To jest screen komentarza pod jednym z postów na Linkedinie.

Kiedy na świecie dochodzi do spektakularnej awarii systemów informatycznych – czy to z powodu wadliwej aktualizacji oprogramowania antywirusowego, błędu w chmurze obliczeniowej, czy zmasowanego ataku ransomware na kluczową infrastrukturę – narracja w mediach jest niemal zawsze taka sama. Nagłówki krzyczą o „paraliżu lotnisk”, „wstrzymanych operacjach w szpitalach” i „miliardowych stratach”. Chwilę później pojawiają się komentarze ekspertów i polityków, którzy tonem pełnym powagi deklarują: „Państwa i rządy nie mogą dopuszczać do globalnych awarii, bo jest to tragiczne w skutkach i nikomu się nie opłaca”.

Brzmi to logicznie, prawda? Państwo jako suweren, strażnik porządku i bezpieczeństwa, powinno stać na straży naszej cyfrowej nienaruszalności. Istnieje jednak w tej powszechnej narracji gigantyczna, niebezpieczna luka. Gdzie w tym całym równaniu jesteśmy MY – zwykli użytkownicy, pracownicy korporacji, uczelni, urzędów, właściciele małych i dużych firm, obywatele?

Przerzucanie całej odpowiedzialności na rządy, międzynarodowe regulacje i wielkie koncerny technologiczne to nic innego jak zrzucanie z siebie podmiotowości. To niebezpieczna iluzja, że bezpieczeństwo w sieci jest dobrem, które ktoś dostarczy nam na tacy, w pakiecie z paszportem czy dostępem do bieżącej wody. Czas wreszcie głośno i wyraźnie powiedzieć to, co w branży IT jest oczywistością od lat: za bezpieczeństwo nie odpowiada tylko odległy aparat państwowy. Odpowiadasz za nie Ty, Twoje nawyki, Twoje decyzje i Twoja codzienna cyfrowa higiena.

1. Anatomia technologicznej naiwności: Dlaczego systemy zawodzą i dlaczego prawo tego nie zmieni

Żyjemy w świecie, który przyzwyczaił nas do tego, że aplikacje bankowe działają 24 godziny na dobę, wiadomości docierają do adresata w ułamku sekundy, a pliki w chmurze są prawie zawsze dostępne z dowolnego miejsca na Ziemi. Ta „bezawaryjność” uśpiła naszą czujność. Zaczęliśmy traktować cyfrową infrastrukturę świata jak grawitację – coś stałego, niezmiennego i absolutnie pewnego.

Gdy jednak dochodzi do awarii o skali globalnej, nagle orientujemy się, jak przerażająco kruchy jest ten fundament. Współczesny internet i powiązane z nim systemy biznesowe nie są monolitem. To gigantyczne, potwornie skomplikowane domino, w którym uszkodzenie jednego małego elementu na drugim końcu świata może wywołać lawinę, która dotrze do Twojego lokalnego sklepu czy przychodni zdrowia. Poniżej kilka przykładów tego, co myśli użytkownik, i tego, jak to działa w rzeczywistości.

Cecha systemu	Iluzja użytkownika	Rzeczywistość technologiczna
Dostępność	„Chmura działa zawsze i wszędzie.”	Systemy zależą od tysięcy podwykonawców i kabli podmorskich.
Bezpieczeństwo	„Skoro to znana firma, na pewno jest w 100% bezpieczna.”	Każdy kod zawiera błędy (tzw. bugi), które czekają na odkrycie.
Odpowiedzialność	„W razie awarii państwo lub bank odda mi pieniądze i czas.”	Państwo gasi pożary makro; skutki mikro ponosisz Ty sam.

Oczekiwanie, że jakikolwiek rząd – czy to polski, amerykański, czy organy Unii Europejskiej – jest w stanie w stu procentach zabezpieczyć ten ekosystem przed błędami ludzkimi, awariami sprzętu czy atakami o charakterze asymetrycznym, jest przejawem skrajnej naiwności. Żadna ustawa, żaden dekret, unijna dyrektywa NIS2 czy powołanie kolejnego ministerstwa cyfryzacji nie wyeliminuje ryzyka awarii kodu napisanego przez zmęczonego programistę w Dolinie Krzemowej czy błędnej konfiguracji serwera w Warszawie. Państwo może tworzyć ramy prawne i nakładać gigantyczne kary, ale nie ma magicznego przycisku, który „wyłącza” awarie na świecie. Cyfrowy świat jest ze swej natury zdecentralizowany i podatny na błędy.

W lipcu 2024 roku wadliwa aktualizacja oprogramowania cyberbezpieczeństwa CrowdStrike uziemiła systemy operacyjne Windows na całym świecie. W Polsce awaria uderzyła głównie w logistykę, infrastrukturę lotniczą oraz sektor bankowy i korporacyjny.

