Polska zmaga się z rekordowym wzrostem incydentów – w 2024 roku odnotowano ponad 627 tys. zgłoszeń, o 60% więcej niż rok wcześniej, wynika z raportu Pełnomocnika Rządu ds. Cyberbezpieczeństwa. Związek Cyfrowa Polska alarmuje, że obecne prawo, w tym ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) z 2018 roku, jest nieadekwatne do dynamiki zagrożeń.
Polska jest jednym z najczęściej atakowanych krajów na świecie, z ponad 627 tys. zgłoszeń incydentów cyberbezpieczeństwa w 2024 roku, co oznacza wzrost o 60% rok do roku – wynika z raportu Pełnomocnika Rządu ds. Cyberbezpieczeństwa. Związek Cyfrowa Polska w swoim raporcie z 2023 roku podkreśla, że obecne prawo, w tym ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) z 2018 roku, nie nadąża za dynamiką cyberzagrożeń, takich jak ataki ransomware, phishing czy kampanie dezinformacyjne, szczególnie nasilone od czasu wojny w Ukrainie.
Branża proponuje pięć kluczowych postulatów: ujednolicenie prawa krajowego z unijnymi regulacjami (NIS2, DORA, CRA), szybsze i elastyczniejsze legislacje, wdrożenie modelu Zero Trust, obowiązkowe szkolenia z cyberhigieny oraz podejście Secure by Design dla producentów. Polska, jako kraj frontowy, jest szczególnie narażona na ataki sponsorowane przez Rosję i Białoruś, co wymaga pilnych działań. Brak spójnych regulacji i edukacji grozi paraliżem infrastruktury krytycznej, stratami ekonomicznymi i chaosem społecznym.
Polska na froncie cyberwojny
Polska jest jednym z najczęściej atakowanych krajów na świecie, drugim po USA według raportu NEO z 2024 roku. W 2024 roku odnotowano 627 tys. zgłoszeń incydentów cyberbezpieczeństwa, o 60% więcej niż w 2023 roku, kiedy zgłoszono 80 tys. incydentów – podaje Pełnomocnik Rządu ds. Cyberbezpieczeństwa. Ataki, głównie ze strony Rosji i Białorusi, mają charakter hybrydowy, łącząc cyberataki z dezinformacją, jak w przypadku fałszywych komunikatów w centrach handlowych w 2023 roku.
Wojna w Ukrainie nasiliła aktywność grup APT (Advanced Persistent Threat), które dążą do pozyskania informacji, zakłócenia infrastruktury krytycznej i siania chaosu informacyjnego. Przykładem jest atak na komunikację miejską w Olsztynie w 2023 roku czy zatrzymanie pociągów z powodu cyberataku na systemy kolejowe. Polska, jako kraj graniczący z Ukrainą, jest strategicznym celem dla wrogich państw.
58% polskich firm odnotowało w 2022 roku incydent cyberbezpieczeństwa, a w 2024 roku skala ta wzrosła, szczególnie w sektorach krytycznych, takich jak transport i zdrowie. Rosnąca liczba ataków wymaga natychmiastowych działań, w tym modernizacji prawa i zwiększenia świadomości.
Fragmentaryczne i spóźnione przepisy
Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) z 2018 roku jest nieadekwatna do obecnych zagrożeń, które ewoluowały wraz z cyfryzacją i wojną w Ukrainie. Polska spóźnia się z wdrożeniem unijnych regulacji, takich jak dyrektywa NIS2, rozporządzenie DORA i Cyber Resilience Act (CRA), co powoduje chaos legislacyjny. NIS2, przyjęta w 2022 roku, rozszerza obowiązki cyberbezpieczeństwa na więcej sektorów i wymaga samoidentyfikacji podmiotów kluczowych, ale Polska nie przyjęła jeszcze nowelizacji KSC, planowanej na połowę 2025 roku. DORA, obowiązująca od stycznia 2025 roku, nakłada na sektor finansowy rygorystyczne wymagania, ale brak harmonizacji z KSC rodzi sprzeczności. CRA, regulująca bezpieczeństwo produktów cyfrowych, wymaga od producentów podejścia Secure by Design, ale Polska nie wdrożyła jeszcze odpowiednich przepisów.
Postulat pierwszy – ujednolicenie prawa
Związek Cyfrowa Polska podkreśla, że spójne regulacje krajowe i unijne są fundamentem cyberodporności. Ujednolicenie prawa, w tym pełne wdrożenie NIS2, DORA i CRA, zapewni przewidywalność dla firm, ułatwi compliance i wzmocni ochronę infrastruktury krytycznej, takiej jak energetyka czy transport.
Korzyści to m.in. zmniejszenie ryzyka niezgodności, które obecnie kosztuje firmy średnio 4,88 mln USD za incydent, oraz lepsza koordynacja między sektorami publicznym i prywatnym. Spójne prawo umożliwi też efektywną wymianę informacji o zagrożeniach, jak wymaga NIS2.
