło ryzyko włamań i szantażu. Wiele jednostek zbyt późno zauważyło, że utrata danych to nie awaria komputera, tylko brak ciągłości działania instytucji. Atak na urząd nie kończy się na nerwach pracowników. Płacą za to mieszkańcy, bo nie złożą wniosku o dowód, nie uregulują opłat, nie odbiorą świadczeń. Ten rok pokazał, że samorząd stał się realnym celem hakerów.

 

cyfrowa choinka

Rys.1 Grafika „cyfrowa choinka” Źródło: Designed by Freepik

Najczęściej włamania polegały na szyfrowaniu danych i żądaniu okupu oraz atakach na skrzynki e-mail. W kilku gminach systemy teleinformatyczne przestały działać a odtworzenie infrastruktury trwało kilka dni. Do wielu pracowników wpływały pisma w formie e-mail z domen przypominających GOV.PL. Cyberprzestępcy nie zawsze atakują fizyczne zabezpieczenia. Często obserwują profile pracowników, dzięki temu wiedzą kto choruje, kiedy kadrowa bierze urlop, kto odbiera wnioski o wypłatę świadczeń. To wystarczy, żeby podszyć się pod dyrektora i wysłać polecenie przelewu.

Bądź czujny każdego dnia. Sprawdź czy twoje hasła są wystarczająco silne i długie. Nie korzystaj z jednego hasła dla wszystkich systemów. Włącz podwójną autoryzację w usługach pocztowych. Aktywnie bierz udział w szkoleniach. W każdym systemie bezpieczeństwa najważniejszy jest człowiek i jego kompetencje.

Życzę wszystkim świąt pełnych spokoju i ciepła, bez telefonów o awariach, pożarach czy wyciekach danych. Niech nowy rok przyniesie mniej stresu, a więcej sukcesów, satysfakcji z pracy i poczucia sensu. Życzę wam więcej czasu dla bliskich, oddechu od codziennego pośpiechu i wiary, że to co robisz buduje lepszą przyszłość dla twojej społeczności.

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

FAŁSZYWE KONTROLE URE

W ostatnich tygodniach w całej Polsce pojawiają się sygnały, że nieznane osoby pukają do drzwi właścicieli instalacji fotowoltaicznych i przedstawiają się jako pracownicy Urzędu Regulacji Energetyki (URE), rzekomo w celu kontroli paneli słonecznych. Ten przekaz brzmi oficjalnie i może Cię zmylić. Urząd wydał jednak jasny komunikat, że nie prowadzi takich wizyt u prosumentów w domach prywatnych. To oznacza, że te kontrole są fałszywe i mogą być próbą oszustwa lub wyłudzenia.

serwisant

Rys.1 Grafika „fałszywe kontrole fotowoltaiki” Źródło: Designed by Freepik

Urząd jako regulator rynku energii nadzoruje przedsiębiorstwa energetyczne, ustala taryfy, wydaje koncesje i monitoruje rynek. Osoby twierdzące, że pracują na zlecenie URE i chcą wejść na posesję w celu kontroli, robią to bez uprawnień i wprowadzają Cię w błąd.

Operator systemu dystrybucyjnego (OSD), czyli firmy takie jak PGE, Tauron, Enea czy Energa, mogą przeprowadzać kontrole sieci i instalacji podłączonych do sieci. Takie kontrole mają zasady:

  • są wcześniej zapowiedziane,

  • kontrolerzy mają imienne upoważnienia i legitymacje,

  • nie proszą o podpisywanie dokumentów poza tym, co wynika z procedur operatora,

  • nie żądają pieniędzy od właściciela.

Jeżeli ktoś pojawia się bez wcześniejszego kontaktu, nie przedstawia prawdziwego dokumentu i mówi, że robi kontrolę „z URE”, najpewniej nie mówi prawdy.

Fałszywi „kontrolerzy” starają się być wiarygodni. Mogą mieć identyfikatory z logo, nosić profesjonalne ubrania albo znać podstawowe informacje o fotowoltaice. Jeśli coś Cię zaciekawi lub zaniepokoi w zachowaniu takiej osoby, nie wpuszczaj jej na posesję do czasu wyjaśnienia sytuacji.

Zawsze możesz poprosić o dokumenty i spisać dane osoby rzekomego kontrolera. Zadzwoń wtedy do Twojego operatora sieci, on potwierdzi, czy taka kontrola miała być wykonana. Jeżeli osoba zachowuje się natarczywie, żąda pieniędzy albo wymusza podpisy pod dokumentami, zakończ spotkanie i zadzwoń na policję (112). Ostrzeż sąsiadów, bo oszuści często działają w okolicy i odwiedzają od kilku do kilkunastu domów pod podobnym pretekstem.

W administracji często spotykasz się z sygnałami od mieszkańców o dziwnych kontrolach. W tej sytuacji możesz podjąć proste działania na rzecz społeczności:

  • Wyjaśnij obywatelom, że URE nie robi kontroli instalacji w domach.

  • Naucz ich weryfikować upoważnienia operatora i kontaktować się z firmą, zanim udostępnią komuś posesję.

  • Zachęcaj do rejestrowania wizyt, robienia zdjęć dokumentów i konsultowania się z lokalnym urzędem gminy, policją albo z prawnikiem.

  • Udostępnij listę operatorów sieci lokalnych, żeby mieszkańcy mogli zadzwonić bezpośrednio w razie wątpliwości.

Statystyki pokazują, że w Polsce działa już ponad 1,5 mln mikroinstalacji OZE, z czego zdecydowana większość to fotowoltaika prosumentów. To duża liczba potencjalnych celów dla oszustów. Jeżeli potrafisz ostrzec mieszkańców, że mogą paść ofiarą fałszywych kontroli URE, i nauczysz jak je rozpoznać, minimalizujesz ryzyko oszustw w społeczności. Twoja wiedza pomaga ludziom zachować ostrożność i unikać zagrożeń związanych z nieuprawnionymi wizytami.