2. Model Współdzielonej Odpowiedzialności (Shared Responsibility Model) w codziennym życiu

W świecie profesjonalnych usług chmurowych (takich jak Amazon Web Services, Microsoft Azure czy Google Cloud) istnieje koncepcja zwana Modelem Współdzielonej Odpowiedzialności Odpowiedzialności (Shared Responsibility Model). To prawnie i technicznie zdefiniowany podział ról pomiędzy dostawcą a klientem. W dużym uproszczeniu mówi on, że dostawca infrastruktury odpowiada za bezpieczeństwo SAMEJ chmury (czyli za to, by serwery fizycznie działały, były zasilane, chłodzone i chronione przed fizycznym intruzem), natomiast klient odpowiada za bezpieczeństwo W chmurze (czyli za swoje dane, swoje systemy operacyjne, swoje hasła i konfigurację poziomów dostępu).

Czas przełożyć ten inżynieryjny model na poziom funkcjonowania całego społeczeństwa i relacji państwo-obywatel:

Odpowiedzialność państwa i dostawców

Państwo ma obowiązek zabezpieczyć ramy ustrojowe i techniczne. Do zadań rządu należy ochrona infrastruktury krytycznej (elektrowni, sieci szkieletowych, systemów dystrybucji wody), tworzenie prawa chroniącego prywatność (np. RODO), ściganie międzynarodowych grup cyberprzestępczych oraz utrzymywanie krajowych zespołów reagowania na incydenty komputerowe (takich jak CERT Polska). Państwo odpowiada za to, by drogi cyfrowe były przejezdne i oświetlone.

Odpowiedzialność użytkownika

Jednak to, co dzieje się wewnątrz Twojego urządzenia, na Twoim koncie pocztowym, w Twojej przeglądarce czy w Twojej małej firmowej sieci, leży wyłącznie w Twoich rękach. Jeśli państwo zbuduje najnowocześniejszą, wielopasmową i monitorowaną cyfrową autostradę z zaawansowanymi systemami wczesnego ostrzegania, a Ty wjedziesz na nią technicznym wrakiem bez hamulców, z zasłoniętymi oczami i pod prąd – katastrofa będzie wyłącznie kwestią czasu. Żadne państwo, choćby wydało miliardy na cybertarczę, nie uchroni Cię przed skutkami Twojej własnej cyfrowej lekkomyślności. Bezpieczeństwo to proces, który zaczyna się w momencie, gdy kładziesz palec na klawiaturze.

Rys. Shared Responsibility Model Diagram AWS

3. Czynnik ludzki – najsłabsze i najważniejsze ogniwo cyfrowego łańcucha

Według cyklicznych raportów firm zajmujących się cyberbezpieczeństwem (m.in. globalnych analiz Verizon DBIR), czynnik ludzki (human element) jest zaangażowany w blisko 74% do 80% wszystkich naruszeń bezpieczeństwa danych na świecie. Oznacza to, że najpotężniejsze systemy obronne, kosztujące miliony dolarów zapory ogniowe (firewalle) i najbardziej wyrafinowane algorytmy sztucznej inteligencji wykrywające anomalie ustępują przed jednym, najprostszym i najstarszym elementem świata: manipulacją wymierzoną w człowieka.

Cyberprzestępcy doskonale wiedzą, że znacznie łatwiej i taniej jest „zhakować” pracownika, sekretarkę czy przeciętnego Kowalskiego, niż przełamać 256-bitowe szyfrowanie bazy danych banku. Metody takie jak:

Phishing (fałszywe wiadomości e-mail udające faktury lub komunikaty od kurierów),
Vishing (oszustwa telefoniczne, w których przestępca podszywa się pod pracownika działu bezpieczeństwa banku lub policjanta),
Smishing (SMS-y z informacją o rzekomym odłączeniu prądu lub niedopłacie za paczkę),

bazują na uniwersalnych mechanizmach psychologicznych: strachu, pośpiechu, ciekawości, chciwości czy bezkrytycznym szacunku wobec autorytetu.

                 +---------------------------------------------------------------+
                 |             ANATOMIA CYFROWEGO ATAKU (SOCJOTECHNIKA)          |
                 +---------------------------------------------------------------+
                 | 1. WYWOŁANIE EMOCJI -> Strach, panika, ciekawość, pośpiech    |
                 | 2. PODSZYCIE SIĘ     -> Bank, Policja, Kurier, Urząd Skarbowy |
                 | 3. WEZWANIE DO AKCJI -> "Kliknij w link", "Podaj kod BLIK"    |
                 | 4. BŁĄD UŻYTKOWNIKA  -> Przełamanie zabezpieczeń od wewnątrz  |
                 +---------------------------------------------------------------+

Globalna awaria paraliżuje systemy rozliczeniowe dużego banku. Ludzie nie mogą płacić kartami w sklepach, wpadają w panikę. W tym samym momencie zorganizowane grupy przestępcze uruchamiają kampanię SMS-ową, rozsyłając miliony wiadomości o treści: „Z powodu awarii Twoje środki na koncie są zagrożone. Zaloguj się natychmiast na stronie awaryjnej www.bank-bezpieczny-weryfikacja.com, aby zabezpieczyć swoje oszczędności”.