Wyzwaniem jest zróżnicowana interpretacja regulacji w krajach UE. Polska proponuje restrykcyjny model, obejmujący wszystkie 18 sektorów NIS2 i możliwość wycofania sprzętu od dostawców wysokiego ryzyka, co odróżnia ją od mniej rygorystycznych podejść, np. w Niemczech.
Postulat drugi – szybsze i elastyczniejsze prawo
Dynamika cyberzagrożeń, takich jak ataki ransomware czy APT, wymaga szybszych i bardziej elastycznych regulacji. Obecne tempo legislacji w Polsce, np. opóźnienie wdrożenia NIS2, nie nadąża za hakerami, którzy szybko adaptują techniki.
Związek Cyfrowa Polska proponuje szybkie ścieżki legislacyjne, konsultacje z ekspertami i sandboxy regulacyjne, umożliwiające testowanie nowych przepisów w kontrolowanych warunkach. Przykładem jest Holandia, gdzie takie podejście pozwoliło na szybkie dostosowanie prawa do nowych zagrożeń, np. ataków na łańcuchy dostaw.
Polska mogłaby wdrożyć podobne rozwiązania, np. przyspieszyć nowelizację KSC, angażując sektor prywatny w konsultacje. Brak elastyczności grozi dalszym opóźnieniem, co osłabia cyberodporność kraju.
Rząd planuje przyjęcie nowej Strategii Cyberbezpieczeństwa na lata 2025–2029, co może być szansą na wprowadzenie bardziej dynamicznych procedur, ale wymaga to realnego zaangażowania i finansowania.
Postulat trzeci – Zero Trust jako standard
Model Zero Trust, zakładający brak automatycznego zaufania nawet wewnątrz organizacji, jest kluczowy dla ochrony przed atakami wewnętrznymi i zewnętrznymi. Polega na stałej weryfikacji tożsamości, monitorowaniu aktywności i segmentacji dostępu. Wdrożenie Zero Trust może zmniejszyć ryzyko ataków, takich jak phishing, który w 2023 roku odpowiadał za 30% incydentów w Polsce. Kluczowe elementy to uwierzytelnianie wieloskładnikowe (MFA), szyfrowanie danych i ograniczenie uprawnień pracowników.
Przykładem skuteczności jest sektor finansowy, gdzie banki stosujące Zero Trust ograniczyły straty z ransomware o 40%. W Polsce tylko 23% firm zwiększyło budżety na cyberbezpieczeństwo w 2021 roku, co wskazuje na potrzebę szerszego wdrożenia takich standardów.
Postulat czwarty – obowiązkowe szkolenia
Niski poziom cyberhigieny w administracji i biznesie to jedno z największych zagrożeń. 52% pracowników w Polsce w ciągu ostatnich pięciu lat nie przeszło żadnego szkolenia z cyberbezpieczeństwa, a tylko 48% wie, jak reagować na atak.
Związek Cyfrowa Polska postuluje obowiązkowe szkolenia dla urzędników i pracowników sektorów krytycznych, obejmujące rozpoznawanie phishingu, aktualizacje oprogramowania i zarządzanie hasłami. Przykładem zagrożenia jest korzystanie przez urzędy z publicznych skrzynek mailowych, co ułatwia wyciek danych.
W Niemczech szkolenia dla administracji zmniejszyły incydenty o 25% w latach 2020–2023. Polska mogłaby wprowadzić podobne programy, np. w ramach nowej Strategii Cyberbezpieczeństwa, obejmujące także sektor MŚP. Brak wiedzy pracowników to najsłabsze ogniwo – w 2022 roku 58% firm odnotowało incydenty z powodu błędów ludzkich. Obowiązkowe szkolenia to tani sposób na zwiększenie odporności.
Postulat piąty – Secure by Design
Podejście Secure by Design zakłada wbudowanie bezpieczeństwa w produkty cyfrowe już na etapie projektowania. Związek Cyfrowa Polska podkreśla, że wiele urządzeń, takich jak smartfony czy drukarki, trafia na rynek z lukami, które hakerzy wykorzystują.
CRA, unijny akt regulujący bezpieczeństwo produktów cyfrowych, wymaga od producentów zapewnienia ochrony przed cyberatakami. Polska powinna przyspieszyć jego wdrożenie, by zmusić producentów do stosowania Secure by Design.
Przykładem problemu jest atak na komunikację miejską w Olsztynie w 2023 roku, gdzie niezabezpieczone urządzenia IoT umożliwiły włamanie. Secure by Design mogłoby zapobiec takim incydentom, minimalizując luki w oprogramowaniu.
Wdrożenie tego standardu wymaga współpracy z producentami i inwestycji w certyfikację, ale zwiększy bezpieczeństwo urządzeń końcowych, kluczowych dla administracji i konsumentów.