Źródła:



AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

 

Opublikowane w

CZY WOLNO MONITOROWAĆ SĄSIADÓW I PRZESTRZEŃ PUBLICZNĄ?

Coraz więcej osób montuje kamery wokół domu dla własnego bezpieczeństwa. To naturalne. Każdy chce chronić swój dom i majątek. Nie każdy jednak wie, że kamera nie zawsze może rejestrować wszystko dookoła. Gdy jej zasięg obejmuje teren należący do sąsiada albo publiczną drogę, wchodzi w grę prawo o ochronie danych osobowych. Prezes Urzędu Ochrony Danych Osobowych (UODO) właśnie wydał decyzję, która to potwierdza. Ta informacja ma pomóc zrozumieć granice monitoringu prywatnego i uniknąć konfliktów z prawem.

monitorowanie kamer

 

Rys.1 Grafika „monitoring publiczny” Źródło: Designed by Freepik

Prawo nie zabrania instalacji systemów monitoringu na własnej posesji. Możesz je montować po to, by chronić dom przed włamaniem albo wandalizmem. Takich kamer nie musisz zgłaszać do urzędu, jeżeli filmują tylko Twój teren. Problem pojawia się wtedy, gdy kamera nagrywa więcej niż Twój dom. Jeżeli w polu widzenia znajduje się podwórko sąsiada, wejście do domu, okna, albo nawet fragment drogi publicznej, sytuacja się zmienia. Wtedy te dane to już informacje o osobach trzecich i podlegają przepisom RODO.

Zgodnie z wyrokiem Trybunału Sprawiedliwości Unii Europejskiej z 11 grudnia 2014 r. w sprawie C-212/13 (František Ryneš), przetwarzanie danych nie ma charakteru wyłącznie osobistego lub domowego, jeśli monitoring obejmuje choćby częściowo przestrzeń publiczną lub teren należący do osób trzecich.

Na podstawie art. 58 ust. 2 lit. c RODO Prezes UODO nakazał zaprzestania przetwarzania danych osobowych skarżących za pomocą monitoringu wizyjnego w zakresie wizerunku oraz głosu, obejmującego swym zasięgiem drogę publiczną oraz nieruchomości skarżących, wobec braku podstawy prawnej dla tego przetwarzania. DECYZJA

Sąsiedzi w skardze do Prezesa UODO podnieśli, że zebrane dane są przetwarzane bez ich zgody. Mieszkańcy czują się nękani i mają poczucie naruszania ich prywatności, co negatywnie wpływa na ich codzienne życie. Kamery obejmowały kilkanaście obszarów, w tym drogę publiczną i sąsiednie budynki. Nagrywały obraz i dźwięk przez całą dobę. Jedna z kamer miała być skierowana bezpośrednio na okno toalety w sąsiednim budynku.

Jeśli kamera rejestruje przestrzeń publiczną albo cudzą posesję, jesteś traktowany jak administrator danych. W takiej sytuacji musisz stosować przepisy o ochronie danych. Nie wolno traktować kamery jak narzędzia do „utrzymania porządku” na drodze albo w sąsiedztwie. Takie zadania należą do organów państwowych i profesjonalnych służb, nie do osób prywatnych. UODO jasno wskazał, że prywatny monitoring nie może zastępować policji czy straży miejskiej.

Sprawdź zasięg kamery. Jeżeli filmujesz drogi, chodniki albo cudze posesje, zmień kąt widzenia. Skieruj kamerę tak, aby rejestrowała tylko własną działkę. Jeżeli to możliwe, wyeliminuj fragmenty z sąsiedztwa i publiczne miejsca. Nie nagrywaj dźwięku, jeśli obejmujesz cudze tereny. Zbieranie dźwięku to również dane osobowe i zwiększa ryzyko naruszenia prywatności. Umieść tabliczkę informującą o monitoringu tylko tam, gdzie to Twoje tereny.

Źródła:

 

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

GDZIE JEST GRANICA BEZPIECZEŃSTWA GIER DLA DZIECI?

Gry komputerowe są dziś ogromnym rynkiem – NASK podaje, że ich wartość przewyższa przemysł filmowy i muzyczny. To nie tylko zabawa – to także ogromne zasoby: konta graczy, wirtualne przedmioty, portfele cyfrowe. Dla cyberprzestępców to atrakcyjny cel. Ryzyko pojawia się w momentach, które na pierwszy rzut oka wydają się normalne: instalowanie aktualizacji, korzystanie z testowych wersji gier („early access”), pobieranie modów, logowanie do platform. To, co wygląda jak codzienna rutyna gracza, może być pułapką.

 

dziecko przy telewizorze

 

Rys.1 Grafika „gry komputerowe” Źródło: Designed by Freepik

Fałszywe aktualizacje i zainfekowane gry

NASK opisuje przypadki, gdy aktualizacja gry zawiera złośliwy kod. Gracz myśli, że instaluje poprawkę lub nową wersję. Jednak w tle, uruchamiają się programy, które zbierają dane logowania, hasła lub nawet przejmują kontrolę nad kontem.

Przykładem jest gra „BlockBlasters”: po jej aktualizacji okazało się, że zainfekowano komputery graczy. Dane z kont Steam zostały przejęte, a 150 000 USD skradziono z portfeli kryptowalutowych użytkowników.

Fakeowe wersje testowe („early access”)

Oszuści oferują rzekome testowe wersje gier, kusząc darmowym dostępem lub kluczem. Tworzą nawet imitacje stron producentów. Gracz pobiera plik, loguje się – i przekazuje swoje dane oszustom. W niektórych przypadkach aplikacja wygląda jak prawdziwa gra, ale zawiera malware.

NASK przywołuje przykład gry „Chemia” („survival-crafting”) – użytkownicy myśleli, że testują normalny projekt, tymczasem wersja wczesnego dostępu była zainfekowana narzędziami do kradzieży danych i backdoorami. Ciekawość graczy („będę pierwszy”, „pobiorę test”) staje się narzędziem ataku.

