WydarzeniaCyberbezpieczeństwoRynek
30 lat polskich cyber-sił – nowe fakty i wnioski z ostatnich ataków
CERT Polska obchodzi 30-lecie: od 12 incydentów rocznie do 260 tysięcy w 2025 roku. „Jesteśmy na hybrydowej cyberwojnie. Polska jest najbardziej atakowanym krajem w Europie” – mówi wicepremier i minister cyfryzacji Krzysztof Gawkowski, ale jak dodaje, dzięki naszym cyberkompetencjom również jedynym zaproszonym do centrali NSA (National Security Agency) w Stanach Zjednoczonych.
Dokładnie 30 lat temu, 11 marca 1996 roku, w NASK powstał pierwszy w Polsce zespół reagowania na incydenty bezpieczeństwa komputerowego – CERT Polska. Zaczynał od trzech osób i 12 incydentów rocznie. Dziś to ponad 100 ekspertów, którzy w 2025 roku obsłużyli ponad 260 tysięcy zgłoszeń – średnio 30 incydentów na godzinę, a rok do roku odnotowując wzrost o ponad 150%.
„Cyberbezpieczeństwo stało się kluczowym filarem bezpieczeństwa państwa. Nikt nie ma dziś złudzeń, jesteśmy na hybrydowej cyberwojnie, a Polska jest najbardziej atakowanym krajem w Europie. Musimy każdego dnia bronić Polek i Polaków w cyberprzestrzeni” – podkreślił Krzysztof Gawkowski podczas konferencji prasowej z okazji jubileuszu CERT Polska.
Najbardziej spektakularnym przykładem skali zagrożenia był atak z 29 grudnia 2025 roku na polską infrastrukturę energetyczną. Grupy powiązane z rosyjskim GRU (m.in. Sandworm/Static Tundra) uderzyły w dziesiątki farm wiatrowych, fotowoltaicznych i elektrociepłownię ogrzewającą prawie pół miliona osób. Użyto wiperów – oprogramowania niszczącego dane – w systemach automatyki przemysłowej (ICS/OT). Celem nie był okup, lecz sabotaż i wyniszczenie. Polska była „o krok” od blackoutów w szczycie sezonu grzewczego.
Redakcja ITwiz zapytała wicepremiera bezpośrednio o wnioski z tego incydentu: czy jesteśmy gotowi na nową fazę wojny – wojnę na wyniszczenie, i czy planowane są zmiany w prawie?
„Modus operandi rosyjskich służb, w tym GRU i powiązanych grup, zmienił się już wcześniej – to nie jest dla nas nowość” – odpowiedział Krzysztof Gawkowski. „Obroniliśmy się przed pierwszym takim atakiem w Europie, o którym napisały wszystkie służby świata, w tym amerykańskie. Skomentowały, że Polska dokonała de facto cudu. Mamy bardzo bliską współpracę z Dowództwem Komponentu Wojsk Obrony Cyberprzestrzeni i innymi służbami – ręka w rękę, codziennie wymieniamy informacje” – dodał.
Na nasze pytanie o ewentualne zdolności ofensywne minister cyfryzacji był jednoznaczny: „Mamy siły i środki, aby reagować w każdym miejscu i jesteśmy gotowi podejmować takie decyzje. Na razie z tych możliwości nie korzystamy, ponieważ w interesie Polski i NATO nie leży eskalacja. Jeśli jednak doszłoby do przesilenia, wszyscy odpowiedzialni za takie ataki muszą mieć świadomość, że dysponujemy zasobami pozwalającymi na zdecydowaną odpowiedź”.
Krzysztof Gawkowski ujawnił też informację, o której rzadko się mówi: kierownictwo NASK było jedyną delegacją z Unii Europejskiej zaproszoną do centrali NSA, w tym do sali operacyjnej – oznacza to poziom współpracy, którego nie osiągnął żaden inny kraj UE.
Sukcesy, które ratują miliony
Jednym z najbardziej widocznych narzędzi CERT Polska jest Lista Ostrzeżeń – publiczny rejestr złośliwych domen. Od 2020 roku wpisano na nią ponad pół miliona witryn (w tym ponad 250–260 tys. w samym 2025 roku – ok. 685 dziennie). Tylko w ubiegłym roku zablokowano dzięki niej 140 milionów prób wejścia na strony podszywające się pod banki, kurierów czy Profil Zaufany.
„Gdyby skorelować te 200 tysięcy zablokowanych domen z 140 milionami prób, oznaczałoby to, że uratowaliśmy od kradzieży i wyłudzeń ponad 10 milionów Polek i Polaków” – mówił Krzysztof Gawkowski.
Z kolei Artemis – skaner podatności stworzony w CERT Polska i udostępniony jako open source – przeskanował już 3,5 miliona domen, subdomen i adresów IP, wykrywając setki tysięcy podatności, w tym dziesiątki tysięcy krytycznych. Wyniki te trafiają bezpośrednio do administratorów.
Z narzędzi moje.cert.pl korzysta już blisko 17 tysięcy użytkowników monitorujących ponad 20 tysięcy stron. System wykrył wyciek ponad 5,3 miliona haseł i blisko 600 tysięcy podatności.
Dodatkowo od 2024 roku ostrzeżenia trafiają także poprzez powiadomienia push w mObywatelu, a zgłoszenia można wysyłać także przez samą aplikację, na numer 8080 (SMS-y) lub poprzez formularz incydent.cert.pl.
Radosław Nielek, dyrektor NASK podkreślił: „Jesteśmy jednym z trzech krajowych CSIRT-ów. Tworzymy unikatowe na skalę światową rozwiązania. Ale nawet najlepsze narzędzia nie sprawdzą się bez ludzi. W NASK potrafimy przyciągać i utrzymać najlepszych ekspertów. Średnia wieku zespołu CERT Polska to… 30 lat – czyli tyle, ile ma sam CERT”.
Marcin Dudek, kierownik CERT Polska dodał: „Trzy filary naszej tożsamości to: analitycy, którzy sami tworzą narzędzia (Lista Ostrzeżeń powstała chałupniczo podczas pandemii, a Artemis wywodzi się z koła studenckiego), głęboka specjalizacja i ciekawość (rozbieramy sprzęt, odzyskujemy logi po atakach) oraz współpraca międzynarodowa. Nasz kod open source jest wykorzystywany m.in. we Francji i wielu innych krajach. Jesteśmy dumni, że możemy kierować tym zespołem”.
Historia CERT w liczbach:
1996: 3 osoby, 12 incydentów rocznie.
2025: ponad 100 ekspertów, 260 tys. incydentów.
30 lat: ponad 2 miliony zgłoszeń od obywateli (większość w ostatnich 5 latach).
Przypomnijmy, że CERT Polska to jeden z trzech krajowych CSIRT-ów obok CSIRT MON i CSIRT NASK (ten sam zespół, różne role). W nadchodzących miesiącach ruszą natomiast CSIRT-y sektorowe (m.in. w energetyce, finansach, zdrowiu), które odciążą CERT Polska i pozwolą jeszcze szybciej reagować w konkretnych branżach.
„Korzystajcie z moje.cert.pl. To narzędzie łączy ekosystem bezpieczeństwa państwa z odpowiedzialnością obywateli. Dzięki Wam wykrywamy i likwidujemy dziesiątki tysięcy podatności krytycznych, zanim ktoś je wykorzysta” – podsumował wicepremier Krzysztof Gawkowski.
