NOWA USTAWA KSC PRZYJĘTA PRZEZ SENAT

W świecie administracji publicznej cyberbezpieczeństwo przestało być tematem zarezerwowanym dla informatyków. Nowa ustawa o krajowym systemie cyberbezpieczeństwa otwiera kolejny etap zmian, które mają chronić państwo przed coraz bardziej złożonymi zagrożeniami. Jeśli pracujesz w urzędzie, szkole, instytucji kultury czy jednostce podległej samorządowi, ustawa dotyczy także ciebie. Zmienia sposób, w jaki organizacje publiczne mają troszczyć się o bezpieczeństwo danych i systemów. To ważne, bo infrastruktura cyfrowa stała się fundamentem działania urzędów i placówek, a każda przerwa czy awaria wpływa bezpośrednio na mieszkańców, uczniów czy lokalnych przedsiębiorców.

Ustawa KSC

Rys.1 Grafika „Ustawa KSC” Źródło: COPILOT

Nowa ustawa KSC powstała po kilku latach prac i ma dostosować polskie prawo do unijnych wymagań NIS2. Unia podnosi standardy, bo ataki na sektor publiczny nasilają się. Wystarczy wspomnieć paraliż urzędów po cyberatakach w regionach Europy czy przypadki, kiedy szkoły traciły dostęp do dzienników elektronicznych na wiele dni. Ustawa ma temu przeciwdziałać, wprowadzając konkretne obowiązki i zasady działania.

Najważniejszą zmianą jest nowy podział instytucji na podmioty kluczowe i podmioty ważne. Jeśli twoja jednostka oferuje usługi o krytycznym znaczeniu, musi spełniać wyższe wymagania. Jeśli działasz w kulturze, oświacie czy administracji lokalnej, prawdopodobnie zostaniesz zakwalifikowany jako podmiot ważny, czyli taki, który ma uproszczone, ale nadal istotne obowiązki. To oznacza mniej formalności, ale wciąż konieczność aktywnego dbania o bezpieczeństwo cyfrowe.

Drugim fundamentem ustawy jest zarządzanie ryzykiem. Przepisy wymagają, aby jednostki publiczne regularnie oceniały, jakie zagrożenia mogą przerwać ich pracę. To może oznaczać analizę ryzyka związanego z przerwaniem dostępu do systemów, błędem pracownika czy awarią usług zewnętrznych. Przykład z praktyki: w jednej z gmin dysk twardy z kluczowymi dokumentami uległ awarii. Dzięki wcześniejszemu planowi backupów sprawnie przywrócono dane. Ustawa ma sprawić, że takie podejście będzie standardem, a nie wyjątkiem.

Ważnym elementem nowych przepisów jest raportowanie incydentów. Twoja instytucja ma obowiązek zgłaszać przypadki, które wpływają na jej działanie, do odpowiednich zespołów reagowania. Chodzi o to, aby wiedza o zagrożeniach nie zostawała w jednej jednostce, tylko była wykorzystywana szerzej. To pozwoli szybciej reagować i chronić inne podmioty.

Nowa ustawa daje też więcej uprawnień Ministrowi Cyfryzacji oraz sektorowym organom odpowiedzialnym za cyberbezpieczeństwo. Mogą oni nakazać audyty, wskazywać kierunki działania czy oceniać dostawców technologii. Dla ciebie oznacza to, że wytyczne i kontrole będą bardziej konkretne. Z punktu widzenia praktyki urzędu to korzystne — łatwiej będzie zrozumieć, co trzeba poprawić i dlaczego.

Na poziomie technicznym przepisy porządkują kwestie sprzętu i oprogramowania. Zgodnie z nimi sprzęt dostawców wysokiego ryzyka ma zniknąć z systemów publicznych w ciągu kilku lat. Ten proces wymaga planowania, zwłaszcza w jednostkach, które mają ograniczone budżety. Warto już dziś zrobić inwentaryzację sprzętu i ustalić, co może wymagać wymiany.

Ważna zmiana dotyczy audytów bezpieczeństwa. Podmioty publiczne muszą je przeprowadzać co dwa lata, a wyniki w krótkim czasie przekazać odpowiednim organom. To nie jest tylko formalność. Audyt pomaga odkryć słabe punkty, zanim zrobi to ktoś z zewnątrz. Jeśli kierujesz zespołem lub odpowiadasz za systemy, warto traktować to jako narzędzie wspierające, a nie obciążenie.

Nowa ustawa kładzie też nacisk na łańcuch dostaw. Gdy urząd kupuje usługę cyfrową, oprogramowanie czy sprzęt, jest odpowiedzialny za sprawdzenie, czy dostawca zapewnia odpowiedni poziom bezpieczeństwa. Przykładem może być wybór firmy oferującej hosting dla strony urzędu. W przeszłości zdarzało się, że słabe zabezpieczenia firmy zewnętrznej powodowały problemy w instytucji publicznej. Teraz przepisy wymagają, aby takie ryzyko było analizowane.

Jeśli pracujesz w administracji, zacznij od prostych kroków, które ustawa będzie wymagać. Upewnij się, że twój zespół wie, jak zgłaszać incydenty. Sprawdź, czy masz kopie zapasowe i czy ktoś je regularnie testuje. Przejrzyj usługi zewnętrzne, z których korzystasz, i oceń, czy są bezpieczne. Takie działania podnoszą odporność instytucji i ułatwiają spełnienie wymogów prawnych.

Nowa ustawa KSC to szansa, żeby administracja pracowała w bardziej uporządkowany i bezpieczny sposób. Nie chodzi o tworzenie dodatkowych dokumentów, tylko o zmianę myślenia. Twoja instytucja jest ważnym elementem państwa i odpowiada za usługi, z których korzystają obywatele. Bezpieczeństwo cyfrowe jest dzisiaj tak samo ważne jak zabezpieczenia budynku czy ochrona fizyczna.

Źródła:

gov.pl; Krajowy system cyberbezpieczeństwa
bankier.pl; Senat przyjął nowelę ustawy o KSC. Gawkowski: Jestem dobrej myśli ws. podpisu prezydenta
cyberdefence24.pl; Senat przyjął nowelizację ustawy o KSC. Teraz czas na prezydenta

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, opracowany przez człowieka.