Rekomendacje dla użytkowników indywidualnych
Użytkownicy indywidualni są kluczowym elementem cyberodporności. Związek Cyfrowa Polska zaleca stosowanie Mobile Threat Defense (MTD), VPN, uwierzytelniania wieloskładnikowego (MFA) i regularnych aktualizacji oprogramowania.
CERT Polska odnotowało w 2023 roku 102 tys. zgłoszeń podejrzanych SMS-ów, często zawierających phishingowe linki. Numer 8080, wprowadzony przez Ministerstwo Cyfryzacji, pozwala zgłaszać takie wiadomości, ale tylko 20% Polaków wie o tej możliwości.Edukacja użytkowników, np. poprzez kampanie w mediach społecznościowych, to najtańszy sposób na zmniejszenie ryzyka. Przykładem jest Finlandia, gdzie kampanie o cyberhigienie zmniejszyły ataki phishingowe o 30% w latach 2019–2023.
Luki w polskim systemie cyberbezpieczeństwa
Polski system cyberbezpieczeństwa boryka się z poważnymi lukami. Urzędy często korzystają z publicznych skrzynek mailowych, takich jak Gmail, co ułatwia ataki phishingowe i wycieki danych. Brak jednolitych procedur reagowania na incydenty w instytucjach publicznych prowadzi do opóźnień w odpowiedzi na ataki. Umowy IT w administracji rzadko zawierają klauzule bezpieczeństwa, co zwiększa ryzyko naruszeń. W 2023 roku 58% firm odnotowało incydenty z powodu błędów pracowników, a brak audytów bezpieczeństwa w urzędach pogłębia problem.
Sektor zdrowia jest szczególnie narażony – aplikacje gabinetowe często nie stosują MFA, a lekarze mają niską świadomość cyberzagrożeń. Brak wykwalifikowanej kadry, szczególnie w samorządach, dodatkowo osłabia system. Rozwiązaniem jest wprowadzenie obowiązkowych audytów, standaryzacja procedur i inwestycje w kadry.
Konsekwencje braku działania
Brak skutecznych działań w cyberbezpieczeństwie grozi poważnymi konsekwencjami. Politycznie oznacza to utratę zaufania obywateli i sojuszników, szczególnie w kontekście roli Polski jako kraju frontowego w NATO.
Ekonomicznie, średni koszt incydentu w 2025 roku może wynieść 4,88 mln USD, a globalne straty z cyberprzestępczości osiągną 10,5 bln USD. W Polsce 58% firm odnotowało incydenty w 2022 roku, co utrudnia inwestycje i paraliżuje usługi.
Społecznie, ataki dezinformacyjne, jak te z 2023 roku w centrach handlowych, pogłębiają chaos informacyjny i polaryzację. Brak ochrony danych osobowych, np. w sektorze zdrowia, naraża obywateli na kradzież tożsamości.
Nowelizacja KSC – krok w dobrą stronę?
Projekt nowelizacji ustawy o KSC, dostosowujący prawo do dyrektywy NIS2, wprowadza samoidentyfikację podmiotów kluczowych, obowiązek audytów co dwa lata i kary dla zarządów za niewdrożenie zabezpieczeń. Planowane przyjęcie w połowie 2025 roku to krok w dobrą stronę, ale opóźnienie budzi obawy.
Nowelizacja zwiększy liczbę podmiotów objętych KSC z 400 do 40 tys., co wymaga ogromnych nakładów na infrastrukturę i kadry. Brak harmonizacji z DORA i CRA może jednak powodować sprzeczności, np. w sektorze finansowym.
Potrzebne są praktyczne rozwiązania, takie jak ulgi na inwestycje w cyberbezpieczeństwo i programy wsparcia dla MŚP, jak proponuje Związek Cyfrowa Polska. Bez szybkiego wdrożenia nowelizacja może być niewystarczająca wobec rosnących zagrożeń.
Polska a Unia Europejska
Polska, jako kraj frontowy, jest „testowym poligonem” dla cyberataków, co daje jej szansę na liderowanie w tworzeniu standardów bezpieczeństwa w UE. Dyrektywy NIS2, DORA i CRA nakładają na kraje członkowskie nowe obowiązki, ale Polska pozostaje w tyle z ich wdrożeniem. NIS2 wymaga od państw wymiany informacji o zagrożeniach, co Polska może realizować przez ISAC (Information Sharing and Analysis Centers). DORA, obowiązująca od stycznia 2025 roku, wzmacnia sektor finansowy, ale brak harmonizacji z KSC komplikuje compliance. CRA promuje Secure by Design, co może być szansą dla polskich producentów.
Polska może testować innowacyjne rozwiązania, np. AI do wykrywania incydentów, i dzielić się doświadczeniem z UE. Wzmocnienie współpracy z NATO i UE, np. przez wspólne ćwiczenia, jak Cyber-EXE Polska 2024, zwiększy jej pozycję.
