Polskie małe i średnie firmy na celowniku cyberprzestępców

Niedawno byliśmy świadkami poważnego cyberataku na Uniwersytet Warszawski, gdzie do sieci wyciekło wiele plików zawierających dane osobowe studentów. Incydent szerzej opisaliśmy na naszych łamach, wskazując zakres naruszenia w oparciu o upublicznione dokumenty.

Nie sposób nie wspomnieć o cyberatakach na sektor medyczny – w marcu br. ofiarami ataków ransomware (skutkującymi zaszyfrowaniem danych oraz zazwyczaj uprzednią kradzieżą plików) były aż cztery placówki ochrony zdrowia. Kilka dni temu dowiedzieliśmy się o nieuprawnionym dostępie do danych pacjentów Wielkopolskiego Centrum Medycznego.

W styczniu opisywaliśmy ataki ransomware na trzy polskie firmy. Pragniemy opisać przypadek trzech kolejnych przedsiębiorstw – tym razem z sektora MŚP, aby podkreślić znaczenie cyberbezpieczeństwa również w mniejszych podmiotach.

Polskie małe i średnie firmy na celowniku

Pod koniec 2025 roku firma POL-HUN została wylistowana przez jedną grupę ransomware jako ofiara ataku. Udało się nam również potwierdzić, że doszło do publikacji danych w darknecie.

Firma w komunikacie poinformowała, że 26 listopada 2025 roku miał miejsce nieuprawniony dostęp do sieci informatycznej spółki. 8 stycznia br. potwierdzono, że wykradziono dane z dysku sieciowego, gromadzącego dane ze skanera. Prezes UODO został zawiadomiony o zdarzeniu.

Niestety zakres naruszenia jest dość znaczny. Obejmuje m.in. poniższe kategorie danych:

• imię i nazwisko;
• adres zamieszkania bądź korespondencyjny;
• numer PESEL;
• data urodzenia;
• dane kontaktowe (nr telefonu, e-mail);
• informacje o stanie zdrowia.

Cyberataki bez wycieków

W maju br. jedna z grup cyberprzestępców wylistowała dwie polskie organizacje: Devco oraz Digiprint. Nie upubliczniono żadnych plików – zawarto jednak ofertę sprzedaży danych, niemożliwą do niezależnej weryfikacji bez kontaktu z grupą.

Firma Devco, odpowiedzialna za Wrocławskie Parki Biznesu, opublikowała komunikat pięć dni po wylistowaniu przez cyberprzestępców. „W dniu 8 maja 2026 r. otrzymaliśmy informację od CERT Polska o możliwym cyberataku na infrastrukturę informatyczną naszej Spółki (Devco Sp. z o.o.). Następnie  informację tą przekazało nam Centralne Biuro Zwalczania Cyberprzestępczości. Obecnie prowadzimy szczegółową analizę zakresu oraz skutków incydentu. Na tym etapie istnieje wysokie ryzyko, że doszło do nieuprawnionego dostępu do danych osobowych przetwarzanych przez Spółkę” – czytamy w zawiadomieniu.

W momencie opublikowania komunikatu spółka nie była w stanie jednoznacznie określić zakresu danych, który mógł ulec naruszeniu ochrony. „W związku z tym przyjmujemy, że potencjalnie mogły zostać objęte nim wszystkie dane znajdujące się na zaatakowanym serwerze” – słusznie założyła firma. Podkreślono przy tym, że:

• incydent nie dotyczy poczty elektronicznej;
• działalność operacyjna spółki nie została zakłócona;
• zachowano dostęp do zasobów;
• firma posiada aktualne kopie danych.

Trzeci incydent

14 lub 15 maja br. ta sama grupa cyberprzestępców wylistowała Digiprint na swojej liście zaatakowanych organizacji.

8 maja firma opublikowała komunikat w sprawie incydentu. „Mogło dojść do pobrania danych z zasobów sieciowych, do których miały dostęp osoby pracujące na serwerze pulpitów. (…) Do ataku zostało wykorzystane złośliwe oprogramowanie typu ransomware” – stwierdzono w zawiadomieniu, podkreślając, że najprawdopodobniej cyberprzestępcy przejęli część danych użytkowników.

Doszło również do zaszyfrowania danych na serwerach, lecz na szczęście firmie udało się je odtworzyć z backupów, które miały być utworzone tuż przed atakiem. Do incydentu miało dojść 21 kwietnia (wtorek) w okolicach godziny 23:00.

W wyniku ataku doszło do zakłócenia funkcjonowania kluczowych dla naszych firm systemów (poczta elektroniczna, system ERP, strona internetowa), do których dostęp został już odblokowany.
Digiprint

Osoby nieuprawnione mogły uzyskać dostęp do 48 GB danych. Jednocześnie zakres danych osobowych, który uległ naruszeniu ochrony prawdopodobnie jest dość wąski – najpoważniejsza wydaje się potencjalna kradzież numerów PESEL byłych i obecnych pracowników firmy.

Firma instalowała „oprogramowanie antywirusowe z EDR”, resetuje loginy i hasła oraz rozważała wdrożenie systemu SOC. O zdarzeniu poinformowano zarówno Prezesa UODO oraz dotknięte osoby.

Dlaczego to ważne?

Opisane wyżej trzy przypadki komunikatów o incydentach to przykłady przejrzystej komunikacji po incydencie. Jest to ważne, ponieważ w przypadku niektórych cyberataków (skutkującymi wyciekami danych) zupełnie nie wiadomo, czy poinformowano o tym osoby – mowa m.in. o prawdopodobnym wycieku z sieci restauracji czy porównywarki dostawców internetu.

Widzimy, że polski sektor MŚP również jest narażony na cyberataki. W tym przypadku warto pamiętać o darmowych lub niskokosztowych zabezpieczeniach oraz dobrych praktykach, takich jak m.in.:

• cykliczne weryfikowanie uprawnień kont;
• monitorowanie sieci w oparciu o otwartoźródłowe rozwiązania (np. Wazuh);
•  aktualizowanie (wszelkiego możliwego) oprogramowania;
•  tworzenie kopii zapasowych (wraz z weryfikowaniem odtwarzania);
•  korzystanie z menedżerów haseł;
•  segmentacja sieci (np. w oparciu o VLAN-y);
•  szyfrowanie partycji (w oparciu o np. windowsowego Bitlockera czy VeraCrypt);
• „ludzkie podejście" do zgłoszeń o ew. incydentach.

Niezależnie od tego, czy nasze dane uległy naruszeniu ochrony, warto stosować się do poniższych zaleceń:

• zastrzeżenie numer PESEL;
• stosowanie dwuetapowego uwierzytelniania;
• korzystanie z unikalnych i odpowiednio złożonych haseł;
• ostrożność wobec niezapowiedzianych prób kontaktu z nami.

Wszelką podejrzaną aktywność powinniśmy zgłaszać do CERT Polska.

W styczniu br. swoją perspektywą na odpowiedzialne komunikowanie incydentów podzielili się z nami: NASK, ABW i CBZC, Adam Haertle i Andrzej Piotrowski.