Nie ma polskich organizacji „zbyt małych na cyberatak”

„71 proc. małych firm uważa, że ryzyko cyberataku na nie jest niskie” – czytamy w artykule opisującym badania Mastercard dotyczące cyberbezpieczeństwa w polskich firmach.

W pełni zrozumiałe jest to, że nagłówki artykułów raczej poświęcone są incydentom wśród większych organizacji, lecz nie możemy pomijać tego, że te mniejsze również mogą paść ofiarą ataku.

Cyberbezpieczeństwo w przypadku mniejszych organizacji nie powinno służyć jako „straszak” czy być jedynie pretekstem do wdrożenia nowego rozwiązania komercyjnego, którego mechanika nie będzie zrozumiana przez nikogo w organizacji. Należy pamiętać o tym, że cyberbezpieczeństwo nie kończy się na zakupie „pudełka z migającymi diodami” czy zainstalowaniu jednego programu – nic nie gwarantuje nam stuprocentowej ochrony od każdego rodzaju zagrożeń.

Jednocześnie incydenty wśród mniejszych organizacji pokazują, że dzięki zastosowaniu prostych praktyk możemy znacznie ograniczyć ryzyko udanych cyberataków.

Portal hobbystów czy gabinety medyczne

„Nasze forum jest inicjatywą niekomercyjną i hobbystyczną od samego początku skupiając osoby zainteresowane fotografią i modelingiem” – czytamy na ostatnim archiwalnym zrzucie strony megamodels.pl z września 2025 roku. W lutym 2024 r. wyciekły dane użytkowników tego portalu, co opisaliśmy na naszym portalu.

W witrynie bezpiecznedane.gov.pl możemy przeczytać, że szacowana liczba realnych użytkowników wynosi 40 tysięcy kont. Incydent pokazuje, że nawet portale prowadzone hobbystycznie mogą być na celowniku cyberprzestępców.

W ubiegłym roku mieliśmy również dwa ważne incydenty wśród jednoosobowych działalności gospodarczych z sektora medycznego.

W czerwcu jedna z pracowni patomorfologii i cytologii informowała o „włamaniu hakerskim”, skutkującym zaszyfrowaniem plików zawierających m.in. wyniki badań pacjentów. Wystąpiło też żądanie okupu, co wskazuje na atak ransomware. Kilkanaście dni później przekazano, że „nie potwierdzono naruszenia danych osobowych pacjentów”.

W listopadzie 2025 roku informowaliśmy o ataku na polską lekarkę, który umożliwił m.in. wystawianie fałszywych recept na „narkotyczne leki przeciwbólowe”. Wiele wskazuje na to, że dostęp do konta był możliwy przez wyłudzenie danych w ramach phishingu.

Kilka miesięcy wcześniej CSIRT CeZ alarmował o kampanii SMS-owej, gdzie podszywano się pod oprogramowanie do obsługi gabinetów lekarskich (z którego korzystała zaatakowana praktyka lekarska).

Podobne próby wyłudzenia danych logowania opisano na łamach Niebezpiecznika, kilkanaście dni po ataku na polską lekarkę – wykazano przy tym, że złośliwa strona działała wyłącznie na urządzeniach mobilnych.

Ransomware w mniejszych organizacjach

Warto również podkreślić, że mniejsze organizacje w naszym kraju również padają ofiarami ataków ransomware. Przykładem mogą być m.in.:

• Miejsko-Gminny Ośrodek Pomocy Społecznej w Sędziszowie Małopolskim (maj 2024, LockBit);
• Okręgowa Izba Pielęgniarek i Położnych w Gdańsku (wrzesień 2024, RansomHub);
• powiatowe urzędy pracy (Police, Żory, Bartoszyce).

Włamania na mailem chlebem powszednim

Od 2025 roku byliśmy świadkami wielu włamań na skrzynki e-mailowe. Warto pamiętać o tym, że załączniki zawierające dane osobowe powinny być szyfrowane, zaś hasło powinno być przesyłane innym kanałem komunikacji (np. SMS-em).

Wśród mniejszych organizacji, które informowały o takich incydentach w ciągu ostatnich trzynastu miesięcy, były m.in.:

• Zakład Gospodarki Komunalnej w Gorzycach (marzec 2025);
• Gminny Ośrodek Pomocy Społecznej w Fredropolu (wrzesień 2025);
• Gmina Ochotnica Dolna (incydent dotyczy skrzynki Szkoły Podstawowej im. Ks. Prof. J. Tischnera działającej na gminnych serwerach, styczeń 2026);
• Szkoła Podstawowa nr 58 w Katowicach (luty 2026);
• Zespół Szkolno-Przedszkolny im. Marii Skłodowskiej-Curie w Ruścu (marzec 2026).

Włamanie na skrzynkę mailową wiąże się z mniejszymi skutkami dla organizacji niż atak ransomware, lecz widzimy, że małe organizacje również pozostają w orbicie zainteresowań cyberprzestępców.

Przeciwdziałanie

Cyberbezpieczeństwo nie musi być drogie. Pamiętajmy o rozwiązaniach otwartoźródłowych, takich jak m.in. Wazuh, Suricata, Snort, Zabbix, OpenSearch, OpenVAS czy Shuffle. Monitorowanie sieci nie musi wymagać od nas drogich licencji.

W celu ochrony przed nieuprawnionym dostępem do kont powinniśmy zadbać o dwuetapowe uwierzytelnianie. Dzięki temu wejście w posiadanie naszego loginu i hasła nie umożliwia cyberprzestępcom włamania się do naszego konta, co opisaliśmy na naszych łamach.

Wśród rekomendacji należy również wymienić:

• aktualizowanie oprogramowania (nie tylko systemu operacyjnego);
• wykonywanie kopii zapasowych, które są możliwe do odtworzenia (wraz z cyklicznym testowaniem);
• ostrożność wobec komunikatów o konieczności pilnego działania (często będą to próby oszustwa);
• nadawanie najniższych wymaganych uprawnień;
• określenie procedur reagowania na incydenty (z uwzględnieniem "ludzkiego podejścia" do zgłoszeń wszelkich niepożądanych zdarzeń);
• stosowanie menedżerów haseł.