CyberbezpieczeństwoPolecane tematy
Kulisy cyberwojny: jak wojsko blokuje miliony ataków phishingowych rocznie
Z generałem dywizji Karolem Molendą, dowodzącym komponentem Wojsk Obrony Cyberprzestrzeni (DK WOC), rozmawiamy o tym, jak wygląda cyberwojna z perspektywy Wojska Polskiego, dlaczego kluczowa staje się współpraca w ramach NATO, jakie są najczęstsze typy cyberataków oraz jak rozwija się automatyzacja wykrywania zagrożeń i higiena cyfrowa żołnierzy.
Minister Krzysztof Gawkowski mówi, że jesteśmy jednym z najczęściej atakowanych krajów w Europie. Jak to wygląda z perspektywy Wojsk Obrony Cyberprzestrzeni?
Polska należy dziś do najbardziej intensywnie atakowanych państw w Europie – i to w bardzo szerokim spektrum działań. My koncentrujemy się na technicznej warstwie cyberoperacji: wykrywaniu, analizie i neutralizowaniu ataków na infrastrukturę oraz systemy teleinformatyczne Sił Zbrojnych RP. Istnieje też obszar operacji informacyjnych i dezinformacji, ale pozostaje on w gestii innych instytucji państwa.
Od 1 stycznia 2020 roku działa nasza całodobowa sala operacyjna. Wcześniej, zamiast jednego centrum nadzorującego infrastrukturę IT i cyberbezpieczeństwo, funkcjonowały niezależnie, czasami konkurując ze sobą, Narodowe Centrum Kryptologii oraz Inspektorat Informatyki.
Obecnie przez 24 godziny na dobę, 7 dni w tygodniu monitorujemy bezpieczeństwo wojskowych systemów i sieci. W ciągu ostatnich pięciu lat obserwujemy stały wzrost presji. Momentem przełomowym była pełnoskalowa inwazja Rosji na Ukrainę – po niej liczba ataków wymierzonych w wojskowe sieci i systemy wzrosła 5-krotnie.
Nasz wielopoziomowy model ochrony budowaliśmy przez ostatnie lata. Obejmuje on m.in. zaawansowaną analizę nagłówków i treści, własne reguły i skrypty tworzone przez naszych programistów oraz wykorzystanie danych wywiadowczych od partnerów, w tym z Ukrainy. Dzięki temu – przy milionach prób – materializuje się zaledwie kilka tysięcy incydentów.
Ma to bezpośredni związek z aktywną postawą Polski: naszym zaangażowaniem we wsparcie Ukrainy oraz rolą kraju jako kluczowego hubu logistycznego, przez który przechodzi większość pomocy dla naszego sąsiada. To sprawia, że stajemy się celem rosyjskich i białoruskich grup APT, które próbują oddziaływać na elementy naszej infrastruktury.
Jak wygląda to w konkretnych liczbach?
W minionym roku odnotowaliśmy ponad 7100 incydentów bezpieczeństwa w naszej strefie odpowiedzialności, czyli takich zdarzeń, które w jakiś sposób się zmaterializowały i wymagały reakcji naszych zespołów. Statystycznie oznacza to jeden incydent mniej więcej co godzinę – od klasycznych prób włamań po bardziej złożone operacje.
Warto przy tym pamiętać, że mówimy o incydentach, a nie o wszystkich próbach ataków, których są miliony. Dopiero gdy atak wymusza podjęcie konkretnych działań, nadajemy mu numer, prowadzimy obsługę i włączamy go do oficjalnych statystyk. W 2025 roku liczba incydentów była większa o około 70% w porównaniu do roku 2024. To pokazuje, że rośnie nie tylko liczba prób, ale też tych ataków, które mogą wyrządzić realne szkody.
Z jakich technik najczęściej korzystają cyberprzestępcy?
Jednym z głównych wektorów są ataki socjotechniczne – przede wszystkim masowe kampanie phishingowe wymierzone w żołnierzy. Ich celem jest wyłudzenie danych logowania lub skłonienie użytkownika do wykonania określonej czynności. Tylko w 2025 roku nasze systemy zatrzymały blisko 4 miliony złośliwych wiadomości e-mail, zanim dotarły do odbiorców. To około 11 tysięcy wiadomości dziennie, czyli ponad 400 na godzinę.
7100 incydentów bezpieczeństwa odnotował DK WOC w roku 2025 (wzrost o 70%). Są to takie zdarzenia, które w jakiś sposób się zmaterializowały i wymagały reakcji zespołów podlegających . Statystycznie oznacza to jeden incydent mniej więcej co godzinę.
Te wiadomości nie są klasyfikowane jako incydenty. Stanowią efekt wielopoziomowego modelu ochrony, który budowaliśmy przez lata. Obejmuje on m.in. zaawansowaną analizę nagłówków i treści, własne reguły i skrypty tworzone przez naszych programistów oraz wykorzystanie danych wywiadowczych od partnerów, w tym z Ukrainy.
