Polskie samorządy pod presją ataków. Zidentyfikowano jedną z grup

14 kwietnia br. do Sejmu wpłynęła interpelacja nr 16581 do ministra cyfryzacji, poświęcona cyberbezpieczeństwu polskich samorządów, złożona przez posłankę Urszulę Pasławską (PSL). W dokumencie wyróżniono dwa cyberataki na jednostki samorządu terytorialnego, którego ofiarami były Urząd Miasta w Myszkowie oraz Urząd Gminy Obrazów.

„Raport NIK z kwietnia 2025 r. wskazał, że aż 71 proc. jednostek samorządu terytorialnego wykazywało krytyczne luki w systemach bezpieczeństwa, takie jak na przykład brak izolowanych kopii zapasowych albo brak centralnego systemu zarządzania bezpieczeństwem informacji. Pomimo eskalacji zagrożeń sytuacja w wielu miejscach nie uległa istotnej poprawie” – stwierdziła Pasławska, powołując się na raport Najwyższej Izby Kontroli, którego medialne omówienie zatytułowano: „Cyberbezpieczeństwo w samorządach kuleje”.

Posłanka zapytała ministra cyfryzacji m.in. o wsparcie udzielone urzędom w Myszkowie i Obrazowie, prowadzenie oceny przygotowania jednostek samorządu terytorialnego (JST) do ataków ransomware oraz dofinansowania na poprawę poziomu cyberbezpieczeństwa.

Cyberataki na dwa polskie urzędy

W przypadku ataków ransomware na UM Myszków i UG Obrazów wiemy, że CSIRT NASK przeprowadził telekonferencje z administratorami podmiotów.

„Po telekonferencjach zostały do podmiotów przesłane informacje dotyczące potrzebnych do przeprowadzenia analizy powłamaniowej zasobów (takich jak logi, pliki, czy obrazy maszyn wirtualnych)” – czytamy w dokumencie sygnowanym przez wiceministra cyfryzacji Pawła Olszewskiego.

Urzędy przekazały CSIRT-owi wszelkie potrzebne informacje, które były wówczas dla nich dostępne. NASK przekazał z kolei jednostkom raporty powłamaniowe, oferował wsparcie w zakresie pozyskania potrzebnych logów (zapisów „dziennika zdarzeń”) oraz bezpiecznego odtwarzania infrastruktury.

Warto również podkreślić aspekt informowania o incydencie. Zespół Komunikacji Strategicznej Cyberbezpieczeństwa NASK wspierał zaatakowane podmioty w komunikacji zewnętrznej – jest to słuszne podejście, ponieważ każdy z nas zasługuje na rzetelne informacje o cyberatakach, które mogą powodować naruszenie ochrony naszych danych osobowych lub przerwy w świadczeniu usług przez urząd.

Przykładem tego, co nie warto robić pod kątem informowania o incydentach, może być atak ransomware na Starostwo Powiatowe w Świebodzinie. Początkowo informowano o „awarii systemu teleinformatycznego”, zaś cyberatak potwierdzono dopiero po 10 dniach (oraz 31 godzin po „pochwaleniu się” atakiem przez grupę cyberprzestępców).

Odszyfrowanie danych po ataku

Bardzo ciekawe są wzmianki o zidentyfikowaniu grupy ransomware oraz odszyfrowaniu danych. W odpowiedzi na interpelację czytamy:

W ataku na Urząd Miasta Myszków zostało wykorzystane oprogramowanie ransomware Gunra. CSIRT NASK wszedł w posiadanie dekryptora tego oprogramowania. Po weryfikacji poprawności jego działania, dekryptor został przekazany administratorom w celu odszyfrowania danych.
Wiceminister cyfryzacji Paweł Olszewski

Jest to bardzo interesujący zapis, ponieważ rzadko słyszymy informacje o konkretnych grupach ransomware w przypadku takich incydentów (chyba, że owa grupa sama postanowi „pochwalić się” atakiem). W odpowiedziach na zapytania prasowe tego typu informacje często bywają pomijane, zaś art. 37 ust. 1 pkt 1 UoKSC wyłącza informacje o „podatnościach, incydentach i cyberzagrożeniach oraz o ryzyku wystąpienia incydentów” z przepisów dotyczących dostępu do informacji publicznej.

