Seria ostatnich cyberataków pokazała, jak duża jest luka między procedurami a rzeczywistym poziomem bezpieczeństwa w polskich firmach.

W ciągu zaledwie ostatnich 2 miesięcy Polska doświadczyła serii poważnych cyberataków, które zmieniły dyskusję o bezpieczeństwie z teoretycznej na boleśnie praktyczną. Atak na Supergrosz, wycieki danych z Itaki, incydent Grycana i przeciążenie systemu BLIK — to nie seria niezwiązanych zdarzeń. To sygnał alarmowy dla całego polskiego biznesu. 

Co się właściwie stało?
Z Supergrosza wyciekły dane tysięcy użytkowników, w tym numery PESEL, adresy e-mail, numery telefonów, dane o stanie cywilnym i liczbie dzieci, co umożliwia dalsze spersonalizowane ataki. Podobny atak uderzył w Itakę, gdzie atakujący uzyskali dostęp do danych 10 tysięcy osób. Równocześnie system płatności BLIK padł ofiarą ataku DDoS (ataku przeciążającego możliwości odpowiedzi systemu) paraliżującego możliwość prowadzenia transakcji dla milionów Polaków. To nie były incydenty małych firm — to były ciosy wymierzone w marki znane prawie każdemu Polakowi. Minister cyfryzacji nazwał sytuację „bardzo poważną” i ogłosił, że „fala cyberataków na polskie firmy nabiera na sile”. 

Jednak liczby są jeszcze bardziej alarmujące niż nagłówki.
We wrześniu 2025 roku polska jednostka CERT zarejestrowała 57,3 tysiąca zgłoszeń i 26,4 tysiąca incydentów – wzrost o 278 procent w stosunku do września 2024 roku. 

Tutaj pojawia się krytyczne pytanie, które mało kto sobie zadaje: czy polskie firmy zostały zaatakowane, bo nie miały procedur bezpieczeństwa, czy bo miały procedury, które nie działały w rzeczywistości? Jeśli Supergrosz, Itaka czy Grycan miały szkolenia z cyberbezpieczeństwa, audyty bezpieczeństwa, może nawet certyfikacje, to dlaczego atakujący przeszli przez to wszystko jak przez masło?

Odpowiedź jest bolesna, większość rynku przyjęła postawę wyczekującą na polską implementację, równocześnie lekceważąc niepokojące wskaźniki. NIS2 wymusza procedury, ale nie jest już w stanie wymusić ich poprawnej implementacji. Każda certyfikacja zgodności potwierdza jedynie spełnienie listy punktów z normy. W konsekwencji często implementacja polega tylko na odhaczeniu listy kontrolnej, w celu osiągnięcia zgodności z regulacjami albo otrzymania certyfikatu wymaganego przez partnerów biznesowych. 

Rzeczywista odporność cyfrowa
To jednak coś więcej niż wiara, że zgodność nas zabezpieczy przed atakami. Niestety, nawet najlepiej wdrożone zabezpieczenia nie dają gwarancji ochrony przed atakiem. Ta ufność, że zgodność uchroni nas przed poważnym incydentem jest równie naiwna jak myślenie, że w sezonie grypowym nie złapiemy nawet kataru. Z katarem można żyć, ale niepokojącym zjawiskiem jest łapanie w każdym sezonie grypowym kilku infekcji, które składają nas do łóżka na kilka dni a czasem nawet tygodni. Podobnie jest z odpornością cyfrową. Trzeba mieć świadomość, że incydenty będą się zdarzać, ale odporność cyfrowa jest po to, żeby nie wyłączyły nas z gry na dni lub tygodnie.

Cyberprzestępcy nie czekają i wymuszają przyspieszoną adaptację.
Polskie firmy mają określony przez proces legislacyjny w sejmie (i późniejsze vacatio legis) czas na wdrożenie dyrektywy NIS2. Jednak muszą działać tu i teraz. Problem w tym, że działanie „tu i teraz” oznacza zadanie sobie pytania: „czy jesteśmy następni, ile wydajemy realnie na bezpieczeństwo, ile będzie nas kosztował poważny atak, czy akceptujemy to ryzyko?” 

To jest właściwy moment, żeby zrozumieć: bezpieczeństwo nie jest stanem, który osiągasz, płacąc za certyfikat (który dołączasz do dokumentacji przetargowej), a potem zapominasz o nim do następnego audytu. To jest proces ciągły – coś, co polskie firmy dopiero uczą się rozumieć. NASK, CSIRT Polska, Ministerstwo Cyfryzacji – wszystkie instytucje działają, ale brakuje czegoś fundamentalnego: zrozumienia, że bezpieczeństwo, jak wszystko w życiu, kosztuje, a wdrożone źle może okazać się wyjątkowo drogie.

Dariusz Czerniawski,
Ekspert ds. Cyberbezpieczeństwa i Governance w KIGC

Inne aktualności