Dzięki temu – przy milionach prób – materializuje się „zaledwie” kilka tysięcy incydentów rocznie. Nadal jednak dążymy do dalszej automatyzacji, aby jak największą część tych działań przenieść z poziomu ludzi na poziom systemów. Przykłady pokazują, że nawet przy wysokim poziomie ochrony zdarzają się sytuacje, w których czynnik ludzki jest kluczowy.
Czy może Pan podać przykład takiego ataku?
Jakiś czas temu doszło do przejęcia skrzynki mailowej jednego z naszych zagranicznych partnerów przez grupę APT. Następnie wykorzystano ją do wysłania do polskiego żołnierza pozornie wiarygodnie wyglądającej wiadomości z prośbą o informacje dotyczące ćwiczeń.
Dzięki wcześniejszym szkoleniom z cyberhigieny żołnierz rozpoznał nietypowy charakter pytania i zgłosił sprawę naszej dyżurce. Analiza wykazała przejęcie konta po stronie partnera, o czym został on poinformowany. To pokazuje, jak istotne jest połączenie technologii i przygotowania ludzi.
Dużą uwagę poświęcamy też nowym technikom socjotechnicznym. Przykładem są fałszywe komunikaty podszywające się pod ostrzeżenia bezpieczeństwa, np. „Signal Support” czy „Signal Notification”. Nakłaniają one użytkowników do podania kodu w celu rzekomego zabezpieczenia konta, podczas gdy w rzeczywistości umożliwiają przejęcie dostępu do komunikacji – także członków rodzin żołnierzy. Może to być później wykorzystane do działań wywiadowczych lub szantażu.
Coraz częściej przeciwnik woli „logować się” niż „łamać”. Zamiast kosztownych prób przełamywania zaawansowanych zabezpieczeń inwestuje w precyzyjną socjotechnikę i wyłudzanie danych dostępowych – szczególnie tam, gdzie stosowane są mechanizmy Single Sign-On.
Dlatego kulturę bezpieczeństwa traktujemy jako element szerszego BHP. Każdy nowy żołnierz przechodzi obowiązkowe szkolenia e-learningowe z cyberhigieny. Dodatkowo odpowiednie służby prowadzą działania uświadamiające dotyczące ryzyk związanych z nieautoryzowanymi komunikatorami czy niewłaściwym przechowywaniem informacji służbowej.
Równolegle prowadzimy kampanie informacyjne skierowane do społeczeństwa i branży, wykorzystując własne kanały komunikacyjne, sygnalizując jakie techniki ataków są akurat intensywnie wykorzystywane przez adwersarzy.
Jak zmienia się sposób działania cyberprzestępców?
Coraz częściej przeciwnik woli „logować się” niż „łamać”. Zamiast kosztownych prób przełamywania zaawansowanych zabezpieczeń inwestuje w precyzyjną socjotechnikę i wyłudzanie danych dostępowych – szczególnie tam, gdzie stosowane są mechanizmy Single Sign-On.
Jeśli uda się przejąć jedno konto powiązane z wieloma usługami, skutki mogą być dla użytkownika – czy to osoby prywatnej, czy żołnierza – katastrofalne, od utraty „cyfrowej tożsamości” po trwałe odcięcie od własnych zasobów.
Jaka jest rola Wojsk Obrony Cyberprzestrzeni w ochronie wojska?
Kluczową siłą DK WOC jest połączenie odpowiedzialności za budowę i utrzymanie systemów oraz ich bezpieczeństwo. Jako operator i administrator sieci Sił Zbrojnych możemy szybko reagować, wprowadzając zmiany konfiguracyjne czy aktualizacje bez długotrwałych uzgodnień między odrębnymi instytucjami.
4 mln złośliwych wiadomości e-mail zatrzymały w roku 2025 systemy zarządzane przez DK WOC, zanim dotarły do odbiorców. To około 11 tysięcy wiadomości dziennie, czyli ponad 400 na godzinę.
Wypracowane playbooki pozwalają naszym zespołom bezpieczeństwa podejmować w krytycznych sytuacjach samodzielne decyzje. Wśród nich jest np. odcięcie segmentu sieci w celu zatrzymania przeciwnika „na jednym komputerze”, zamiast pozwolić mu rozlać się po całej sieci.
W wielu państwach, gdzie za bezpieczeństwo i funkcjonalność odpowiadają osobne instytucje, zespoły bezpieczeństwa nie zawsze mogą tak szybko ingerować w środowisko produkcyjne. Często muszą ograniczać się do rekomendacji.
U nas dowódca może wydać rozkaz, którego wykonanie jest egzekwowane i raportowane. To ogromnie skraca drogę od informacji o podatności do jej załatania i realnie podnosi poziom ochrony.