Post Views: 11

15 stycznia, 202615 lutego, 2026

ATAK NA KONTA NAUCZYCIELI W DZIENNIKU ELEKTRONICZNYM

W ostatnich tygodniach wiele szkół w całej Polsce mierzyło się z serią przejęć kont nauczycieli w najbardziej popularnych dziennikach elektronicznych. Sprawa szybko wyszła poza pojedyncze incydenty i uświadomiła, jak łatwo przestępcy potrafią wykorzystać nieuwagę użytkowników. Jeśli pracujesz w szkole czy urzędzie gminy, ta sytuacja dotyczy także ciebie, bo atak nie wynikał z błędów systemów, lecz z problemów z codziennym korzystaniem z kont i haseł. Tego typu zdarzenia pokazują, że bezpieczeństwo cyfrowe w oświacie wymaga nie tylko dobrych narzędzi, ale także większej uwagi i podstawowej cyfrowej higieny każdego pracownika.

atak, nauczyciel

Rys.1 Grafika „atak, nauczyciel” Źródło: COPILOT

W wielu szkołach obserwowano podobny schemat zdarzeń. Na kontach nauczycieli pojawiały się prośby o przelewy, wulgarne wiadomości albo komunikaty stylizowane na zwykłe ogłoszenia szkolne. W jednej ze szkół na Dolnym Śląsku z przejętego konta nauczycielki wysłano do rodziców prośbę o wpłatę niewielkiej kwoty na fałszywy cel. W innych miejscach wysyłano treści obraźliwe lub prowokacyjne. W Otwocku ktoś wystawił uczniom jedynki i rozesłał wiadomości pełne wulgaryzmów.

Ważne jest to, czego ostatecznie nie potwierdzono. Nie doszło do ataku na serwery Librusa czy Vulcana. Przestępcy nie musieli łamać zabezpieczeń technicznych. Zamiast tego wykorzystali dane logowania nauczycieli, które wpadły w ich ręce w inny sposób. Eksperci zwracają uwagę, że hasła często trafiają do publicznych baz po infekcji komputerów złośliwym oprogramowaniem. Takie programy potrafią kraść loginy i hasła prosto z przeglądarki. Jeżeli używasz jednego hasła w wielu miejscach lub nie zmieniasz go przez lata, zwiększasz ryzyko podobnego ataku na twoje konto.

Dostawcy dzienników potwierdzają, że systemy jako takie nie uległy złamaniu. Według przedstawicieli Librusa i Vulcana przestępcy logowali się bezpośrednio na konkretne konta, korzystając z poprawnych danych uwierzytelniających. W wielu komentarzach pojawia się jeden wspólny wniosek. Łatwo okraść kogoś, kto nie korzysta z prostych zabezpieczeń, które ma na wyciągnięcie ręki. Z udostępnionych danych wynika, że z dwuskładnikowego uwierzytelniania w Librusie korzysta niespełna jedna piąta nauczycieli, a pozostałe osoby logują się wyłącznie hasłem.

Jeśli pracujesz w administracji samorządowej, szkoła podlega twojej pieczy organizacyjnej i finansowej. Bezpieczeństwo cyfrowe nauczycieli wpływa na rodziców, uczniów i urząd, bo to właśnie gmina lub powiat odpowiada za politykę bezpieczeństwa w placówkach. Przestępcy chętnie wykorzystują każdy element słabszy niż pozostałe. Jeśli jeden nauczyciel nie zmienił hasła od lat, cała szkoła może mieć problem. To dobra okazja, by przyjrzeć się temu, jak wygląda szkolenie z cyberbezpieczeństwa i czy szkoły z terenu twojej gminy mają realne wsparcie w tym zakresie.

Najprostszym krokiem, który możesz wykonać już teraz, jest sprawdzenie, czy w twojej placówce obowiązuje dwuskładnikowe logowanie, oraz czy pracownicy wiedzą, jak je włączyć. W wielu przypadkach wymaga to jedynie zainstalowania aplikacji lub posiadania klucza bezpieczeństwa. Jeśli nauczyciele korzystają z prywatnych komputerów, przypomnij im o aktualizacjach i programach antywirusowych. Przekaż im także zasadę, by nie ufać każdej wiadomości pojawiającej się w dzienniku, zwłaszcza jeśli zawiera prośbę o pieniądze. Gdy rodzic otrzyma prośbę o wpłatę, zawsze powinien potwierdzić ją w innym kanale, na przykład telefonicznie w sekretariacie.

Ataki na e‑dzienniki pokazały też coś istotnego dla urzędów. Sam system, nawet najlepiej zaprojektowany, nie zabezpieczy nikogo, jeśli użytkownicy ignorują dostępne funkcje ochrony. Pracownik administracji ma wpływ na to, czy szkoły traktują bezpieczeństwo poważnie. Masz narzędzia, by wymagać stosowania podstawowych zasad. Krótkie szkolenia, wewnętrzne procedury i jasne wymagania wobec dyrektorów szkół podnoszą poziom ochrony szybciej niż kolejne kampanie informacyjne. Jeśli tego nie zrobisz, kolejne incydenty będą jedynie kwestią czasu.

Źródła:

niebezpiecznik.pl; Fala włamań na konta nauczycieli w e-dziennikach różnych szkół na terenie całej Polski
strefaedukacji.pl; Konta nauczycieli wciąż zagrożone. Librus reaguje
Trybunalski.pl; Oszuści przejęli konta nauczycieli
Wprost.pl; Włamania do e‑dzienników w polskich szkołach

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, opracowany przez człowieka.

