Wielu menedżerów, dyrektorów i decydentów w sektorze publicznym oraz prywatnym żyje w bardzo niebezpiecznym przekonaniu: „Wydaliśmy miliony na nowoczesne oprogramowanie i sprzęt, więc jesteśmy bezpieczni”. Kupno drogiego systemu traktowane jest jak polisa ubezpieczeniowa albo magiczny talizman, który samym swoim istnieniem w serwerowni odpędza cyberprzestępców.
Niestety, rzeczywistość rzadko bywa tak łaskawa. Najnowszy raport Najwyższej Izby Kontroli (NIK), opublikowany 12 czerwca 2026, opisuje nieprawidłowości we wdrożeniu systemów informatycznych i zarządzaniu systemem bezpieczeństwa informacji, zmiany w umowie z naruszeniem prawa zamówień publicznych oraz przypadki ewidencjonowania praw majątkowych z naruszeniem ustawy o rachunkowości w dwóch publicznych uczelniach lubelskich.
Kontrola została przeprowadzona w okresie od kwietnia do października 2025 r. w Politechnice Lubelskiej (PL) i Uniwersytecie Medycznym (UML) i miała na celu sprawdzenie wdrożenia systemów finansowanych z Funduszy Europejskich. Raport ten to bolesne, ale niezwykle potrzebne zderzenie z ziemią. Pokazuje on czarno na białym, że cyfrowe bezpieczeństwo i efektywność operacyjna to nie są towary, które można po prostu ściągnąć z półki, zapłacić za nie przelewem i postawić w serwerowni, żeby służyły za zbieracze kurzu.
Poniżej kilka informacji dlaczego zakupiony sprzęt IT lub oprogramowanie nie oznacza, że jesteśmy bezpieczni, oraz jakie wnioski z kontroli NIK powinna wyciągnąć każda organizacja w Polsce.
Lekcja z Lublina: 16,5 miliona złotych na systemy, które… nie działały
Raport NIK opisujący środki publiczne na systemy IT na lubelskich uczelniach to lektura obowiązkowa dla każdego, kto zajmuje się zarządzaniem projektami technologicznymi. Kontrolerzy przyjrzeli się wydatkom rzędu ponad 16,5 miliona złotych. Wyniki? Porażające.
Wiele z zakupionych systemów informatycznych w praktyce nigdy nie zostało wdrożonych, nie działało prawidłowo lub nie spełniało podstawowych założeń funkcjonalnych. Jaskrawym i niemal symbolicznym przykładem tej niemocy była aplikacja za prawie 572 tys. PLN, dedykowana osobom z niepełnosprawnościami, która… została zaprojektowana i uruchomiona z rażącym naruszeniem zasad dostępności cyfrowej (WCAG).
Jednak to, co w tym raporcie niepokoi najbardziej, kryje się pod warstwą zmarnowanych funduszy publicznych. Chodzi o rażące zaniedbania w obszarze bezpieczeństwa informacji. Sam fakt posiadania drogiej infrastruktury nie uchronił kontrolowanych jednostek przed podstawowymi błędami, które dla sprawnego hakera byłyby otwartym zaproszeniem do ataku.
Anatomia samozadowolenia. Dlaczego sam zakup oprogramowania nie działa?
Dlaczego dochodzi do takich sytuacji? Winna jest wspomniana już iluzja bezpieczeństwa. Kupując drogie systemy bezpieczeństwa klasy Enterprise, firewalle nowej generacji czy zaawansowane systemy ERP, organizacje często odhaczają zadanie pt. „Cyberbezpieczeństwo” jako zrobione.
Pamiętaj: Pudełko z oprogramowaniem postawione w szafie rackowej (lub wykupiona subskrypcja w chmurze) nie konfiguruje się samo, nie wdraża procedur i nie edukuje pracowników. Nie monitoruje, nie reaguje, nie naprawia.