W tym scenariuszu państwo i bank robią wszystko, co w ich mocy, by przywrócić serwery do działania. Kto jednak odpowiada za to, że przerażony użytkownik klika w link, ignoruje ostrzeżenia przeglądarki, wpisuje swoje dane logowania i bezwiednie autoryzuje przelew oszustom? Państwo? Rząd? Nie. Odpowiada za to brak elementarnej odporności na manipulację i brak edukacji w zakresie higieny cyfrowej. Jesteśmy bramami do systemów, z których korzystamy. Jeśli otwieramy te bramy na oścież z powodu chwilowego impulsu emocjonalnego, pretensje o kradzież możemy mieć wyłącznie do siebie.

Phishing - przykład — Rys. Przykład wiadomości phishingowej

4. Odporność cyfrowa (resilience) zamiast ślepej wiary. Czy masz plan awaryjny?

W dyskusjach o technologii w przestrzeni publicznej nagminnie myli się dwa pojęcia: niezawodność (robustness) oraz odporność (resilience).

Niezawodność to dążenie do tego, by system nigdy, pod żadnym pozorem się nie zepsuł. To utopia, domena inżynierów i laboratoriów technologicznych.

Odporność to z kolei umiejętność przetrwania awarii, akceptacja faktu, że kryzys nadejdzie, oraz zdolność do adaptacji i szybkiego powrotu do normalnego funkcjonowania, kiedy systemy centralne zawiodą. Odporność cyfrowa to domena każdego z nas – jednostek i przedsiębiorców.

Ślepa wiara w to, że systemy będą działać wiecznie bez żadnych zakłóceń, to proszenie się o biznesowy i osobisty dramat. Prawdziwe zarządzanie ryzykiem w XXI wieku polega na zadaniu sobie niewygodnego pytania: „Co zrobię, gdy to wszystko przestanie działać na 24, 48 lub 72 godziny?”.

Perspektywa indywidualna: Twój cyfrowy schron

Zastanów się głęboko: co się stanie, jeśli jutro z powodu globalnego błędu w konfiguracji chmury stracisz bezpowrotnie dostęp do swojego konta Google, Microsoft czy Apple ID? Gdzie są Twoje zdjęcia z ostatnich dziesięciu lat? Gdzie są dokumenty medyczne, umowy, cyfrowe akty notarialne, kontakty do bliskich? Czy masz przy sobie fizyczną gotówkę na wypadek, gdyby terminale płatnicze w sklepach i bankomaty w całym kraju przestały działać na dwa dni z powodu awarii sieci telekomunikacyjnej?

Jeśli Twoja odpowiedź brzmi: „wszystko mam w telefonie, aplikacje pamiętają za mnie, nie mam żadnych kopii”, to wykazujesz się skrajną nieodpowiedzialnością. Posiadanie kopii zapasowej (backupu) najważniejszych danych na zewnętrznym, fizycznym, odłączonym od sieci dysku twardym schowanym w szufladzie to nie jest objaw paranoi – to podstawowy przejaw dojrzałości współczesnego człowieka.

Perspektywa biznesowa: Czy Twój biznes przeżyje cyfrowy blackout?

Dla przedsiębiorców, zwłaszcza z sektora MŚP (Małych i Średnich Przedsiębiorstw), lekcja ta bywa śmiertelnie bolesna. Prowadzenie biznesu w oparciu o naiwne założenie, że dostawca oprogramowania w modelu SaaS (Software as a Service) gwarantuje stuprocentową dostępność, to czysty hazard.

Czy Twoja firma posiada procedury działania offline?
Czy Twoi pracownicy wiedzą, jak wystawić tradycyjny dokument handlowy lub przyjąć zamówienie od klienta, gdy padnie system ERP lub CRM w chmurze?
Czy baza danych Twoich kontrahentów jest regularnie eksportowana w bezpieczne, lokalne miejsce?

Kiedy dochodzi do katastrofalnej awarii o skali międzynarodowej, rządy zajmują się sprawami najwyższej wagi – ratowaniem systemów energetycznych, kontroli lotów, łączności wojskowej czy infrastruktury szpitalnej. Nikt z rządowych agencji nie przyjedzie do Twojego biura, by odzyskać bazę danych Twojego sklepu internetowego czy salonu kosmetycznego. Jeśli sam nie zadbałeś o ciągłość działania (Business Continuity Plan), Twoja firma po prostu zniknie z rynku.

Np. niemiecka firma Metro AG w pierwszym kwartale roku finansowego 2022/23 zanotowała wzrost przychodów na poziomie 5,2 proc. (w euro) oraz ogólny na poziomie 6,6 proc. Byłby on pewnie jeszcze wyższy, gdyby nie atak hakerski chwilę przed obublikowaniem danych. Firma oszacowała, że atak kosztował ją „trzycyfrową liczbę milionów euro”.