Post Views: 14

15 stycznia, 202615 lutego, 2026

INCYDENT BEZPIECZEŃSTWA DANYCH OSOBOWYCH W ŁODZI

Incydent ujawnienia danych rodziców i dzieci z miejskich żłobków w Łodzi to przykład realnego zagrożenia, z którym możesz spotkać się w każdej instytucji publicznej. Nie doszło tu do zaawansowanego ataku. Wystarczył błąd aplikacji i brak kontroli nad środowiskiem, w którym przetwarzano dane osobowe. Publicznie dostępne pliki PDF z umowami, numery PESEL w nazwach plików i niezabezpieczone endpointy pokazują, że problem leży głębiej niż w jednej linijce kodu. To historia o braku procedur, nadzoru i odpowiedzialności po stronie zamawiającego system. Jeśli odpowiadasz za IT w urzędzie, szkole, żłobku lub jednostce podległej samorządowi, ten przypadek powinien uruchomić u ciebie kontrolkę ostrzegawczą. Taki scenariusz może wydarzyć się także u ciebie, nawet jeśli system działa i nikt nie zgłasza problemów.

dane osobowe

Rys.1 Grafika „dane osobowe” Źródło: Designed by Freepik

Co dokładnie wyciekło i dlaczego to groźne.

Jak podaje niebezpiecznik.pl publicznie dostępny katalog zawierał ponad 4900 umów i aneksów w formacie PDF. Dokumenty obejmowały imiona i nazwiska rodziców, numery PESEL, adresy zamieszkania i numery telefonów. W nazwach plików znajdowały się numery PESEL dzieci. Inne endpointy aplikacji ujawniały dane o diecie, imiona i nazwiska dzieci oraz ich adresy. Taki zestaw informacji pozwala na profilowanie rodzin, ocenę sytuacji zdrowotnej dziecka lub ustalenie struktury rodziny. To dane wysokiego ryzyka w rozumieniu RODO. Według raportu ENISA z 2024 roku sektor publiczny odpowiada za ponad 20 procent zgłoszonych naruszeń danych w Unii Europejskiej. Najczęstsza przyczyna to błędy konfiguracyjne i brak kontroli dostępu.

Aplikację rozwijano we współpracy z Politechniką Łódzką. Dane trafiły na serwer uczelni. To sygnał alarmowy. Jeśli przekazujesz dane osobowe podmiotowi zewnętrznemu, musisz mieć podpisaną umowę powierzenia przetwarzanych danych. Powinieneś wiedzieć, gdzie fizycznie i logicznie znajdują się dane. Musisz wymagać testów bezpieczeństwa przed uruchomieniem systemu produkcyjnego. Brak wiedzy o lokalizacji danych i poleganie na tym, że mało osób zna adres systemu, to podejście skrajnie nieprofesjonalne.

Z relacji na niebeizpiecznik.pl wynika, że pierwsze próby kontaktu z Inspektorem Ochrony Danych zakończyły się niepowodzeniem. Numer telefonu nie działał. To narusza podstawowe obowiązki administratora danych. RODO wymaga realnej dostępności IOD. Opóźniona reakcja zwiększa ryzyko masowego pobrania danych. Nawet po usunięciu indeksu katalogu pliki nadal pozostawały dostępne. To klasyczny błąd polegający na gaszeniu objawów zamiast przyczyny. Jako informatyk musisz dbać o procedurę reagowania na incydenty i testować ją regularnie.

Co może zrobić informatyk w JST?

Zacznij od audytu dostępności zasobów. Sprawdź, czy serwery WWW nie udostępniają list katalogów. Zweryfikuj, czy API wymaga autoryzacji i czy logujesz próby dostępu. Przeanalizuj nazewnictwo plików i strukturę danych. Nigdy nie umieszczaj identyfikatorów takich jak PESEL w nazwach plików ani w adresach URL. Sprawdź, czy posiadasz aktualne umowy powierzenia danych z każdym wykonawcą systemu. Przetestuj dane kontaktowe do IOD i procedurę zgłaszania incydentów.

Jakie zabezpieczenia możesz wdrożyć aby poprawić bezpieczeństwo.

Wymuś uwierzytelnianie i autoryzację. Stosuj zasadę minimalnych uprawnień. Włącz szyfrowanie danych w spoczynku i w transmisji. Skonfiguruj nagłówki bezpieczeństwa na serwerach HTTP. Regularnie wykonuj testy penetracyjne i skany podatności. Monitoruj logi dostępu i ustaw alerty na nietypowe zachowania. Przeszkol pracowników technicznych i merytorycznych z podstaw ochrony danych. Według informacji UODO większość naruszeń zaczyna się od błędu człowieka, nie od ataku z zewnątrz.

Ten incydent pokazuje, że rola informatyka nie kończy się na utrzymaniu systemu. Odpowiadasz za realne bezpieczeństwo danych obywateli. Musisz zadawać trudne pytania dostawcom, wymagać dokumentacji i testów. Musisz reagować szybko i zdecydowanie. Brak reakcji lub pozorne działania mogą kosztować instytucję utratę zaufania i wysokie kary finansowe. W 2023 roku średnia kara administracyjna za naruszenie RODO w Polsce przekroczyła 250 tysięcy złotych. To argument, który powinien przemawiać także do kierownictwa, aby zapewnić odpowiednią liczbę specjalistów do monitorowania i wdrażania procedur cyberbezpieczeństwa.

Źródła:

Niebezpiecznik; Dane dzieci i rodziców z kilku żłobków były dostępne publicznie,
ENISA; Threat Landscape 2024
UODO; Naruszenia ochrony danych osobowych – statystyki

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, opracowany przez człowieka.

Post Views: 14

15 stycznia, 202615 lutego, 2026

Z NOWYM ROKIEM CZAS NA CYFROWE PORZĄDKI

Nowy rok to dobry moment, żeby zrobić porządek w cyfrowym życiu — nie tylko u ciebie w domu, ale także w urzędach i instytucjach. Każde konto w sieci, każde hasło i każdy stary telefon to potencjalne ryzyko dla bezpieczeństwa. Statystyki pokazują, że Polacy coraz częściej korzystają z internetu — w 2025 r. 96,2 proc. gospodarstw domowych miało dostęp do sieci, a 85 proc. osób używa internetu codziennie lub prawie codziennie. To oznacza, że prawie każdy ma swoje cyfrowe ślady, które trzeba uporządkować.

cyfrowy porządek

Rys.1 Grafika „cyfrowy porządek” Źródło: Designed by Freepik

W administracji publicznej postępuje digitalizacja, ale nie każda jednostka jest równie gotowa na nowe zagrożenia. Technologie takie jak sztuczna inteligencja są wciąż rzadziej stosowane, a wiele urzędów może lepiej zadbać o bezpieczeństwo swoich danych.