Phishing w świecie graczy

Phishing to nie tylko e-mail – w kontekście gier może przybrać formę fałszywych stron logowania, zaproszeń na turnieje albo ofert darmowych kluczy. NASK opisuje mechanizm „browser-in-the-browser”: oszuści imitują okno prawdziwej przeglądarki lub aplikacji (np. Steam), podszywając się pod nią.

Takie strony mogą wyglądać identycznie jak oryginał. Różnica bywa w detalu – np. adres URL. Wprowadzając swoje dane, gracz przekazuje je bezpośrednio przestępcy.

Eksperci z CERT Polska zalecają: nie loguj się przez linki z wiadomości, nawet jeśli wyglądają dobrze. Lepiej wejść na stronę samodzielnie lub przez oficjalną aplikację. Warto też włączyć uwierzytelnianie dwuskładnikowe (2FA) dla konta – to prosty, ale skuteczny środek ochrony.

Ryzyko związane z modami

Modyfikacje (mody) są niesamowicie popularne. Pozwalają graczom dodawać nowe treści, postacie, mapy. Ale nie wszystkie są bezpieczne. Ponieważ mody tworzy społeczność, czasem anonimowo, nie zawsze wiesz, skąd naprawdę pochodzą.

Dobre źródło modów to podstawa bezpieczeństwa – korzystaj z zaufanych stron, sprawdzaj opinie, unikaj nieoficjalnych linków.

Psychologiczne i społecznościowe pułapki

Gry online to nie tylko kod – to społeczność. Ludzie grają razem, rozmawiają, wymieniają się treściami. To idealne środowisko dla oszustów. Fałszywe oferty turniejów, pracy jako gracz czy twórca – to wszystko może być maską do przekazywania złośliwych linków.

Przestępcy potrafią też wykorzystać komunikatory i media społecznościowe powiązane z grami, by zmanipulować graczy. Tworzą kampanie, które łączą technikę (złośliwe pliki) z socjotechniką (zaufanie społeczności).

Jak rozpoznać bezpieczne gry?

Granica między rozrywką a zagrożeniem zależy w dużej mierze od tego, jak ostrożne są nasze dzieci. Przekaż im kilka dobrych wskazówek:

  1. Pobieraj gry tylko z oficjalnych platform – Steam, Epic Games, inne zaufane sklepy.

  2. Przed aktualizacją upewnij się, że pochodzi od prawdziwego wydawcy – sprawdź komunikat, adres strony.

  3. Unikaj podejrzanych wersji testowych – jeśli ktoś oferuje „ekskluzywny klucz”, sprawdź, czy to oficjalna propozycja.

  4. Używaj uwierzytelniania dwuskładnikowego (2FA) na kontach – to znacznie zwiększa bezpieczeństwo.

  5. Przy modach – sięgaj po modyfikacje z oficjalnych stron lub renomowanych społeczności, unikaj nieznanych źródeł.

  6. Ucz dzieci krytycznego myślenia – tłumacz, że nie każdy link w grze lub na czacie jest bezpieczny.

  7. Rozmawiaj z dzieckiem o cyberzagrożeniach i monitoruj, w jakie gry gra – zwłaszcza te nowe lub tanie wersje testowe.

W Polsce coraz więcej dzieci korzysta z internetu samodzielnie. Z badań podawanych przez PAP wynika, że 77 proc. dzieci w wieku 13–17 lat korzysta z sieci bez nadzoru rodziców. To oznacza, że ryzyko, które opisuje NASK, dotyczy wielu młodych użytkowników.

Instytut Cyfrowego Obywatelstwa podaje, że 58 proc. dzieci w wieku 7–12 lat aktywnie korzysta z serwisów społecznościowych i komunikatorów, mimo że oficjalnie są one przeznaczone dla osób od 13. roku życia.

Te liczby pokazują, że granica między bezpieczną zabawą a cyberzagrożeniem może być cienka a problem może dotykać wielu rodzin.

Twoja rola jako rodzica lub opiekuna

Jeśli jesteś rodzicem, opiekunem lub pracujesz w administracji (np. w szkole, bibliotece), masz wpływ. Możesz edukować dzieci i ich rodziny:

  • Organizuj warsztaty lub spotkania o cyberbezpieczeństwie – wyjaśnij, dlaczego nie każdy link w grze jest bezpieczny.

  • Wprowadź w szkole zasady dobrej higieny cyfrowej – zachęcaj do stosowania mocnych haseł, 2FA, świadomego pobierania gier.

  • Rozważ wspólne granie z dzieckiem – to okazja, żeby sprawdzić, skąd pobiera gry i jakie mody instaluje.

  • Udostępnij materiały edukacyjne – broszury, poradniki NASK, strony zaufanych instytucji.



Źródła:

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

CZY UMIESZ ROZPOZNAĆ OSZUSTWA INWESTYCYJNE?

Wszyscy na korytarzach rozmawiają o pasywnym dochodzie i inwestycjach w złoto, o zyskach i wizji emerytury na włoskim wybrzeżu morza śródziemnego. Może i ja zainwestuje oszczędności. Dzięki Internetowi inwestowanie jest dziś bardzo proste. Możesz kupować akcje, kryptowaluty czy metale szlachetne bez wychodzenia z domu. Tak duża dostępność oznacza ogromną przestrzeń dla oszustów. Przestępcy tworzą fałszywe platformy, udając znane firmy lub doradców finansowych. W swoich reklamach używają haseł typu „gwarantowany zysk”, „bonus tylko dziś” czy „zero ryzyka”, aby sprowokować natychmiastową reakcję. Wystarczy chwilowa presja emocji – jedno kliknięcie, żebyś mógł stracić oszczędności. Dlaczego oszuści celują w inwestorów takich jak ty?