5. Dlaczego narracja polityczna chętnie „zapomina” o roli i odpowiedzialności obywatela?

Skoro rola indywidualnego użytkownika jest tak ważna dla bezpieczeństwa państwa, to dlaczego w oficjalnych komunikatach polityków i w debatach publicznych słyszymy głównie o odpowiedzialności rządów i korporacji? Odpowiedź jest pragmatyczna i tkwi w psychologii władzy oraz marketingu politycznym.

Po pierwsze, cyberbezpieczeństwo wymagające wysiłku od wyborcy to produkt skrajnie nieatrakcyjny marketingowo. Łatwiej, szybciej i efektowniej jest ogłosić w świetle jupiterów nowy „Narodowy Program Cybertarczy”, podpisać huczne memorandum, wdrożyć unijne dyrektywy czy nałożyć astronomiczną karę finansową na wielki koncern Big Tech. To stawia rządzących w pozycji silnych, aktywnych obrońców, którzy walczą w obronie uciemiężonych obywateli ze złymi korporacjami lub hakerami z wrogich mocarstw.

Powiedzenie ludziom prosto w twarz: „Słuchajcie, państwo zrobi wiele, ale Wy sami musicie zacząć myśleć. Musicie przestać klikać w podejrzane linki, musicie zacząć płacić za menedżery haseł, regularnie robić backupy i poświęcić weekend na naukę podstaw bezpieczeństwa sieciowego” brzmi mało pociągająco. Brzmi jak dokładanie obywatelom nowych obowiązków, co rzadko kiedy przekłada się na głosy w urnach wyborczych.

Po drugie, w dyskursie społecznym panuje paniczny strach przed tzw. syndromem obwiniania ofiary (victim blaming). Jeśli obywatel straci oszczędności życia, bo pod wpływem emocji podał oszustowi kody autoryzacyjne, klasyczna narracja medialna woli wskazać palcem na „luki w systemach weryfikacji banku” lub „opieszałość Policji”. Rzadko kiedy mówi się wprost, że ofiara wykazała się kompletnym brakiem instynktu samozachowawczego. Oczywiście, systemy technologiczne powinny być projektowane w sposób maksymalnie odporny na błędy (tzw. mechanizmy foolproof), jednak w starciu z absolutną cyfrową bezmyślnością nawet najbardziej zaawansowana technologia jest bezradna.

Poniżej przykład takiego działania: Kupujący zignorował fakt, że Sprzedający wielokrotnie otrzymywał oceny 1 gwiazdkowe (towar niezgodny z opisem), ma 2 konta na olx z czego na nazwisko jego matki, gdzie również wystawia te lewe dyski. I winna jest pani Prokuratur, która odmówiła wszczęcia dochodzenia

Rys. Przykład Victim blaming, źródło: Reddit

6. Paradoks „dobra podstawowego”: Jak huraoptymizm wokół AI usypia naszą czujność i osłabia bezpieczeństwo

Wróćmy na chwilę do modnego ostatnio w debacie publicznej hasła, że sztuczna inteligencja (AI) powinna być traktowana w Polsce jako „dobro podstawowe” lub „dobro publiczne” – na równi z dostępem do prądu, wody czy edukacji. Choć intencje stojące za tym stwierdzeniem są szczytne (wyrównywanie szans, walka z wykluczeniem cyfrowym), to z punktu widzenia cyberbezpieczeństwa ta narracja niesie ze sobą potężne niebezpieczeństwo. Przeobrażenie AI w „użyteczność publiczną” w obecnej formie paradoksalnie drastycznie osłabia naszą cyfrową odporność. Dlaczego?

Pułapka „bezpiecznego kranu”

Kiedy nazywamy coś dobrem podstawowym, podświadomie zmieniamy nasz stosunek do tej technologii. Odkręcając kran z wodą lub włączając światło w pokoju, nie zastanawiasz się, czy z gniazdka popłynie zainfekowany prąd, który uszkodzi Twoje urządzenia. Zakładasz – słusznie – że dostawca i państwowe organy nadzorcze w pełni zabezpieczyły infrastrukturę, zanim produkt trafił do Twojego domu.

Przeniesienie tego schematu myślowego na sztuczną inteligencję może być katastrofalne w skutkach. Użytkownik zaczyna wierzyć, że skoro AI jest „dobrem podstawowym”, to publicznie dostępne modele językowe czy narzędzia automatyzacji są ze swej natury bezpieczne, sprawdzone i „czyste”. Efekt? Całkowite uśpienie czujności i drastyczny spadek ograniczonego zaufania.

Instytucje czy eksperci wskazują, że rozwój AI nie może odbywać się kosztem praw podstawowych, takich jak prawo do prywatności czy niedyskryminacja, a modele wciąż są podatne na takie ataki, to czy dalej chcemy mieć takie dobro podstawowe. Trwają również dyskusje ekonomiczne o tym, czy w przyszłości automatyzacja pracy nie wymusi wprowadzenia bezwarunkowego dochodu, jak AI będzie umiało wykonywać to co my szybciej i lepiej.