Poniżej kilka wskazówek, jak skutecznie zarządzać cyfrowym łupieżem w cyberprzestrzeni.

Przejrzyj konta i usługi

Najpierw spójrz na wszystkie konta, które masz w internecie — prywatne i służbowe. Jeśli zmieniałeś miejsce pracy możesz mieć nieaktualne profile służbowe:

konto ePUAP, e-doręczenia, sprawozdawczość,
dostęp do lokalnych systemów dziedzinowych,
dostęp do centralnych / rządowych systemów dziedzinowych,

profile w chmurze.

Wiele osób ma stare konta w sklepach online, portalach społecznościowych, forach czy aplikacjach, które dawno nie były używane. Jeśli ich nie potrzebujesz, usuń je. To tak jak wyrzucenie starych dokumentów z biurka — mniej bałaganu oznacza mniejsze ryzyko wycieku danych. Warto poświęcić chwilę na analizę skrzynki mailowej i przypomnienie sobie, gdzie się rejestrowaliśmy.

Uporządkuj hasła

Silne hasła to podstawa. Statystyki GUS pokazują, że większość Polaków używa internetu nie tylko do poczty i komunikatorów, ale też do bankowości i zakupów online. Jeśli w administrowaniu korzystasz z jednego hasła do wielu serwisów, to ryzyko wzrasta.

Najprościej jest:

zmienić stare hasła na unikalne dla każdej usługi,
minimalna długość hasła to 12 znaków,
używać mesendżera haseł do ich przechowywania,
wprowadzić weryfikację dwuetapową tam, gdzie to możliwe.

To nie są trudne zmiany, a znacząco podnoszą bezpieczeństwo.

Sprawdź uprawnienia aplikacji i dane

Zarówno w urzędzie jak i na swoim smartfonie regularnie sprawdzaj, jakie uprawnienia mają zainstalowane aplikacje. Czy określona aplikacja potrzebuje:

dostępu do mikrofonu, kamery,
lokalizacji GPS,
rejestru kontaktów,
sms i połączeń,
biblioteki multimediów.

Jeśli nie masz już potrzeby korzystania z którejś z aplikacji, usuń ją. W przypadku pozostałych, sprawdź czy naprawdę potrzebują wszystkich zgód, które kiedyś im dałeś. To jak sprawdzanie, komu dajesz klucze do biura — warto to robić regularnie. Warto zajrzeć do ustawień oznaczania na zdjęciach, widoczności postów oraz tego, kto może zobaczyć nasze dane kontaktowe.

Zadbaj o stare urządzenia

Często w urzędzie zalegają stare laptopy, telefony czy tablety, które ktoś kiedyś dostał i odłożył do szuflady. Zanim je wyrzucisz, sprzedasz lub oddasz, zrób trzy czynności:

wykonaj kopię ważnych danych,
wyzeruj dysk twardy,
przywróć urządzenie do ustawień fabrycznych.

To nie tylko dobre nawyki — to minimalizacja ryzyka, że w urządzeniu zostaną dane urzędników albo mieszkańców. W praktyce widziałem przypadki, gdzie na starym sprzęcie znajdowały się kontakty i dokumenty z poprzednich lat. Tego typu „śmieci cyfrowe” łatwo mogą stać się problemem.

Kopie zapasowe to nie fanaberia

Kopie zapasowe danych to coś, co na początku roku warto zorganizować. GUS podaje, że większość osób używa internetu do pracy, poczty i bankowości — wszystkie te dane mogą być istotne w razie awarii sprzętu lub ataku hakerskiego.

Prosta zasada jest taka:

miej co najmniej 3 kopie ważnych danych,
przechowuj je na dwóch różnych nośnikach (np. dysk zewnętrzny i chmura),
jedną kopię trzymaj w innej lokalizacji fizycznej,
dostęp do kopii zabezpiecz silnym hasłem.

Regularnie testuj, czy kopie są aktualne i czy da się je odczytać. Często kopie zapasowe mają uszkodzone pliki.

Uświadamiaj innych i ucz się na bieżąco

Informatyzacja to nie tylko technologia, to też ludzie. Dane GUS pokazują, że jeszcze spora część społeczeństwa ma problemy z umiejętnościami cyfrowymi.

W urzędzie warto:

organizować krótkie szkolenia dla pracowników,
dzielić się prostymi zasadami bezpieczeństwa za pomocą portalu cbs.wokiss.pl,
pomagać mieszkańcom w bezpiecznym korzystaniu z e-usług.

To podnosi kompetencje cyfrowe całej społeczności.

Cyberpostanowienia na nowy rok

Absolutnie proste i bardzo praktyczne:

regularnie aktualizuj systemy operacyjne i oprogramowanie układowe na urządzeniach,
wykonuj kopie zapasowe,
ogranicz liczbę aplikacji i powiadomień,
świadomie decyduj, jakie dane i komu udostępniasz.

Źródła:

nask.pl; Cyfrowy reset na nowy rok,
biznes.pap.pl; W 2024 r. 87,6 proc. Polaków regularnie korzysta z internetu – GUS,
biznes.pap.pl; Dostęp do internetu w 2025 r. posiadało 96,2 proc. gospodarstw domowych – GUS,
itreseller.pl; Sztuczna inteligencja w administracji jeszcze raczkuje – GUS.

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, opracowany przez człowieka.

Post Views: 12

15 stycznia, 202615 lutego, 2026

CYFROWA HIGIENA W ADMINISTRACJI

Każdego dnia w urzędzie korzystasz z komputera, telefonu i internetu. Te narzędzia ułatwiają pracę, ale mogą być przyczyną stresu, błędów, marnowania czasu. Generują również ryzyko naruszenia danych. Cyfrowa higiena to zbiór prostych zachowań, które pomagają kontrolować to, jak korzystasz z technologii, tak żeby nie szkodziła Twojej efektywności, zdrowiu i bezpieczeństwu. To nie tylko „bezpieczeństwo IT”, a szeroki zestaw praktyk dobrze dopasowanych do realiów pracy biurowej i administracyjnej.

cyber higiena

Rys.1 Grafika „cyber higiena” Źródło: Designed by Freepik

Jak podaje Instytutu Cyfrowego Obywatelstwa, prawidłowe zachowania podczas pracy z urządzeniami ekranowymi można podzielić na kilka kluczowych obszarów.