Przejdźmy do konkretów z raportu NIK. Kontrolerzy wskazali trzy kluczowe obszary, w których zawiodły nie systemy, ale ludzie i procesy zarządzania nimi:
1. Brak kontroli administratorów nad zasobami serwerowymi
To odpowiednik sytuacji, w której kupujesz najdroższe, pancerne drzwi do banku, ale nie wiesz, kto z personelu ma do nich zapasowy klucz, ani czy ktoś przypadkiem nie zostawił ich otwartych na oścież. Administratorzy systemów IT posiadają tzw. uprawnienia uprzywilejowane (ang. Privileged permissions). Jeśli organizacja nie ma pełnego wglądu w to, co, kiedy i jak konfigurują jej administratorzy, traci kontrolę nad organizacją i tym, co się w niej dzieje.
2. Niewłaściwe i nieterminowe przechowywanie logów systemowych
Logi (dzienniki zdarzeń) to „czarna skrzynka” każdego systemu informatycznego. To tam zapisuje się każda próba logowania, każda zmiana konfiguracji i każdy nietypowy ruch w sieci. NIK wykazał, że logi nie były odpowiednio zabezpieczane i analizowane. W praktyce oznacza to, że gdyby na uczelni doszło do incydentu bezpieczeństwa (np. wycieku danych studentów), zespół IT mógłby nawet nie dowiedzieć się, jak doszło do włamania, jakie dane skradziono i jak długo przestępca buszował po systemie.
3. Luki w zarządzaniu uprawnieniami użytkowników
Zasada minimalnych uprawnień (ang. Principle of Least Privilege) to absolutny fundament cyberbezpieczeństwa. Każdy pracownik powinien mieć dostęp tylko do tych zasobów, które są mu niezbędne do wykonywania codziennych obowiązków. Tymczasem chaos w uprawnieniach prowadzi do sytuacji, w których szeregowi użytkownicy mają dostęp do krytycznych danych. Jeśli konto takiego pracownika zostanie przejęte poprzez zwykły phishing, napastnik natychmiast zyskuje dostęp do wrażliwych informacji całej instytucji.
Zakup technologii vs realne wdrożenie
Aby lepiej zobrazować różnicę między podejściem czysto zakupowym a rzetelnym dbaniem o bezpieczeństwo, warto zestawić ze sobą te dwa światy:
| Podejście „Kup i zapomnij” (Iluzja) | Podejście procesowe (Realne bezpieczeństwo) |
| Kupujemy drogi firewall i uznajemy, że sieć jest w 100% zablokowana dla zagrożeń. | Konfigurujemy zakupiony firewall, regularnie aktualizujemy reguły i analizujemy ruch sieciowy pod kątem anomalii. |
| Wdrażamy system logowania i cieszymy się, że spełniamy wymogi formalne. | Przechowujemy logi w bezpiecznym, odizolowanym miejscu i monitorujemy je w czasie rzeczywistym (np. przez system SIEM). |
| Nadajemy uprawnienia „hurtowo”, żeby pracownicy nie narzekali, że coś im nie działa. | Rygorystycznie zarządzamy kontami, natychmiast odbieramy uprawnienia byłym pracownikom i stosujemy zasadę minimalnych przywilejów. |
| Traktujemy procedury jak zbędną biurokrację potrzebną tylko na czas audytu. | Procedury są żywym dokumentem, regularnie testowanym w praktyce (np. poprzez symulacje ataków). |
Triada PPT: Ludzie, Procesy, Technologia
W świecie bezpieczeństwa informacji od lat obowiązuje sprawdzona formuła znana jako triada PPT (People, Processes, Technologies). Pokazuje ona, że technologia jest zaledwie jednym z trzech filarów stabilnej i bezpiecznej organizacji. Co kluczowe – wcale nie najważniejszym na starcie.
[ BEZPIECZEŃSTWO ]
/\
/ \
/ \
LUDZIE <-- ------> PROCESY
\ /
\ /
v v
TECHNOLOGIA
- Ludzie: To najczęściej najsłabsze ogniwo, ale też pierwsza linia obrony. Bez przeszkolonych użytkowników, świadomej kadry zarządzającej i kompetentnych (oraz rozliczanych ze swojej pracy) administratorów czy też konsultantów, żadna technologia sama z siebie nie zadziała. To te osoby analizują procesy, optymalizują, dopasowują odpowiednie procesy do firmy.