Łatwo dyskutuje się o zaawansowanych modelach generatywnych na konferencjach w dużych miastach, podczas gdy w wielu szkołach i urzędach powiatowych wciąż brakuje nowoczesnego sprzętu, stabilnego łącza, a kadra zmaga się z podstawową obsługą systemów IT. Gdzie na szkoleniach, które prowadzę, okazuje się, że gmina wciąż używa Windows 7 czy Windows 10, bo wymiana to zbyt duży koszt dla małej gminy wiejskiej. Najpierw trzeba naprawić dziurawe fundamenty, zanim zaczniemy budować cyfrowy penthouse.

Prąd czy wodę potrafimy kontrolować lokalnie. Tymczasem potęga AI bije dziś z serwerowni amerykańskich i chińskich gigantów (Microsoft, Google, OpenAI, DeepSeek). Jak zechcemy zrobić zamieszki, to gdzie powinny się one odbyć: w Polsce, w USA , a może w Pekinie?

Zjawisko „Shadow AI” i cyfrowy pośpiech

Presja, by AI była powszechna i dostępna dla każdego „tu i teraz”, rodzi zjawisko masowego wdrażania narzędzi bez jakichkolwiek procedur bezpieczeństwa. W firmach, urzędach i szkołach na potęgę rozwija się tzw. Shadow AI (ukryte AI):

Pracownicy, chcąc podnieść swoją produktywność, masowo kopiują poufne dane klientów, bazy adresowe, raporty finansowe czy kody źródłowe programów do prywatnych, często darmowych i publicznych modeli generatywnych w celu ich analizy lub poprawy.
Nie zdają sobie sprawy, że karmią tymi danymi zewnętrzne, komercyjne algorytmy, co prowadzi do masowych wycieków informacji na niespotykaną dotąd skalę.

W pogoni za tym, by „nie zostać w tyle” i korzystać z tego nowego „dobra podstawowego”, pomija się audyty bezpieczeństwa. W ten sposób, zamiast budować nowoczesne państwo, otwieramy tysiące nowych, niezabezpieczonych tylnych furtek (backdoorów) dla cyberprzestępców.

Warto zapamiętać: Prąd i woda są technologicznie stabilne i przewidywalne. AI to żywy, dynamicznie rozwijający się kod, który wprowadza zupełnie nowe wektory ataków (np. prompt injection – manipulowanie modelem za pomocą sprytnych komend, czy data poisoning – zatruwanie danych treningowych). Traktowanie AI jak zwykłej, bezpiecznej „użyteczności publicznej” to ignorowanie jej wysoce nieprzewidywalnej natury.

Nazywanie AI „dobrem podstawowym” bez jednoczesnego wdrożenia radykalnego, powszechnego programu edukacji o zagrożeniach to jak rozdawanie darmowych samochodów wyścigowych ludziom, którzy nie tylko nie mają prawa jazdy, ale nawet nie wiedzą, do czego służą pasy bezpieczeństwa. Zamiast nowoczesnego społeczeństwa, tworzymy gigantyczne, zbiorowe zagrożenie dla cyberprzestrzeni całego kraju.

Poniżej screen z jednego z raportów o stanie Shadow AI 2026 w firmach opublikowane przez Unseen Security. Prawda, że te statystyki nie napawają optymizmem.

7. Manifest Świadomego Użytkownika: Twoja osobista antykryzysowa lista kontrolna

Czas porzucić rolę biernego, bezbronnego konsumenta technologii, który w razie problemów bezradnie rozkłada ręce i czeka na ratunek od państwa. Bezpieczeństwo cyfrowe nie jest jednorazowym projektem, który można odhaczyć – to styl życia, zestaw codziennych nawyków. Oto Twój osobisty, bezkompromisowy dekalog higieny cyfrowej, który powinieneś wdrożyć od zaraz:

I. Zasada ograniczonego zaufania (Zero Trust)

Traktuj każdą niespodziewaną interakcję w sieci z domyślnym sceptycyzmem. Dostajesz maila z banku o pilnej potrzebie aktualizacji danych? Kurier przysyła SMS z żądaniem dopłaty 1,50 zł pod groźbą zwrotu paczki? Znajomy z pracy pisze na Messengerze z nagłą prośbą o pożyczenie 500 zł przez Blika? Zatrzymaj się. Weź głęboki oddech. Zweryfikuj. Zadzwoń na oficjalną infolinię instytucji, wejdź na stronę banku z przeglądarki, wybierając adres z menedżera haseł, zadzwoń do znajomego zwykłym połączeniem telefonicznym i zapytaj, czy to naprawdę on. Pośpiech i presja czasu to najlepsi przyjaciele cyberprzestępcy.

II. Przyszłość jest bezhasłowa – wejdź w erę Passwordless (Klucze dostępu / Passkeys)

Tradycyjne hasła wyciekają, sami je upubliczniamy, wrzucamy do AI i różnych systemów, przekazujemy atakującym, dlatego czas zacząć je stopniowo eliminować. Najnowocześniejszym i najbezpieczniejszym standardem uwierzytelniania są dziś Klucze dostępu (Passkeys), oparte na standardzie FIDO2 i WebAuthn. Wspierają je już najwięksi giganci (Google, Apple, Microsoft, Amazon) oraz wiodące polskie serwery i aplikacje finansowe.