Stawianie granic w używaniu urządzeń

W administracji często spędzamy 8h przed ekranem. Powiadomienia, e-maile, pisma urzędowe, aplikacje dziedzinowe – wszystko przyciąga uwagę i rozprasza.

Pracuj z planem dnia i wyznacz momenty na sprawdzanie poczty oraz komunikatorów.
Zredukuj liczbę powiadomień w telefonie służbowym i osobistym.
Wyłącz aplikacje, które nie pomagają Ci w pracy i powodują „przeskakiwanie” między zadaniami.

Jeśli ciągle odrywają Cię powiadomienia, tracisz koncentrację i wydłuża się czas wykonywania obowiązków. Kontrola czasu spędzanego przed ekranem pomaga tego uniknąć. Staraj się robić krótkie przerwy.

Bezpieczne korzystanie z internetu i danych

W pracy administracyjnej często pracujesz z danymi osobowymi i dokumentami urzędowymi. Nierozważne udostępnianie danych może mieć poważne konsekwencje.

Nie publikuj danych osobowych w mediach społecznościowych ani otwartych systemach.
Akceptuj zaproszenia lub kontakty online tylko wtedy, gdy znasz nadawcę.
Zanim klikniesz opublikuj, poproś kolegę, aby sprawdził informacje przygotowane do publikacji.
Nie umieszczaj danych osobowych w publicznej chmurze bez ustalonej geolokalizacji.

Ryzyko ujawnienia danych rośnie, gdy robisz to bez refleksji. Zachowanie ostrożności przy publikowaniu lub udostępnianiu chroni Ciebie i interesantów.

Ochrona kont i narzędzi pracy

Hasła, publiczne sieci Wi-Fi, fałszywe e-maile – to realne zagrożenia, z którymi spotykasz się codziennie.

Używaj mocnych i unikalnych haseł dla każdego systemu.
Włącz uwierzytelnianie dwuskładnikowe tam, gdzie to możliwe.
Nie loguj się do służbowych zasobów z nieznanych lub publicznych sieci Wi-Fi.

Takie dobre praktyki minimalizują ryzyko wycieku danych urzędu i naruszeń bezpieczeństwa informacji.

Świadome tworzenie i dobór treści

To, co piszesz, udostępniasz i komentujesz, ma wpływ na wizerunek urzędu i relacje z interesantami.

Zanim udostępnisz post lub komentarz, sprawdź, czy jest to konieczne i prawidłowe.
Nie publikuj zdjęć innych osób bez ich zgody.
Weryfikuj informacje w internecie, zanim się nimi podzielisz.

Treści tworzone przez urzędników często trafiają do szerokiego grona. Odpowiedzialność za ich jakość zwiększa zaufanie do instytucji.

Dobór i weryfikacja informacji

Codziennie dociera do Ciebie ogrom danych. Jeśli nie będziesz selekcjonować źródeł, stracisz czas i możesz ulec dezinformacji.

Wybieraj zaufane źródła informacji.
Przed kliknięciem sprawdź, kim jest autor.
Analizuj treści, uważaj na dezinformację i deepfake.

To ograniczy „zamęt informacyjny” i zwiększy Twoją skuteczność w pracy.

Takie praktyki poprawią Twoją koncentrację, bezpieczeństwo i komfort pracy.

Źródła:

pl; Obszary higieny cyfrowej

Post Views: 11

23 grudnia, 202523 grudnia, 2025

PODSUMOWANIE ROKU W SFERZE CYBERBEZPIECZEŃSTWA

Rok dobiega końca. W urzędach panował wzmożony ruch, inwestycje, nowe projekty IT, audyty, aktualizacja SZBI. W tle rosło ryzyko włamań i szantażu. Wiele jednostek zbyt późno zauważyło, że utrata danych to nie awaria komputera, tylko brak ciągłości działania instytucji. Atak na urząd nie kończy się na nerwach pracowników. Płacą za to mieszkańcy, bo nie złożą wniosku o dowód, nie uregulują opłat, nie odbiorą świadczeń. Ten rok pokazał, że samorząd stał się realnym celem hakerów.

cyfrowa choinka

Rys.1 Grafika „cyfrowa choinka” Źródło: Designed by Freepik

Najczęściej włamania polegały na szyfrowaniu danych i żądaniu okupu oraz atakach na skrzynki e-mail. W kilku gminach systemy teleinformatyczne przestały działać a odtworzenie infrastruktury trwało kilka dni. Do wielu pracowników wpływały pisma w formie e-mail z domen przypominających GOV.PL. Cyberprzestępcy nie zawsze atakują fizyczne zabezpieczenia. Często obserwują profile pracowników, dzięki temu wiedzą kto choruje, kiedy kadrowa bierze urlop, kto odbiera wnioski o wypłatę świadczeń. To wystarczy, żeby podszyć się pod dyrektora i wysłać polecenie przelewu.

Bądź czujny każdego dnia. Sprawdź czy twoje hasła są wystarczająco silne i długie. Nie korzystaj z jednego hasła dla wszystkich systemów. Włącz podwójną autoryzację w usługach pocztowych. Aktywnie bierz udział w szkoleniach. W każdym systemie bezpieczeństwa najważniejszy jest człowiek i jego kompetencje.

Życzę wszystkim świąt pełnych spokoju i ciepła, bez telefonów o awariach, pożarach czy wyciekach danych. Niech nowy rok przyniesie mniej stresu, a więcej sukcesów, satysfakcji z pracy i poczucia sensu. Życzę wam więcej czasu dla bliskich, oddechu od codziennego pośpiechu i wiary, że to co robisz buduje lepszą przyszłość dla twojej społeczności.