Samo odszyfrowanie danych po ataku ransomware jest dość wyjątkowe – przy wielu atakach ransomware takie działanie jest niemożliwe, dlatego zazwyczaj dane są odzyskiwane z kopii zapasowych. Co prawda zdarzają się przypadki odszyfrowania danych - np. w Urzędzie Gminy Kościerzyna w 2019 roku - lecz nie są one codzinenością.

Ciekawy jest fakt posiadania dekryptora przez CSIRT NASK do ransomware Gunra. W sieci dostępny jest rzekomy dekryptor wyłącznie na dystrybucje Linuksa.

Wiemy także, że w przypadku Gminy Obrazów odszyfrowanie danych nie było możliwe.

Gotowość jednostek i środki finansowe

Olszewski wskazał, że poziom cyberbezpieczeństwa JST był przedmiotem badania w ramach programu „Cyberbezpieczny samorząd”.

„(…) obecnie dla zwiększenia przygotowania JST do przeciwdziałania atakom typu ransomware (oraz innym cyberzagrożeniom) kluczowe znaczenie będzie mieć realizacja przez JST zadań wynikających z nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (ustawa o KSC), która weszła w życie w dniu 3 kwietnia 2026 r. Zgodnie z nowymi przepisami podmioty publiczne zaliczają się obecnie do podmiotów kluczowych lub podmiotów ważnych (w tym JST) w rozumieniu tejże ustawy” – zaznaczono w odpowiedzi na interpelację.

Sekretarz stanu podkreślił też przeznaczenie prawie 1,5 mld złotych na program „Cyberbezpieczny samorząd” oraz 760 mln złotych na „Cyberbezpieczne wodociągi”.

Lokalne Centra Cyberbezpieczeństwa

Wiceminister zapowiedział uruchomienie „jeszcze w bieżącym roku” naboru wniosków w ramach projektu utworzenia lub rozbudowy Lokalnych Centrów Cyberbezpieczeństwa (LLC). Na ten cel ma być przeznaczone 270 mln złotych.

Centra mogą odpowiadać za m.in.:

• wspólne zakupy sprzętu, usług czy licencji IT;
• reagowanie na incydenty;
• ciągłe monitrowanie systemów;
• przeprowadzanie audytów bezpieczeństwa systemów operacyjnych (co najmniej raz na 3 lata).

Cyberataki na samorządy

Bardzo ważną perspektywą podzielił się z nami Włodzimierz Woźniak z PIT Łukasiewicz, odnosząc się do największych bolączek sektora wodno-kanalizacyjnego:

Weźmy dla przykładu przeciętne średnie miasto. Tam jest jeden informatyk obsługujący cztery lokalizacje, odpowiadający za m.in. drukarki, komputery, cztery SCADA (system monitorowania i kontroli procesów przemysłowych – przyp. red.), sterowniki PLC, sieć, monitoring, zapewnianie dostępów zdalnych... O jakim cyberbezpieczeństwie mówimy, jak on jest pochłonięty przez te normalne, bieżące zagadnienia? To jest jeden człowiek.
Włodzimierz Woźniak, PIT Łukasiewicz

Na przestrzeni ostatnich dwóch lat byliśmy świadkami wielu ataków ransomware na najniższym szczeblu polskich samorządów. Mowa m.in. o poniższych jednostkach:

• urzędy gminy: Sokołów Podlaski (2024), Obrazów (2026), Lewin Kłodzki (2026);
• urząd miasta i gminy: Nowa Sarzyna (2025);
• urzędy miasta: Wadowice (2025), Myszków (2026).