 

oszustwa inwestycyjne

Rys.1 Grafika – NASK, bezpiecznymiesiac.pl

Dane GUS pokazują, że w 2024 roku aż 86,1 % gospodarstw domowych w Polsce miało możliwość oszczędzania, przy czym 29 % robiło to regularnie, a 57,1 % nieregularnie.
Wartość oszczędności Polaków rośnie – według analiz, połowa ich aktywów finansowych to nadal gotówka lub depozyty. To pokazuje, że wielu z nas ma środki, które potencjalnie może inwestować – a tym samym stać się celem oszustów. Z drugiej strony CSIRT KNF w raporcie za 2024 rok zgłosił i zidentyfikował około 45–51 tys. domen związanych z fałszywymi ofertami inwestycyjnymi. Wiedza i ostrożność mogą ochronić twoje oszczędności.

Podstawowym sposobem ochrony jest edukacja. Jeśli zrozumiesz, jak działa rynek inwestycyjny, trudniej będzie ci dać się oszukać. Zanim zainwestujesz, zadaj sobie pytania:

  • Czy naprawdę rozumiesz, w co chcesz zainwestować?

  • Czy akceptujesz możliwość strat?

  • Czy wiesz, na czym dokładnie polega ta inwestycja?

Warto też śledzić oficjalne komunikaty – np. Komisji Nadzoru Finansowego (KNF) czy Narodowego Banku Polskiego (NBP) – które regularnie ostrzegają przed nieuczciwymi podmiotami.

Zanim klikniesz: sprawdzaj firmę i warunki

Nie działaj pochopnie. Gdy pojawia się inwestycyjna oferta:

  • Sprawdź, czy firma jest legalna i posiada licencję.

  • Przejrzyj regulamin: skąd pochodzi firma, jakie są prowizje, w jaki sposób wypłacasz środki. Zwróć uwagę na zapisy o właściwości sądu.

  • Unikaj ofert typu „oferta ważna tylko dzisiaj”, „pewny zysk bez ryzyka” – to typowe sztuczki manipulacyjne.

  • Sprawdź opinie w różnych miejscach w sieci. Zwróć uwagę, czy recenzje są powtarzalne – identyczne komentarze mogą być fałszywe.

Zachowaj czujność w bankowości i transakcjach

Podczas przelewania pieniędzy:

  • Czytaj uważnie powiadomienia z banku – kwota i odbiorca muszą być dokładnie takie, jak zamierzałeś.

  • Zanim zatwierdzisz przelew, sprawdź dane konta odbiorcy. Jeśli bank ostrzega, że to może być rachunek oszustów, przerwij działanie i skontaktuj się z bankiem.

  • Nigdy nie podawaj loginów, haseł ani skanów dokumentów obcym osobom.

  • Nie pozwalaj nikomu instalować na twoim komputerze programów do sterowania zdalnego – takich jak AnyDesk czy TeamViewer – zwłaszcza gdy propozycja pochodzi od „doradcy inwestycyjnego”.

Uważaj na deepfake i manipulację z pomocą AI

Coraz częściej oszuści używają sztucznej inteligencji, by tworzyć realistyczne wideo lub nagrania głosowe. Mogą się podszywać pod znane osoby, celebrytów lub twój znajomy głos.
Kilka sygnałów ostrzegawczych:

  • Nagrania z obietnicą „pewnych zysków bez ryzyka”.

  • Nagranie pochodzi z nieznanego źródła, nie z oficjalnego kanału.

  • Błędy językowe w mowie – np. ktoś mówiący w żeńskiej formie, a wygląda jak mężczyzna.

Co zrobić, jeśli coś pójdzie nie tak

Jeśli podejrzewasz oszustwo:

  • Skontaktuj się natychmiast z bankiem – poproś o zablokowanie przelewów.

  • Zbieraj dowody: wiadomości, potwierdzenia przelewów, numery telefonów.

  • Zgłoś sprawę na policję i do CERT Polska.

  • Pamiętaj, że odzyskanie pieniędzy jest trudne. Przestępcy często projektują oszustwo tak, by przerzucić winę na ofiarę – jeśli sam zatwierdziłeś przelew, bank niekoniecznie zwróci Ci straty.

Ryzyko jest realne – nie ignoruj go

Wysokie zyski oznaczają wysokie ryzyko. Jeśli oferta brzmi zbyt dobrze, by była prawdziwa – prawdopodobnie jest oszustwem. Czasami lepiej zweryfikować dwa razy, niż ponieść przykre konsekwencje. Rozsądek i spokój powinny przewyższać chęć szybkiego zarobku.



Źródła:

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

UWAGA! TRZECI STOPIEŃ ALARMOWY (CHARRLIE)

Uprzejmie informujemy, że w związku z zarządzeniem Prezesa Rady Ministrów od dnia 19 listopada 2025 r. (godz. 00:00) do dnia 28 lutego 2026 r. (godz. 23:59) obowiązuje trzeci stopień alarmowy „CHARLIE” na obszarach linii kolejowych zarządzanych przez PKP Polskie Linie Kolejowe S.A. oraz PKP Linia Hutnicza Szerokotorowa Sp. z o.o. Dodatkowo przedłużono obowiązywanie stopni alarmowych BRAVO i BRAVO-CRP na ternie całego kraju.

 

trzeci stopień alarmowy

 

Rys.1 Grafika „Trzeci stopień alarmowy” Źródło: gov.pl

Lista zarządzeń:

  • Zarządzenie nr 68 z dnia 18 listopada 2025 roku w sprawie wprowadzenia trzeciego stopnia alarmowego (3. stopień CHARLIE), na obszarach linii kolejowych zarządzanych przez PKP Polskie Linie Kolejowe S.A. i PKP Linia Hutnicza Szerokotorowa Sp. z o.o., obowiązuje od dnia 19 listopada 2025 r., od godz. 00.00, do dnia 28 lutego 2026 r., do godz. 23.59,

  • Zarządzenie nr 69 z dnia 18 listopada 2025 roku w sprawie wprowadzenia drugiego stopnia alarmowego CRP (2. stopień BRAVO-CRP), na całym terytorium Rzeczypospolitej Polskiej, obowiązuje od dnia 1 grudnia 2025 r., od godz. 00.00, do dnia 28 lutego 2026 r., do godz. 23.59,

  • Zarządzenie nr 70 z dnia 18 listopada 2025 roku w sprawie wprowadzenia drugiego stopnia alarmowego (2. stopień BRAVO), na całym terytorium Rzeczypospolitej Polskiej, obowiązuje od dnia 1 grudnia 2025 r., od godz. 00.00, do dnia 28 lutego 2026 r., do godz. 23.59,

  • Zarządzenie nr 71 z dnia 18 listopada 2025 roku w sprawie wprowadzenia drugiego stopnia alarmowego (2. stopień BRAVO), wobec polskiej infrastruktury energetycznej mieszczącej się poza granicami Rzeczypospolitej Polskiej, obowiązuje od dnia 1 grudnia 2025 r., od godz. 00.00, do dnia 28 lutego 2026 r., do godz. 23.59.