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Post Views: 58

23 grudnia, 202523 grudnia, 2025

FAŁSZYWE KONTROLE URE

W ostatnich tygodniach w całej Polsce pojawiają się sygnały, że nieznane osoby pukają do drzwi właścicieli instalacji fotowoltaicznych i przedstawiają się jako pracownicy Urzędu Regulacji Energetyki (URE), rzekomo w celu kontroli paneli słonecznych. Ten przekaz brzmi oficjalnie i może Cię zmylić. Urząd wydał jednak jasny komunikat, że nie prowadzi takich wizyt u prosumentów w domach prywatnych. To oznacza, że te kontrole są fałszywe i mogą być próbą oszustwa lub wyłudzenia.

serwisant

Rys.1 Grafika „fałszywe kontrole fotowoltaiki” Źródło: Designed by Freepik

Urząd jako regulator rynku energii nadzoruje przedsiębiorstwa energetyczne, ustala taryfy, wydaje koncesje i monitoruje rynek. Osoby twierdzące, że pracują na zlecenie URE i chcą wejść na posesję w celu kontroli, robią to bez uprawnień i wprowadzają Cię w błąd.

Operator systemu dystrybucyjnego (OSD), czyli firmy takie jak PGE, Tauron, Enea czy Energa, mogą przeprowadzać kontrole sieci i instalacji podłączonych do sieci. Takie kontrole mają zasady:

są wcześniej zapowiedziane,
kontrolerzy mają imienne upoważnienia i legitymacje,
nie proszą o podpisywanie dokumentów poza tym, co wynika z procedur operatora,
nie żądają pieniędzy od właściciela.

Jeżeli ktoś pojawia się bez wcześniejszego kontaktu, nie przedstawia prawdziwego dokumentu i mówi, że robi kontrolę „z URE”, najpewniej nie mówi prawdy.

Fałszywi „kontrolerzy” starają się być wiarygodni. Mogą mieć identyfikatory z logo, nosić profesjonalne ubrania albo znać podstawowe informacje o fotowoltaice. Jeśli coś Cię zaciekawi lub zaniepokoi w zachowaniu takiej osoby, nie wpuszczaj jej na posesję do czasu wyjaśnienia sytuacji.

Zawsze możesz poprosić o dokumenty i spisać dane osoby rzekomego kontrolera. Zadzwoń wtedy do Twojego operatora sieci, on potwierdzi, czy taka kontrola miała być wykonana. Jeżeli osoba zachowuje się natarczywie, żąda pieniędzy albo wymusza podpisy pod dokumentami, zakończ spotkanie i zadzwoń na policję (112). Ostrzeż sąsiadów, bo oszuści często działają w okolicy i odwiedzają od kilku do kilkunastu domów pod podobnym pretekstem.

W administracji często spotykasz się z sygnałami od mieszkańców o dziwnych kontrolach. W tej sytuacji możesz podjąć proste działania na rzecz społeczności:

Wyjaśnij obywatelom, że URE nie robi kontroli instalacji w domach.
Naucz ich weryfikować upoważnienia operatora i kontaktować się z firmą, zanim udostępnią komuś posesję.
Zachęcaj do rejestrowania wizyt, robienia zdjęć dokumentów i konsultowania się z lokalnym urzędem gminy, policją albo z prawnikiem.
Udostępnij listę operatorów sieci lokalnych, żeby mieszkańcy mogli zadzwonić bezpośrednio w razie wątpliwości.

Statystyki pokazują, że w Polsce działa już ponad 1,5 mln mikroinstalacji OZE, z czego zdecydowana większość to fotowoltaika prosumentów. To duża liczba potencjalnych celów dla oszustów. Jeżeli potrafisz ostrzec mieszkańców, że mogą paść ofiarą fałszywych kontroli URE, i nauczysz jak je rozpoznać, minimalizujesz ryzyko oszustw w społeczności. Twoja wiedza pomaga ludziom zachować ostrożność i unikać zagrożeń związanych z nieuprawnionymi wizytami.

Źródła:

interia.pl; Kontrola fotowoltaiki w każdym domu. URE wydał ważny komunikat
ure.gov.pl; Informacja Prezesa URE nr 46/2025
ure.gov.pl; Ważne: Prezes URE nie organizuje egzaminów ani nie wydaje świadectw
PAP Biznes; Na koniec 2024 r. w Polsce działało 1,5 mln mikroinstalacji OZE – URE

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Post Views: 59

23 grudnia, 202523 grudnia, 2025

CZY WOLNO MONITOROWAĆ SĄSIADÓW I PRZESTRZEŃ PUBLICZNĄ?

Coraz więcej osób montuje kamery wokół domu dla własnego bezpieczeństwa. To naturalne. Każdy chce chronić swój dom i majątek. Nie każdy jednak wie, że kamera nie zawsze może rejestrować wszystko dookoła. Gdy jej zasięg obejmuje teren należący do sąsiada albo publiczną drogę, wchodzi w grę prawo o ochronie danych osobowych. Prezes Urzędu Ochrony Danych Osobowych (UODO) właśnie wydał decyzję, która to potwierdza. Ta informacja ma pomóc zrozumieć granice monitoringu prywatnego i uniknąć konfliktów z prawem.

monitorowanie kamer

Rys.1 Grafika „monitoring publiczny” Źródło: Designed by Freepik

Prawo nie zabrania instalacji systemów monitoringu na własnej posesji. Możesz je montować po to, by chronić dom przed włamaniem albo wandalizmem. Takich kamer nie musisz zgłaszać do urzędu, jeżeli filmują tylko Twój teren. Problem pojawia się wtedy, gdy kamera nagrywa więcej niż Twój dom. Jeżeli w polu widzenia znajduje się podwórko sąsiada, wejście do domu, okna, albo nawet fragment drogi publicznej, sytuacja się zmienia. Wtedy te dane to już informacje o osobach trzecich i podlegają przepisom RODO.

Zgodnie z wyrokiem Trybunału Sprawiedliwości Unii Europejskiej z 11 grudnia 2014 r. w sprawie C-212/13 (František Ryneš), przetwarzanie danych nie ma charakteru wyłącznie osobistego lub domowego, jeśli monitoring obejmuje choćby częściowo przestrzeń publiczną lub teren należący do osób trzecich.