Zamiast wpisywać ciąg znaków, który ktoś może podejrzeć, przechwycić lub wyłudzić metodą phishingu, logujesz się do usług za pomocą biometrii swojego urządzenia (odcisk palca, FaceID) lub kodu blokady ekranu telefonu.

Dlaczego to rewolucja w bezpieczeństwie? Klucze dostępu są kryptograficznie powiązane z konkretną, legalną domeną serwisu. Oznacza to, że jeśli trafisz na genialnie podrobioną stronę wyłudzającą dane (np. fałszywy panel logowania do banku czy Facebooka), Twoje urządzenie odmówi zalogowania, ponieważ rozpozna, że adres URL nie zgadza się z kluczem kryptograficznym. W ten sposób stajesz się odporny na klasyczny phishing. Przestępca nie może ukraść czegoś, co fizycznie nie istnieje w formie tekstowej. Jeśli dany serwis oferuje logowanie za pomocą Passkeys – włącz je bez wahania.

Rys. Przykładowe ustawienia zabezpieczeń poczty

III. Ostateczny koniec uniwersalnych haseł

Używanie jednego, tego samego hasła (lub jego lekkich modyfikacji typu Haslo123, Haslo1234) do poczty e-mail, bankowości, Facebooka, konta w pracy i niszowego sklepu z karmą dla psów lub do sklepu z grami, to cyfrowe samobójstwo. Wystarczy, że dojdzie do wycieku danych ze słabo zabezpieczonego, małego forum internetowego, na którym się zarejestrowałeś, a przestępcy automatycznie zyskają klucze do całego Twojego cyfrowego życia za pomocą tzw. ataków credential stuffing (automatycznego sprawdzania skradzionych danych na setkach innych witryn). To samo tyczy się emaila. Utwórz sobie oddzielny email do logowania się na mniej zaufane strony.

Rozwiązanie: Zainstaluj sprawdzony menedżer haseł (np. Bitwarden, 1Password, Keepass XC). Pozwól mu generować unikalne ciągi znaków, składające się ze słów bez żadnego znaczenia, z cyframi, znakami specjalnymi (np. Brugen0dureta54^Varizareton87!ruden) dla każdej usługi osobno. Jesteś w stanie takie hasło zapamiętać, nawet jeśli ma kilkadziesiąt znaków. Twoim jedynym zadaniem będzie zapamiętanie jednego, bardzo silnego hasła głównego (Master Password) do samego menedżera. Samo hasło do menedżera zapisz w notesie razem z najważniejszymi hasłami do banku, emaila itd.

Rys. Przykład zabezpieczeń z poziomu Bitwardena

IV. Uwierzytelnianie dwuskładnikowe (2FA / MFA) jako standard

Samo hasło, choćby miało 30 znaków, w dzisiejszych czasach nie gwarantuje pełnego bezpieczeństwa: zawsze może dojść do jego wycieku. Włącz uwierzytelnianie dwuskładnikowe wszędzie tam, gdzie jest to technicznie możliwe – a absolutnie bezwzględnie na swojej głównej skrzynce e-mail (która służy do resetowania haseł w innych serwisach), w aplikacjach finansowych i mediach społecznościowych.

Dzięki temu, nawet jeśli haker jakimś cudem pozna lub przechwyci Twoje hasło, nie będzie w stanie zalogować się na Twoje konto bez podania drugiego składnika – kodu z aplikacji autoryzacyjnej (np. Google Authenticator, Microsoft Authenticator) lub dotknięcia fizycznego klucza sprzętowego U2F (np. YubiKey). Traktuj 2FA jak solidny, drugi zamek ryglowy w drzwiach wejściowych do Twojego domu.

Dołączając do ISSA Polska za dodatkowe tylko 100 zł możecie stać się właścicielami klucza Yubikey 5 NFC, Po tym linkiem znajdziecie instrukcję, jak to zrobić.

V. Aktualizacje oprogramowania to Twój priorytet, nie irytujący komunikat

Komunikat o dostępnej aktualizacji systemu Windows, macOS, iOS, Androida czy aplikacji bankowej to nie jest złośliwość programistów, którzy chcą zakłócić Twoją pracę i zmusić komputer do restartu w najmniej odpowiednim momencie. Ogromna większość aktualizacji zawiera tzw. łatki bezpieczeństwa (security patches). Zamykają one nowo odkryte, krytyczne podatności w kodzie (błędy typu Zero-Day), które są aktywnie i masowo wykorzystywane przez hakerów do przejmowania kontroli nad urządzeniami. Opóźniając aktualizację o tygodnie czy miesiące, świadomie i na własne życzenie zostawiasz otwarte okno w swoim cyfrowym domu, zapraszając złodzieja do środka.