Stopnie alarmowe CRP są wprowadzane w przypadku zagrożenia wystąpienia zdarzenia o charakterze terrorystycznym, które dotyczy systemów teleinformatycznych organów administracji publicznej lub systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej.

Jak podaje Ministerstwo Spraw Wewnętrznych i Administracji do zadań organów państwa w związku z wprowadzeniem stopni alarmowych należą:

W przypadku stopnia BRAVO m.in.:

  • prowadzenie przez Policję, Straż Graniczną lub Żandarmerię Wojskową wzmożonej kontroli dużych skupisk ludzkich;

  • prowadzenie wzmożonej kontroli obiektów użyteczności publicznej oraz innych obiektów potencjalnie mogących stać się celem ataków terrorystycznych;

  • zapewnienie dostępności w trybie alarmowym członków personelu wyznaczonego do wdrażania procedur działania na wypadek zdarzenia o charakterze terrorystycznym;

  • ostrzeżenie personelu o możliwych zagrożeniach;

  • obowiązek noszenia broni długiej oraz kamizelek kuloodpornych przez umundurowanych funkcjonariuszy lub żołnierzy bezpośrednio realizujących zadania związane z zabezpieczeniem miejsc i obiektów, które potencjalnie mogą stać się celem zdarzenia o charakterze terrorystycznym;

  • dodatkowe kontrole pojazdów, osób oraz budynków publicznych w rejonach zagrożonych;

  • wzmocnienie ochrony środków komunikacji publicznej oraz ważnych obiektów publicznych;

  • wprowadzenie zakazów wstępu do przedszkoli, szkół i uczelni osobom postronnym.,
     

W przypadku stopnia CHARLIE:

  • wprowadzić, na polecenie ministra właściwego do spraw wewnętrznych, całodobowe dyżury we wskazanych urzędach lub jednostkach organizacyjnych organów administracji publicznej; 

  • wprowadzić dyżury dla osób funkcyjnych odpowiedzialnych za wprowadzanie procedur działania na wypadek zdarzeń o charakterze terrorystycznym; 

  • sprawdzić dostępność obiektów wyznaczonych na zastępcze miejsca czasowego pobytu na wypadek ewakuacji ludności;

  • wydać broń i amunicję oraz środki ochrony osobistej uprawnionym osobom wyznaczonym do wykonywania zadań ochronnych;

  • wprowadzić dodatkowy całodobowy nadzór nad miejscami, które tego wymagają, do tej pory nieobjętych nadzorem.

W przypadku stopnia BRAVO-CRP:

  • wzmożone monitorowanie stanu bezpieczeństwa systemów teleinformatycznych organów administracji publicznej lub systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej;

  • monitorowanie i weryfikowanie czy nie doszło do naruszenia bezpieczeństwa komunikacji elektronicznej;

  • sprawdzenie dostępności usług elektronicznych;

  • poinformowanie personelu instytucji  o konieczności zachowania zwiększonej czujności;

  • zapewnienie dostępności w trybie alarmowym personelu odpowiedzialnego za bezpieczeństwo systemów;

  • wprowadzenie całodobowych dyżurów administratorów systemów kluczowych dla funkcjonowania organizacji oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów teleinformatycznych.

Podczas obowiązywania stopnia alarmowego należy zwracać szczególną uwagę na wszelkie niestandardowe sytuacje i potencjalne zagrożenia, na przykład: nietypowo zachowujące się osoby, pakunki, torby lub plecaki pozostawione bez opieki w miejscach publicznych, samochody (szczególnie transportowe) zaparkowane w pobliżu miejsc zgromadzeń.

Bezpieczeństwo w czasie obowiązywania stopnia uzależnione jest nie tylko od działania właściwych służb, ale też od przygotowania administratorów obiektów użyteczności publicznej, którzy zobowiązani są do prowadzenia ich wzmożonej kontroli, a także czujności obywateli.



Źródła:

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

KOLEJNY WYCIEK DANYCH – SUPERGROSZ

Pod koniec października hakerzy zaatakowali serwis Supergrosz, który oferuje pożyczki online. To nie był zwykły wyciek haseł. Nieuprawniona osoba lub grupa osób przełamała zabezpieczenia serwisu Supergrosz i dostała się do bazy danych zawierającej informacje klientów. Hakerzy stworzyli specjalny program, który pozwolił im na zdalny dostęp do systemu. Najprawdopodobniej był to czwartek, pierwszy listopada, kiedy cyberprzestępcy skopiowali wszystko, co im się podobało. Atak dotknął około dziesięciu tysięcy użytkowników. Teoretycznie skala wydaje się niewielka, to nie miliony osób, ale powagę problemu zrozumiemy dopiero znając szczegóły.

haker kredyt

Rys.1 Grafika „haker kredyt” Źródło: Designed by Freepik

Przede wszystkim wyciekły numery PESEL, adres zamieszkania, adres do korespondencji, numer telefonu, stan cywilny, liczba dzieci. Do tego dochodzą dane zawodowe takie jak nazwa i adres pracodawcy, numer NIP firmy, numer telefonu do biura oraz informacja o branży. Ale to wciąż nie wszystko. Hakerzy mają również numery rachunków bankowych i wiedzą, jaki jest deklarowany dochód roczny. Mają nawet informacje z dowodu osobistego, takie jak numer dokumentu, data wydania i data ważności.

