Atak na Urząd Miasta w Wadowicach. Wysokie ryzyko kradzieży danych

Wadowicki urząd poinformował w komunikacie z 6 października br. o „incydencie cyberbezpieczeństwa”. Wszystko wskazuje na to, że był to atak ransomware, ponieważ doszło do zaszyfrowania plików oraz możliwej kradzieży danych. Warto odnotować, że placówka niezwłocznie poinformowała o zdarzeniu – zrobiła to dzień po ataku.

Wicepremier Krzysztof Gawkowski wielokrotnie powtarzał, że samorządy to „miękkie podbrzusze” cyberbezpieczeństwa. Ostatnie incydenty pokazują, że faktycznie tak jest – związane jest to m.in. z niewystarczającą liczbą osób do wykonywania wielu rozmaitych zadań, co na naszych łamach opisali eksperci z PIT Łukasiewicz.

Zakres danych

Urząd miasta wskazał, że przedmiotem ataku była infrastruktura IT, w tym „baza danych pracowników Urzędu Miejskiego w Wadowicach oraz bazy z informacjami dotyczącymi mieszkańców”. Stwierdzono możliwość nieuprawnionego dostępu do danych mieszkańców.

W komunikacie przekazano, że istnieje wysokie ryzyko kradzieży „przynajmniej części danych osobowych mieszkańców Gminy Wadowice” oraz ew. upublicznienia ich w Internecie – mowa zapewne o witrynach grup cyberprzestępców.

Obecnie nie wiemy, jaka grupa cyberprzestępców stoi za atakiem. Żadna ze znanych organizacji dotychczas nie dodała Urzędu w Wadowicach na swoją listę ofiar.

Nie pierwszy taki incydent

Na przestrzeni ostatnich trzech lat byliśmy świadkami kilku ataków na urzędy miast oraz gmin. Wśród zaatakowanych jednostek można wymienić m.in.:

• Urząd Miasta Zambrów (2022);
• Urząd Gminy w Sokołowie Podlaskim (2024);
• Urząd Miasta i Gminy Nowa Sarzyna (2025).

Wśród innych PUP-ów oraz starostw, które w ostatnim czasie padły ofiarami cyberprzestępców, znajdują się:

• Starostwo Powiatowe w Jędrzejowie (2024);
• Starostwo Powiatowe w Świebodzinie (2024);
• Starostwo Powiatowe w Piszu (2025);
• Powiatowy Urząd Pracy w Bartoszycach (2025).

Szczególnie groźny jest incydent w jędrzejowskim starostwie – po roku od ataku wciąż nie wiemy, czy cyberprzestępcy wykradli dane, co potwierdza kielecka prokuratura.

Realne skutki

Zdarzały się również ataki na jednostki samorządu terytorialnego, gdzie dochodziło do wycieków danych na stronach grup ransomware. Mowa tu o m.in.:

• Powiatowym Urzędzie Pracy w Policach (2024);
• Powiatowym Urzędzie Pracy w Żorach (2025).

W przypadku incydentu w żorskim starostwie doszło do upublicznienia m.in. 2 tys. plików będącymi odpowiedziami na zapytania Policji o udostępnienie danych dot. zarejestrowania jako bezrobotny.

Co dalej?

Niebezpiecznik rekomenduje założenie „najczarniejszego scenariusza” w kontekście ochrony swoich danych osobowych, czyli ujawnienia wszystkich danych o nas, jakie miał wadowicki Urząd.

„Zapewne będą to dane osobowe, a być może także szczegóły nieruchomości, wysokości podatków, treści wszelkich urzędowych pism i wniosków” – stwierdzono.

Wśród rekomendacji portal wymienił m.in.:

• zastrzeżenie numeru PESEL;
• przerywanie rozmów prowadzonych „w celu wymuszenia jakiegoś działania" lub podania dodatkowych danych.

Jeśli ktoś prosi nas telefonicznie o podjęcie jakiegoś działania – warto rozłączyć się z daną osobą i samodzielnie zadzwonić pod numer telefonu danej organizacji, nawet jeśli ktoś podaje nam nasze dane osobowe. Podobna sytuacja dotyczy komunikacji mailowej.