VI. Wdrożenie i bezwzględne przestrzeganie Strategii Backupu 3-2-1

Nie pozwól, by globalna awaria centrum danych, pożar serwerowni czy atak szyfrujący ransomware zniszczyły bezpowrotnie efekty Twojej wieloletniej pracy, dokumentację firmy czy bezcenne, rodzinne pamiątki. Zastosuj prostą, powszechnie uznawaną na świecie inżynieryjną zasadę tworzenia kopii zapasowych:

3 kopie danych: Posiadaj oryginalny plik oraz co najmniej dwie jego kopie zapasowe.
2 różne nośniki: Przechowuj kopie na różnych typach urządzeń (np. jedna kopia na wewnętrznym dysku komputera, druga na zewnętrznym, fizycznym dysku SSD/HDD lub domowym serwerze NAS).
1 kopia w innej lokalizacji (najlepiej offline): Przechowuj co najmniej jedną kopię poza swoim stałym miejscem zamieszkania lub biurem. Może to być szyfrowana chmura obliczeniowa lub – co bezpieczniejsze w kontekście ataków ransomware – fizyczny dysk twardy, który po wykonaniu kopii jest całkowicie odłączany od komputera i sieci i zdeponowany w bezpiecznym miejscu (np. w sejfie lub u zaufanego członka rodziny). Kopia, która jest stale podłączona do komputera, w przypadku infekcji zaszyfruje się razem z nim.

Cyberbezpieczeństwo to sport zespołowy. Czas wyjść na boisko

Wracając do tezy wyjściowej, wokół której narosło tyle mitów: czy państwa i rządy powinny robić wszystko, co w ich mocy, aby zapobiegać globalnym awariom systemów informatycznych? Oczywiście, że tak. Sektor publiczny ma do odegrania gigantyczną rolę strategiczną. Musi bezwzględnie inwestować w odporność infrastruktury krytycznej, dywersyfikować dostawców technologii, rygorystycznie kontrolować monopole cyfrowe, audytować systemy państwowe, budować silne militarne struktury cyberobrony oraz edukować społeczeństwo od poziomu szkoły podstawowej. To jest fundament, bez którego nowoczesne, cyfrowe państwo zatonie przy pierwszym poważniejszym kryzysie geopolitycznym.

Jednak sam fundament, choćby kosztował biliony złotych i był zaprojektowany przez najwybitniejszych architektów, nie chroni przed deszczem i mrozem, jeśli nie zbuduje się na nim ścian i dachu. Tymi ścianami, filarami i dachem bezpieczeństwa narodowego jesteśmy my sami – miliony indywidualnych użytkowników sieci, pracowników urzędów, menedżerów firm i właścicieli smartfonów.

Żadne państwo, żadne ministerstwo i żaden algorytm sztucznej inteligencji nie zastąpi ludzkiego rozsądku, zdrowego sceptycyzmu, ograniczonego zaufania i elementarnej wiedzy technologicznej.

Cyberbezpieczeństwo to nie jest biletowany spektakl teatralny, na który kupujemy wejściówkę w postaci podatków, siadamy wygodnie w fotelu na widowni i oczekujemy, że aktorzy na scenie zapewnią nam bezpieczną rozrywkę i pełną ochronę przed realnym światem. Cyberbezpieczeństwo to twardy, wymagający sport zespołowy, w którym każdy z nas – bez wyjątku – gra na kluczowej pozycji bramkarza. Możemy mieć genialną linię obrony w postaci rządowych systemów, nowoczesnych ustaw, zaawansowanych algorytmów operacyjnych i tarcz ochronnych dostarczanych przez Microsoft, Google czy Apple. Jeśli jednak my sami – stojąc na ostatecznej linii bramkowej – przepuścimy prostą, lekko podkręconą piłkę w postaci prymitywnego, fałszywego SMS-a od oszusta, zaniechanego backupu danych czy lenistwa przy konfiguracji hasła, to cały zespół przegra mecz, a konsekwencje tej przegranej uderzą przede wszystkim w nas.

Przestańmy jako społeczeństwo pytać z roszczeniową bezradnością, co rząd zamierza zrobić z kolejną globalną awarią IT. Zacznijmy pytać samych siebie przed lustrem: co JA zrobił_m dzisiaj w swoim domu i w swojej firmie, aby skutki tej awarii mnie nie sparaliżowały? Higiena cyfrowa i branie odpowiedzialności za własne działania w sieci to nie jest luksus, hobby dla pasjonatów technologii czy fanaberia programistów. To podstawowa, fundamentalna umiejętność przetrwania i zachowania suwerenności osobistej w XXI wieku. Bez niej jesteśmy jedynie bezbronnym listkiem na wietrze cyfrowej rewolucji.