To wszystko jest powiązane, skoordynowane i pokazuje kompleksowy obraz życia finansowego, zawodowego i osobistego osób, których dane utracono. Kombinacja tylu różnych rodzajów danych tworzy idealną bazę do tzw. ataku spersonalizowanego.

O sprawie Supergrosz wiedzą najwyższe szczeble polskiego rządu i specjalistyczne zespoły ds. bezpieczeństwa. Minister cyfryzacji Krzysztof Gawkowski publicznie ogłosił incydent i nazwał sytuację bardzo poważną. Zaraz po jego wpisie do działania przystąpiły zespoły CSIRT KNF i CSIRT NASK. Powiadomiony został też Prezes Urzędu Ochrony Danych Osobowych. Spółka AIQLABS, która prowadzi serwis Supergrosz, przyznała publicznie, że wyciek miał miejsce.



Wyciek danych z serwisu pożyczkowego to nie jest anomalia. To symptom czasów, w których żyjemy. Cyberprzestępcy stają się coraz bardziej wyrafinowani. Atakują nie tylko wielkie korporacje, ale też polskie serwisy pożyczkowe, e-commerce, strefę publiczną.



Wszyscy pracownicy administracji, którzy pracują z danymi osobowymi klientów, powinni zrozumieć, że bezpieczeństwo nie jest sprawą informatyka. To jest odpowiedzialność każdej osoby w organizacji. Nikt nie powinien mylić złożoności zagrożeń z niemożliwością ich zrozumienia. Bezpieczeństwo zaczyna się od edukacji.



Dla ciebie to oznacza, że powinieneś regularnie zmieniać hasła, włączać 2FA wszędzie, gdzie to możliwe, być ostrożny wobec wiadomości podejrzanego pochodzenia i nigdy nie klikać linków z nieznanych źródeł. Te zasady brzmią jak banał, ale to fundamenty, które mogą oszczędzić ci mnóstwa stresu.



Źródła:

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

 

Opublikowane w

NARUSZENIE. KIEDY KONIECZNE POWIADOMIENIE. WAŻNY WYROK NSA

Jak podaje UODO „Naczelny Sąd Administracyjny potwierdził zarzuty Prezesa UODO do wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie związanego z karą w wysokości 159 176 zł, jaką Prezes UODO nałożył na sopockie Towarzystwo Ubezpieczeniowe Ergo Hestia SA za niezgłoszenie naruszenia ochrony danych osobowych i nie powiadomienie osoby nim dotkniętej. Sprawa trafi więc ponownie do rozpatrzenia przez WSA. Naruszenie dotyczyło wysyłki maila z niezaszyfrowanym załącznikiem z ofertą ubezpieczeniową, zawierającą dane osobowe (m.in. imię, nazwisko oraz numer PESEL) i informacje finansowe do niewłaściwej osoby.”

młoteczek sędzi

 

Rys.1 Grafika „uodo kara wyrok” Źródło: Designed by Freepik

NSA wskazał, jak należy interpretować obowiązek notyfikacji naruszenia wskazany w RODO (art. 34 ust. 1 w związku z art. 33 ust. 1):

  • Pomimo zaistnienia naruszenia ochrony danych osobowych administrator nie musi dokonywać zgłoszenia, jeżeli jest mało prawdopodobne, by skutkowało ono ryzykiem naruszenia praw lub wolności osób fizycznych. Prawa i wolności należy rozumieć podobnie jak na gruncie przepisu art. 6 ust. 1 lit. f RODO. W konsekwencji obowiązek notyfikacyjny nie ma charakteru bezwzględnego.

  • Oceny, czy występuje ryzyko naruszenia praw lub wolności człowieka, musi dokonać administrator. Ocena taka powinna być oparta na obiektywnych kryteriach (jak dotychczasowe doświadczenie związane z podobnymi sprawami, wiedza z zakresu bezpieczeństwa informacji) oraz na uwzględnieniu okoliczności samego naruszenia ochrony danych osobowych.

  • Żeby nie trzeba było zgłaszać naruszenia do PUODO, musimy mówić o małym prawdopodobieństwie, ale nie samego naruszenia praw lub wolności osób fizycznych, lecz ryzyka takiego naruszenia. Powoduje to szerszy zakres obowiązku niż w przypadku, gdyby ocena dotyczyła prawdopodobieństwa wystąpienia naruszenia praw lub wolności.

  • Nie jest konieczne, by wysokie ryzyko się zmaterializowało i by faktycznie doszło do naruszenia praw lub wolności. Dlatego nie ma znaczenia, czy ostatecznie ich naruszenie nastąpi. Wystarczy samo pojawienie się wysokiego ryzyka naruszenia.

Definicje i dobre praktyki.

Naruszenie ochrony danych osobowych to sytuacja, w której dochodzi do przypadkowego lub bezprawnego :

  • zniszczenia, utraty, zmodyfikowania albo ujawnienia danych osobowych;

  • dostępu do danych osobowych przez osobę nieuprawnioną.


Definicję znajdziesz w Rozporządzeniu (UE) 2016/679 – RODO (art. 4 pkt 12).

Podejmij działania bez zbędniej zwłoki.

Gdy nastąpi naruszenie, może to oznaczać ryzyko dla praw lub wolności osób, których dane dotyczą – np. kradzież tożsamości, utrata poufności, szkoda finansowa lub naruszenie dobrego imienia.
Reagując szybko:

  • ograniczasz szkody dla tych osób;

  • realizujesz obowiązki prawne jako administrator danych;

  • pokazujesz, że administrujesz danymi odpowiedzialnie – co w administracji ma duże znaczenie wizerunkowe.


Jeśli zwlekasz, narażasz jednostkę na karę lub utratę zaufania.