Na podstawie art. 58 ust. 2 lit. c RODO Prezes UODO nakazał zaprzestania przetwarzania danych osobowych skarżących za pomocą monitoringu wizyjnego w zakresie wizerunku oraz głosu, obejmującego swym zasięgiem drogę publiczną oraz nieruchomości skarżących, wobec braku podstawy prawnej dla tego przetwarzania. DECYZJA

Sąsiedzi w skardze do Prezesa UODO podnieśli, że zebrane dane są przetwarzane bez ich zgody. Mieszkańcy czują się nękani i mają poczucie naruszania ich prywatności, co negatywnie wpływa na ich codzienne życie. Kamery obejmowały kilkanaście obszarów, w tym drogę publiczną i sąsiednie budynki. Nagrywały obraz i dźwięk przez całą dobę. Jedna z kamer miała być skierowana bezpośrednio na okno toalety w sąsiednim budynku.

Jeśli kamera rejestruje przestrzeń publiczną albo cudzą posesję, jesteś traktowany jak administrator danych. W takiej sytuacji musisz stosować przepisy o ochronie danych. Nie wolno traktować kamery jak narzędzia do „utrzymania porządku” na drodze albo w sąsiedztwie. Takie zadania należą do organów państwowych i profesjonalnych służb, nie do osób prywatnych. UODO jasno wskazał, że prywatny monitoring nie może zastępować policji czy straży miejskiej.

Sprawdź zasięg kamery. Jeżeli filmujesz drogi, chodniki albo cudze posesje, zmień kąt widzenia. Skieruj kamerę tak, aby rejestrowała tylko własną działkę. Jeżeli to możliwe, wyeliminuj fragmenty z sąsiedztwa i publiczne miejsca. Nie nagrywaj dźwięku, jeśli obejmujesz cudze tereny. Zbieranie dźwięku to również dane osobowe i zwiększa ryzyko naruszenia prywatności. Umieść tabliczkę informującą o monitoringu tylko tam, gdzie to Twoje tereny.

Źródła:

uodo.gov.pl; Prezes UODO reaguje w sprawie kamer monitoringu zbierających dane z posesji sąsiadów
orzeczenia.uodo.gov.pl; Decyzja DS.523.6546.2024

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Post Views: 63

23 grudnia, 202523 grudnia, 2025

Cyberatak na skrzynki e-mail w UZP i KIO

W połowie grudnia 2025 r. potwierdzono poważny incydent bezpieczeństwa w Urzędzie Zamówień Publicznych (UZP) i Krajowej Izbie Odwoławczej (KIO). Cyberprzestępcy uzyskali dostęp do skrzynek pocztowych urzędników. W wiadomościach e-maili mogły znajdować się dane kontaktowe, informacje finansowe, skargi, wnioski, postepowania odwoławcze itp. Oznacza to, że ktoś mógł przeczytać korespondencję urzędników, pobrać załączniki i wykorzystać je do własnych celów.

groźny e-mail

Rys.1 Grafika „cyberatak e-mail” Źródło: Designed by Freepik

Incydent uderzył w podstawowe narzędzie pracy administracji, czyli pocztę elektroniczną. To pokazuje, że atakujący interesują się instytucjami państwowymi i testują, gdzie użytkownicy popełniają błędy. Najczęściej cyberprzestępcy wykorzystują phishing i podszywają się pod znane instytucje do których mamy zaufanie. Gdy uda im się włamać na jedno konto, przygotowują kolejną kampanie z przejętego adresu. Taki atak jest bardzo wiarygodny i trudny do wykrycia na pierwszy rzut oka, ponieważ nadawca jest prawdziwy i zaufany. Z e-mail i załączników pobierają dane, które mogą wykorzystać do zaciągania zobowiązań.

Urząd zgłosił incydent do odpowiednich służb i rozpoczął działania naprawcze. Konta zostały zablokowane, hasła zresetowane, a sama sytuacja jest analizowana pod kątem naruszenia danych osobowych. To typowe kroki, które należy podjąć, gdy ktoś uzyska dostęp do korespondencji urzędowej. Ostatecznie ważne jest, aby każdy pracownik wiedział, że skrzynka pocztowa jest jak sejf, jeżeli ktoś tam wejdzie, może zrobić szkody.

Taka sytuacja może przydarzyć się każdemu. Dlatego warto wdrożyć dwuetapową autoryzację, regularnie zmieniać hasło, nie używać jednego hasła do wielu usług, nie klikać w podejrzane linki, nie pobierać nieoczekiwanych załączników i sprawdzać, kto tak naprawdę do nas pisze. Jeżeli wiadomość wywołuje presję, strach lub pośpiech, jest duża szansa, że to próba ataku. Najlepiej wtedy zadzwonić do nadawcy i upewnić się, że wiadomość jest prawdziwa.

Incydent w UZP to sygnał, że cyberbezpieczeństwo nie jest technologiczną ciekawostką, ale obowiązkiem w codziennej pracy. Każdy z nas ma wpływ na to, czy urząd pozostanie bezpieczny. Jeśli nie masz pewności, zawsze lepiej zapytać dział IT niż działać w ciemno. To właśnie drobne decyzje pracowników najczęściej decydują o tym, czy atak się uda.

Źródła:

gazetaprawna.pl; Cyberatak na Urząd Zamówień Publicznych. Skrzynki e-mail pracowników w rękach hakerów
isportal.pl; Cyberatak na Urząd Zamówień Publicznych. Mogło dojść do wycieku danych osobowych

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Post Views: 47

23 grudnia, 202523 grudnia, 2025

GDZIE JEST GRANICA BEZPIECZEŃSTWA GIER DLA DZIECI?

Gry komputerowe są dziś ogromnym rynkiem – NASK podaje, że ich wartość przewyższa przemysł filmowy i muzyczny. To nie tylko zabawa – to także ogromne zasoby: konta graczy, wirtualne przedmioty, portfele cyfrowe. Dla cyberprzestępców to atrakcyjny cel. Ryzyko pojawia się w momentach, które na pierwszy rzut oka wydają się normalne: instalowanie aktualizacji, korzystanie z testowych wersji gier („early access”), pobieranie modów, logowanie do platform. To, co wygląda jak codzienna rutyna gracza, może być pułapką.

dziecko przy telewizorze

Rys.1 Grafika „gry komputerowe” Źródło: Designed by Freepik

Fałszywe aktualizacje i zainfekowane gry

NASK opisuje przypadki, gdy aktualizacja gry zawiera złośliwy kod. Gracz myśli, że instaluje poprawkę lub nową wersję. Jednak w tle, uruchamiają się programy, które zbierają dane logowania, hasła lub nawet przejmują kontrolę nad kontem.