Źródła:

1. Statystyki dotyczące czynnika ludzkiego

Verizon Data Breach Investigations Report (DBIR): To jeden z najważniejszych i najbardziej kompleksowych corocznych raportów analitycznych na świecie, badający tysiące realnych incydentów. Edycje z ostatnich lat konsekwentnie wskazują, że za niemal 3/4 (lub więcej) wszystkich udanych naruszeń bezpieczeństwa danych odpowiada „czynnik ludzki” (human element), czyli błędy, phishing lub celowe nadużycia uprawnień przez pracowników. Raport 2025 Data Breach Investigations można pobrać tutaj.

Rys. Okładka raportu 2025 Data Breach Investigations

ENISA Threat Landscape (Raporty Agencji Unii Europejskiej ds. Cyberbezpieczeństwa): Coroczne analizy unijnej agencji, które szczegółowo opisują socjotechnikę (social engineering) jako jeden z dominujących i najgroźniejszych wektorów ataków wymierzonych w infrastrukturę publiczną i prywatną. Raport ENISA Threat Landscape 2025 można pobrać z tej strony.

Rys. Okładka raportu ENISA Threat Landscape 2025

2. Koncepcja Współdzielonej Odpowiedzialności (Shared Responsibility)

Dokumentacja techniczna liderów chmurowych (AWS, Microsoft Azure, Google Cloud): Shared Responsibility Model to oficjalny standard prawno-techniczny wprowadzony przez twórców chmury obliczeniowej. Dokumentacje tych firm precyzyjnie rozdzielają odpowiedzialność za bezpieczeństwo infrastruktury (zadanie dostawcy) od odpowiedzialności za konfigurację i ochronę samych danych (zadanie użytkownika). Przykład takiego modelu można znaleźć w dokumentacji Microsoft.

Rys. Shared Responsibility Model Microsoft

NIST (National Institute of Standards and Technology): Publikacje specjalne amerykańskiego Narodowego Instytutu Standardów i Technologii (szczególnie seria SP 800), które definiują standardy bezpieczeństwa systemów informatycznych i ramy zarządzania ryzykiem cyfrowym.

3. Reguła kopii zapasowych 3-2-1

Peter Krogh, The DAM Book: Koncepcja ta została pierwotnie sformułowana w 2009 roku przez amerykańskiego fotografa i eksperta od zarządzania zasobami cyfrowymi, Petera Krogha, jako odpowiedź na problem awaryjności fizycznych nośników danych.

The DAM book Peter Krogh — Rys. Źródło zdjęcia: https://lubimyczytac.pl/ksiazka/4838376/the-dam-book-digital-asset-management-for-photographers-2nd-edition

CISA (Cybersecurity and Infrastructure Security Agency): Główna amerykańska agencja rządowa ds. cyberbezpieczeństwa, która zaadoptowała regułę 3-2-1 i promuje ją jako oficjalny, podstawowy standard ochrony przed cyberzagrożeniami i skutkami ataków ransomware dla obywateli oraz biznesu. Dokument na ten temat można znaleźć pod tym linkiem.

4. Ramy prawne i instytucjonalne (Polska i UE)

Dyrektywa NIS2 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555): Akt prawny, który rewolucjonizuje podejście do cyberbezpieczeństwa w Europie. Nakłada on na państwa członkowskie oraz tysiące firm z sektorów kluczowych i ważnych obowiązek zarządzania ryzykiem i wdrażania procedur ciągłości działania na wypadek awarii. Do pobrania w języku polskim na tej stronie.

Raporty CERT Polska (NASK): Oficjalne, coroczne raporty o stanie bezpieczeństwa cyberprzestrzeni w Polsce. Publikacje te dostarczają twardych danych na temat m.in. skokowego wzrostu liczby incydentów związanych z phishingem oraz oszustw z wykorzystaniem fałszywych SMS-ów i platform takich jak BLIK na rodzimym rynku. Raport za 2025 rok można pobrać tutaj.

Rys. Okładka Raport Roczny 2025 z działalności CERT Polska

5. Architektura Ograniczonego Zaufania (Zero Trust)

John Kindervag (Forrester Research): Analityk, który w 2010 roku stworzył i opisał model Zero Trust. Zakłada on całkowite odejście od tradycyjnego myślenia o „bezpiecznym wnętrzu sieci” na rzecz zasady: „nigdy nie ufaj, zawsze weryfikuj” – odnosi się to zarówno do systemów centralnych, jak i zachowań pojedynczych użytkowników. Więcej o tym podejściu można posłuchać np. tutaj.

Rys. Scrren nagrania z Johnem Kindervagiem, źródło screena: https://www.youtube.com/watch?v=0GbqUxBYvyo

Jeśli chcesz przeszkolić swój zespół z szeroko pojętych tematów związanych z bezpieczeństwem i ze sztuczną inteligencją, to zapraszamy na bezpłatne, 15-minutowe spotkanie przy wirtualnej kawie. To niezobowiązujący sposób, by omówić Twoje potrzeby szkoleniowe i sprawdzić, jak możemy pomóc.

Wystarczy kliknąć przycisk poniżej, aby wybrać dogodny termin. Jeśli wolisz wysłać maila – możesz przesłać wiadomość przez formularz kontaktowy.

umów spotkanie Wyślij wiadomość