Kiedy musisz zgłosić naruszenie do organu nadzorczego

Jeśli jako administrator danych stwierdzisz naruszenie, to:

  • musisz podjąć analizę okoliczności zdarzenia – co się stało, jakie dane, ile osób, jakie mogą być skutki;

  • jeśli z tej analizy wynika, że naruszenie „może skutkować ryzykiem dla praw lub wolności osób fizycznych”, to musisz zgłosić je do Urząd Ochrony Danych Osobowych (UODO) „bez zbędnej zwłoki” – w praktyce nie dłużej niż 72 godziny od momentu stwierdzenia naruszenia.

  • jeśli uznasz, że po tej analizie ryzyko jest mało prawdopodobne, to zgłoszenie do UODO nie jest obowiązkowe, ale musisz wpisać zdarzenie do wewnętrznego rejestru naruszeń.

Przykład: W Twojej jednostce doszło do wycieku danych zdrowotnych pracownika (np. wrażliwe dane – „dane dotyczące zdrowia”). Taki typ danych sam w sobie wskazuje na wysokie ryzyko, więc musisz zgłosić naruszenie do UODO.

Inny przykład: Utrata dysku służbowego zawierającego dane pracowników, ale dane były w pełni zaszyfrowane i nie było możliwości odszyfrowania – po analizie stwierdziłeś, że ryzyko jest bardzo niskie. W takim przypadku zgłoszenia do UODO możesz nie dokonać, ale wpisujesz incydent do rejestru.

Co musi zawierać zgłoszenie do UODO

W zgłoszeniu musisz podać:

  • charakter naruszenia – co się stało; jeśli możliwe, kategorie danych, przybliżoną liczbę osób, których dane dotyczą;

  • dane kontaktowe – np. imię i nazwisko IOD-a lub innego punktu kontaktowego;

  • przewidywane skutki naruszenia dla osób;

  • opis działań podjętych lub planowanych przez Ciebie – co zrobiłeś, żeby zminimalizować szkody.


Jeśli nie masz wszystkich informacji w momencie zgłoszenia – możesz przesłać zgłoszenie wstępne, a resztę uzupełnić później, ale w terminie do 72 godzin.

Praktyczna wskazówka: Zadbaj, by Twoje procedury obsługi incydentu przewidywały szybkie zebranie tych danych – kto zgłosił, kiedy, jakie dane dotknięte, jakie osoby mogły mieć dostęp, jakie środki ochrony były zastosowane.

Kiedy trzeba zawiadomić osoby, których dane dotyczą

Osoby (np. uczniowie, pracownicy, klienci), których dane zostały naruszone, muszą być zawiadomione wtedy, gdy naruszenie „może powodować wysokie ryzyko dla praw lub wolności tych osób”.
Zawiadomienie powinno być napisane prostym językiem. W treści wskaż:

  • co się stało;

  • jakie dane zostały naruszone;

  • jakie mogą być skutki;

  • co robisz, by ograniczyć szkody;

  • dane kontaktowe, gdzie można uzyskać więcej informacji.
    Jeśli natomiast dane zostały np. zaszyfrowane i ryzyko jest bardzo małe – zawiadomienie osób może nie być wymagane.

Przykład: W Twojej organizacji e-mailem wysłano listę z nr PESEL i adresami domowymi 50 pracowników do nieuprawnionej osoby. To jest wysokie ryzyko – należy zawiadomić te osoby.


Przykładowa procedura obsługi incydentu.

  1. Natychmiast po wykryciu incydentu:

    • zbierz początkowe informacje: co się stało, kiedy, jakie dane, ile osób;

    • odizoluj źródło naruszenia (np. wyłącz dostęp, zmień hasła, zabezpiecz system).

  1. Przeprowadź analizę ryzyka:

    • jakie dane naruszono (np. wrażliwe dane, dane zwykłe);

    • jaka jest liczba osób poszkodowanych;

    • czy dane są zaszyfrowane lub w jakiś sposób zabezpieczone;

    • czy możliwe są konsekwencje (kradzież tożsamości, szkoda finansowa, naruszenie dobrego imienia).

  1. W ciągu maksymalnie 72 godzin od stwierdzenia naruszenia (jeśli ryzyko nie zostało wykluczone):

    • złóż zgłoszenie do UODO za pomocą formularza elektronicznego.

    • jeśli potrzebujesz więcej czasu na szczegółowe dane, wyślij zgłoszenie wstępne.

  1. Zdecyduj i jeśli trzeba – zawiadom osoby, których dane dotyczą:

    • ułóż prostą wiadomość (lub listę) z wyjaśnieniem;

    • podaj informacje kontaktowe;

    • doradź, co te osoby mogą zrobić same (np. zmiana hasła, czujność na podejrzane e-mail).

  1. Prowadź rejestr naruszeń: wpisz każdy przypadek – nawet jeśli nie musiałeś zgłaszać. Rejestr powinien zawierać okoliczności zdarzenia, ocenę ryzyka i podjęte działania.

  2. Zrewiduj procedury: po incydencie zweryfikuj, czy Twoje mechanizmy ochrony były wystarczające. Upewnij się, że masz plan wykrywania naruszeń i reagowania na nie.

Typowe błędy, które widuję i których Ty możesz uniknąć

  • Brak lub opóźnione zgłoszenie do UODO – termin 72 godzin jest kluczowy.

  • Ocena „ryzyko = niskie” bez uzasadnienia – jeżeli nie udokumentujesz decyzji, organ może uznać to za naruszenie przepisów.

  • Zawiadomienie osób w sposób niewłaściwy – użycie trudnego języka, pominięcie informacji o tym, co mogą zrobić sami.

  • Brak odizolowania incydentu – przysłowiowe „zasypanie sprawy” bez działań naprawczych.

  • Nieprowadzenie rejestru naruszeń – co utrudnia wykazanie, że działasz zgodnie z zasadą rozliczalności.