Przykładem jest gra „BlockBlasters”: po jej aktualizacji okazało się, że zainfekowano komputery graczy. Dane z kont Steam zostały przejęte, a 150 000 USD skradziono z portfeli kryptowalutowych użytkowników.

Fakeowe wersje testowe („early access”)

Oszuści oferują rzekome testowe wersje gier, kusząc darmowym dostępem lub kluczem. Tworzą nawet imitacje stron producentów. Gracz pobiera plik, loguje się – i przekazuje swoje dane oszustom. W niektórych przypadkach aplikacja wygląda jak prawdziwa gra, ale zawiera malware.

NASK przywołuje przykład gry „Chemia” („survival-crafting”) – użytkownicy myśleli, że testują normalny projekt, tymczasem wersja wczesnego dostępu była zainfekowana narzędziami do kradzieży danych i backdoorami. Ciekawość graczy („będę pierwszy”, „pobiorę test”) staje się narzędziem ataku.

Phishing w świecie graczy

Phishing to nie tylko e-mail – w kontekście gier może przybrać formę fałszywych stron logowania, zaproszeń na turnieje albo ofert darmowych kluczy. NASK opisuje mechanizm „browser-in-the-browser”: oszuści imitują okno prawdziwej przeglądarki lub aplikacji (np. Steam), podszywając się pod nią.

Takie strony mogą wyglądać identycznie jak oryginał. Różnica bywa w detalu – np. adres URL. Wprowadzając swoje dane, gracz przekazuje je bezpośrednio przestępcy.

Eksperci z CERT Polska zalecają: nie loguj się przez linki z wiadomości, nawet jeśli wyglądają dobrze. Lepiej wejść na stronę samodzielnie lub przez oficjalną aplikację. Warto też włączyć uwierzytelnianie dwuskładnikowe (2FA) dla konta – to prosty, ale skuteczny środek ochrony.

Ryzyko związane z modami

Modyfikacje (mody) są niesamowicie popularne. Pozwalają graczom dodawać nowe treści, postacie, mapy. Ale nie wszystkie są bezpieczne. Ponieważ mody tworzy społeczność, czasem anonimowo, nie zawsze wiesz, skąd naprawdę pochodzą.

Dobre źródło modów to podstawa bezpieczeństwa – korzystaj z zaufanych stron, sprawdzaj opinie, unikaj nieoficjalnych linków.

Psychologiczne i społecznościowe pułapki

Gry online to nie tylko kod – to społeczność. Ludzie grają razem, rozmawiają, wymieniają się treściami. To idealne środowisko dla oszustów. Fałszywe oferty turniejów, pracy jako gracz czy twórca – to wszystko może być maską do przekazywania złośliwych linków.

Przestępcy potrafią też wykorzystać komunikatory i media społecznościowe powiązane z grami, by zmanipulować graczy. Tworzą kampanie, które łączą technikę (złośliwe pliki) z socjotechniką (zaufanie społeczności).

Jak rozpoznać bezpieczne gry?

Granica między rozrywką a zagrożeniem zależy w dużej mierze od tego, jak ostrożne są nasze dzieci. Przekaż im kilka dobrych wskazówek:

Pobieraj gry tylko z oficjalnych platform – Steam, Epic Games, inne zaufane sklepy.
Przed aktualizacją upewnij się, że pochodzi od prawdziwego wydawcy – sprawdź komunikat, adres strony.
Unikaj podejrzanych wersji testowych – jeśli ktoś oferuje „ekskluzywny klucz”, sprawdź, czy to oficjalna propozycja.
Używaj uwierzytelniania dwuskładnikowego (2FA) na kontach – to znacznie zwiększa bezpieczeństwo.
Przy modach – sięgaj po modyfikacje z oficjalnych stron lub renomowanych społeczności, unikaj nieznanych źródeł.
Ucz dzieci krytycznego myślenia – tłumacz, że nie każdy link w grze lub na czacie jest bezpieczny.
Rozmawiaj z dzieckiem o cyberzagrożeniach i monitoruj, w jakie gry gra – zwłaszcza te nowe lub tanie wersje testowe.

W Polsce coraz więcej dzieci korzysta z internetu samodzielnie. Z badań podawanych przez PAP wynika, że 77 proc. dzieci w wieku 13–17 lat korzysta z sieci bez nadzoru rodziców. To oznacza, że ryzyko, które opisuje NASK, dotyczy wielu młodych użytkowników.

Instytut Cyfrowego Obywatelstwa podaje, że 58 proc. dzieci w wieku 7–12 lat aktywnie korzysta z serwisów społecznościowych i komunikatorów, mimo że oficjalnie są one przeznaczone dla osób od 13. roku życia.

Te liczby pokazują, że granica między bezpieczną zabawą a cyberzagrożeniem może być cienka a problem może dotykać wielu rodzin.

Twoja rola jako rodzica lub opiekuna

Jeśli jesteś rodzicem, opiekunem lub pracujesz w administracji (np. w szkole, bibliotece), masz wpływ. Możesz edukować dzieci i ich rodziny:

Organizuj warsztaty lub spotkania o cyberbezpieczeństwie – wyjaśnij, dlaczego nie każdy link w grze jest bezpieczny.
Wprowadź w szkole zasady dobrej higieny cyfrowej – zachęcaj do stosowania mocnych haseł, 2FA, świadomego pobierania gier.
Rozważ wspólne granie z dzieckiem – to okazja, żeby sprawdzić, skąd pobiera gry i jakie mody instaluje.
Udostępnij materiały edukacyjne – broszury, poradniki NASK, strony zaufanych instytucji.

Źródła:

bezpiecznymiesiac.pl; Gra czy pułapka? Gdzie kończy się zabawa, a zaczyna cyberzagrożenie.
pap.pl; Rośnie niepewność dzieci w sieci
cyfroweobywatelstwo.pl; Raport „‬Internet dzieci” jest już dostępny w języku angielskim

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Post Views: 50