- Procesy: To zbiór reguł, polityk i procedur, które mówią organizacji, jak ma działać na co dzień oraz jak reagować w sytuacjach kryzysowych. Proces definiuje m.in. jak nadaje się uprawnienia, jak przebiega audyt IT oraz jak wygląda zarządzanie podatnościami.
- Technologia: Jest dopiero narzędziem do egzekwowania procedur i wspierania ludzi. Kupowanie technologii bez wcześniejszego poukładania procesów i przeszkolenia ludzi to stawianie wozu przed koniem. Kupowanie oprogramowania i dopasowywanie pod nie procesów i ludzi to jak kupowanie wdrzwi antywłamaniowych do domu przed zakupem mieszkania. Wymarzone, solidne, polecane przez znajomych i sprzedawcę w sklepie, są za duże i nie mieszczą się w ościeżnicę i stoją nieużywana w garażu. I stoi taki przydaś, bo może kiedyś jeszcze „przydadzą się”, zrobimy większy otwór na drzi przy okazji remontu. Pieniądze wydane, pożytku z tego nie ma.
W przypadkach opisanych przez NIK skupiono się wyłącznie na komponencie technologicznym (wydanie budżetu na oprogramowanie), całkowicie ignorując dwa pozostałe filary. Efekt? Systemy warte miliony stały się bezużytecznymi pomnikami cyfrowej rozrzutności.
Jak uniknąć pułapki „pudełkowego” cyberbezpieczeństwa?
Niezależnie od tego, czy zarządzasz infrastrukturą krytyczną na uczelni wyższej, pracujesz w administracji publicznej, czy prowadzisz własny biznes – wnioski z raportu NIK powinieneś wdrożyć u siebie jak najszybciej:
- Przestań wierzyć w „święty spokój” po podpisaniu faktury. Każde wdrożenie nowego systemu IT kończy się dopiero wtedy, gdy system przejdzie pomyślnie testy akceptacyjne, procedury jego utrzymania zostaną spisane, a personel przejdzie realne szkolenie z jego obsługi i będzie na co dzień kontrolował działanie systemu i reagował odpowiednio do potrzeb.
- Wprowadź regularne audyty wewnętrzne i zewnętrzne. Nie czekaj na kontrolę NIK, UKNF czy innego regulatora. Regularny audyt bezpieczeństwa IT przeprowadzony przez niezależnych ekspertów pozwoli wykryć luki w uprawnieniach, brak logów czy błędy konfiguracyjne, zanim zostaną one wykorzystane przez przestępców.
- Zadbaj o higienę uprawnień i logowania. Zacznij od podstaw, które nic nie kosztują: zweryfikuj konta administratorów, ogranicz dostępy, włącz dwuskładnikowe uwierzytelnianie (2FA) i upewnij się, że Wasze logi systemowe nie są kasowane po kilku dniach, lecz bezpiecznie archiwizowane.
Podsumowanie
Raport NIK to przypomnienie, że w świecie IT i cyberbezpieczeństwa droga na skróty nie istnieje. Wydanie milionów złotych ze środków publicznych lub prywatnych na nowoczesny sprzęt nie czyni nikogo bezpiecznym, jeśli brakuje odpowiedniego nadzoru, procedur i kompetencji.
Organizacja dbająca o bezpieczeństwo to nie taka, która dysponuje najdroższymi zabawkami technologicznymi, ale taka, która potrafi w sposób kontrolowany, świadomy i ustrukturyzowany zarządzać tym, co posiada. Rozwiązania open-source, ale dobrze zarządzane, dają większą kontrolę nad organizacją, niż te za miliony złotych, leżące na półkach i zbierające kurz. Czas najwyższy wyciągnąć wnioski z tej lekcji – zanim kolejny raport (lub informacja o potężnym wycieku danych) dotyczyć będzie Twojej organizacji.