Zastanów się teraz – czy Twoja jednostka ma procedurę zgłaszania naruszeń? Czy masz wzór rejestru incydentów? Czy każda osoba odpowiedzialna wie, co robić, gdy wykryje wyciek danych? Jeżeli nie – koniecznie to uzupełnij. Jeśli już masz – sprawdź, czy uwzględnia wszystkie powyższe kroki i wskazówki.



Źródła:

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

UWAGA NA HAKERÓW – KRADNĄ PROFILE WHATSAPP

Pomysłowość cyberprzestępców jest nieograniczona. Nowa metoda przejmowania kont w aplikacji WhatsApp jest bardzo prosta i skuteczna. Skutkuje dodaniem zsynchronizowanego wystąpienia profilu WhatsApp na kolejnym urządzeniu i może być początkiem do znacznie większego planu dezinformacji na szeroką skalę. Sprawdź czy i ty nie dałeś się złapać.

 

ostrzeżenie

Rys.1 Widok zablokowanej strony przez CERT.PL Źródło: https://gimnast.life/home/vote3

Jak działa mechanizm przejmowania profili? Z konta znajomego dostajemy wiadomości z prośbą o zagłosowanie na dziecko w konkursie fotograficznym lub artystycznym. Ta socjotechnika nie wzbudza podejrzeń, nie dotyczy pieniędzy, opiera się na wywołaniu potrzeby pomocy drugiej osobie. A skoro nic nas nie kosztuje, to czemu nie pomóc koledze. Po kliknięciu w link otwiera się strona, która prosi o numer telefonu. Jest to dla nas zrozumiały mechanizm weryfikacji głosujących. Nie proszą nas o żaden blik czy hasło. W tym momencie wchodzimy w niebezpieczną fazę ataku. Gdy pojawi się komunikat „W celu weryfikacji połącz urządzenia”, warto się zastanowić, co to oznacza. Po kliknięciu powstaje zsynchronizowane wystąpienie profilu WhatsApp na kolejnym urządzeniu. Hakerzy uzyskują pełen dostęp do profilu ofiary, mają możliwość czytania i wysyłania wiadomości do wszystkich kontaktów. W taki sposób mogą budować zaufanie u kolejnych użytkowników do dalszej ekspansji.

Twoją czujność powinien zwróć komunikat od osoby, z którą dawano nie rozmawiałeś. Jeśli dostaniesz podobną wiadomość bez wcześniejszej rozmowy, sam odpytaj znajomego o szczegóły. Najbezpieczniej za pomocą innego kału komunikacyjnego. Takie postepowanie skutecznie ochroni Cię przed utratą konta na WhatApp. Sprawdź wiarygodność strony z konkursem. Jeśli nie jesteś pewny, nie podawaj numerów telefonu, haseł, kodów pin i tym podobnych. Nie zgadzaj się na „łączenie urządzeń” i nie instaluj dodatkowego oprogramowania, jeśli nie wiesz do czego służy. Aktualizuj systemy operacyjne w urządzeniach, korzystaj z oprogramowania antywirusowego, włącz weryfikacje dwuetapową, regularnie sprawdzaj aktywne sesje w ustawieniach aplikacji.

Co zrobić jeśli stwierdzisz naruszenie? Podejmij natychmiastowa reakcję, wyloguj się ze wszystkich kont. Zmień hasła, do WhatApp, poczty e-mail, kont bakowych i innych ważnych profili, które budują twoją cybertożsamość. Powiadom wszystkich znajomych o przejęciu konta, prosząc o zachowanie ostrożności i zgłaszanie podejrzanych wiadomości.

Jeśli doszło do poważnych skutków, należy zgłosić taki incydent do Centrum Cyberbezpieczeństwa CERT.pl, na policję oraz WhatsApp przez oficjalne kanały wsparcia. Dzięki takim zgłoszeniom niebezpieczne witryny są blokowane. Strona wykorzystywana w przytoczonej metodzie z fałszywym głosowaniem została skutecznie zneutralizowana i oznaczona (Rys.1). Niestety hakerzy w kilka chwil tworzą nowe portale na innych serwerach i kontynuują bezprawny proceder.



Źródła:



AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.



 

Opublikowane w

UODO WKRCZA NA NOWE TORY

UODO wkracza w nowy obszar, przejmuje nowe kompetencje wynikające z nowego rozporządzenia Data Governance Act (DGA). Nowe przepisy mają na celu stworzenie zaufanej infrastruktury wymiany danych oraz ułatwienie powtórnego wykorzystywania danych chronionych w sektorze publicznym. Ma to na celu zwiększenie dostępności danych przy zachowaniu bezpieczeństwa, poufności i zgodności z prawem, dzięki temu przyspieszy rozwój innowacji w europejskiej gospodarce opartej na danych. Zostanie utworzona nowa struktura – Europejska Rada ds. Innowacji w zakresie Danych – której zadaniem będzie m.in. doradzanie Komisji i wspieranie jej w zwiększaniu interoperacyjności usług pośrednictwa w zakresie danych oraz wydawanie wytycznych dotyczących sposobów ułatwiania rozwoju przestrzeni danych. Implementacja przepisów (DGA) sprawia, że UODO będzie zajmować się również danymi nieosobowymi, co stanowi istotną zmianę w dotychczasowej misji instytucji.

UODO

 

Źródło: Obraz https://uodo.gov.pl/pl

W tym celu powołano wyspecjalizowaną komórkę organizacyjną, której zadaniem będzie nadzorowanie procesów związanych z pośrednictwem danych oraz wspieranie idei altruizmu danych. Jak podkreślił prezes UODO, Mirosław Wróblewski, podczas panelu „Rynek zarządzania danymi w Polsce – wyzwania regulacyjne i możliwości rozwoju w perspektywie Data Governance Act” na XXXIV Forum Ekonomicznym w Karpaczu, wzrost podaży danych to szansa na stymulowanie i wspieranie gospodarki w dziedzinie innowacji opartej na informacji. UODO rozpoczął już działania informacyjno-edukacyjne, organizując m.in. pierwsze webinarium poświęcone tej tematyce, a w planach jest konferencja o charakterze naukowym.



Źródła:

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.