Aktualności

ZADBAJ LOKALNIE O KOMPETENCJE CYFROWE MIESZKAŃCÓW - KRC

W wielu gminach występuje podobny problem. Mieszkańcy mają dostęp do Internetu, ale nie potrafią w pełni bezpiecznie z niego korzystać. Starsze osoby boją się załatwiać sprawy online. Rodzice nie wiedzą, jak chronić dzieci w sieci. Część mieszkańców nie potrafi skorzystać z usług publicznych przez Internet. Teraz pojawia się realna szansa, aby to zmienić. Program Klubów Rozwoju Cyfrowego daje twojej gminie konkretne środki na stworzenie miejsca, w którym mieszkańcy nauczą się praktycznych umiejętności cyfrowych. Program realizowany przez Centrum Projektów Polska Cyfrowa zakłada wsparcie dla gmin, które chcą rozwijać kompetencje swoich mieszkańców. Do podziału jest ponad 975 mln zł. To nie jest projekt teoretyczny. To konkretne pieniądze na działania lokalne, które możesz wdrożyć u siebie.

 Źródło: https://www.gov.pl/

Klub Rozwoju Cyfrowego to nie musi być nowa instytucja. Możesz go uruchomić w bibliotece, domu kultury lub urzędzie. Wystarczy miejsce, dostęp do Internetu i osoba, która poprowadzi zajęcia. Mieszkańcy przychodzą tam po praktyczną wiedzę. Uczą się jak założyć profil zaufany, jak skorzystać z e-usług, jak rozpoznać oszustwo w Internecie. To są umiejętności, które od razu wykorzystują w życiu.

Z perspektywy urzędu zyskujesz więcej niż tylko zadowolonych mieszkańców. Jeśli nauczysz ludzi korzystania z usług online, zmniejszysz kolejki w urzędzie. Pracownicy będą mieli więcej czasu na trudniejsze sprawy. To realna poprawa organizacji pracy. W jednej z gmin pilotażowych liczba wizyt w urzędzie w sprawach prostych spadła, bo mieszkańcy zaczęli załatwiać je samodzielnie przez Internet.

Nie komplikuj startu. Zacznij od diagnozy. Sprawdź, kto w twojej gminie najbardziej potrzebuje wsparcia. Seniorzy, osoby bezrobotne, rodzice dzieci w wieku szkolnym. Porozmawiaj z dyrektorami szkół i bibliotek. Oni wiedzą, jakie są realne potrzeby. Na tej podstawie zaplanuj program zajęć.

Zadbaj o prosty program. Nie zaczynaj od teorii. Pokaż mieszkańcom konkrety. Jak zapłacić podatek online. Jak umówić wizytę u lekarza przez Internet. Jak sprawdzić konto w ZUS. Jeśli uczestnik po zajęciach potrafi zrobić jedną rzecz samodzielnie, to jest sukces.

W projekcie masz środki nie tylko na zajęcia. Możesz sfinansować sprzęt, wynagrodzenia dla prowadzących i działania informacyjne. To ważne, bo bez promocji mieszkańcy nie przyjdą. Wykorzystaj lokalne kanały, stronę urzędu, Facebook, ogłoszenia w sołectwach. Zaproś ludzi konkretnym komunikatem: Przyjdź, bądź cyberodporny i naucz się korzystać z telefonu i Internetu.

 Nabór wniosków już ruszył i ma określone terminy. Dokumenty składasz elektronicznie. Jeśli nie masz doświadczenia w projektach unijnych, skorzystaj z pomocy WOKISS. To praktyczne wsparcie, które pomaga uniknąć błędów formalnych i odciąży twój zespół.

Nie odkładaj decyzji na później. Projekty cyfrowe często przegrywają z inwestycjami infrastrukturalnymi. Droga czy kanalizacja są bardziej widoczne. Kompetencje cyfrowe dają równie realny efekt. Mieszkaniec, który radzi sobie w świecie cyfrowym, jest bardziej samodzielny i mniej zależny od urzędu.

Masz teraz narzędzie i finansowanie. Od twojej decyzji zależy, czy mieszkańcy twojej gminy będą tylko użytkownikami technologii, czy świadomymi jej uczestnikami.

Źródła:

samorzad.pap.pl; Ponad 975 mln złotych na zakładanie klubów rozwoju cyfrowego w gminach

gov.pl; Kluby Rozwoju Cyfrowego

gov.pl; Projekt Kluby Rozwoju Cyfrowego – wsparcie

gov.pl; Nabór wniosków FERS.01.09

funduszeunijne.gov.pl; Rozwój kompetencji cyfrowych

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, oraz opracowane przez człowieka.

---

SI W SŁUŻBIE ZDROWIA

Sztuczna inteligencja coraz częściej wspiera lekarzy w diagnozie i leczeniu chorób. Nie jest to już odległa przyszłość, tylko rozwiązania, które powoli trafiają do szpitali i laboratoriów. Dzięki nim lekarz może szybciej podjąć decyzję, a ty możesz dostać bardziej dopasowane leczenie. Warto wiedzieć, jak to działa i co to oznacza dla ciebie jako pacjenta. Świadomy pacjent lepiej rozumie proces leczenia i potrafi zadawać właściwe pytania. Nowoczesne algorytmy potrafią analizować bardzo duże ilości danych medycznych. Chodzi o wyniki badań, obrazy z tomografii, a nawet informacje zapisane w komórkach organizmu.

 Źródło: Designed by Freepik

W artykule „Inteligentne algorytmy potrafią ocenić komórkowe markery kluczowe dla leczenia” opisano rozwiązania, które oceniają tak zwane markery komórkowe. To konkretne cechy komórek, które mówią lekarzowi, jak rozwija się choroba i jak organizm reaguje na leczenie. Dzięki temu lekarz nie musi opierać się tylko na ogólnych schematach. Może dobrać terapię dokładnie do twojego przypadku. To podejście nazywa się medycyną spersonalizowaną. W praktyce oznacza to większą szansę na skuteczne leczenie i mniejsze ryzyko niepotrzebnych terapii.

Wyobraź sobie sytuację, w której dwie osoby chorują na ten sam nowotwór. Jedna reaguje dobrze na leczenie, druga nie. Algorytm analizuje ich komórki i wskazuje różnice. Na tej podstawie lekarz zmienia sposób leczenia u drugiej osoby. To nie jest teoria. Takie rozwiązania są już testowane i wdrażane w wybranych ośrodkach. Dla ciebie jako mieszkańca ważne jest, abyś wiedział, gdzie szukać takich możliwości. Duże szpitale kliniczne i centra onkologiczne najczęściej jako pierwsze wdrażają nowe technologie. Zapytaj lekarza prowadzącego, czy w twoim przypadku można zastosować bardziej zaawansowaną diagnostykę. Masz prawo pytać o dostępne opcje. Zwróć uwagę na dokumentację medyczną. Przechowuj wyniki badań w jednym miejscu. Algorytmy działają najlepiej, gdy mają dostęp do pełnych danych. Jeśli zmieniasz lekarza lub placówkę, zabierz całą historię leczenia. To zwiększa szansę na trafną analizę. Pamiętaj też o bezpieczeństwie danych. Twoje wyniki badań to wrażliwe informacje. Korzystaj tylko z zaufanych placówek i systemów. Sprawdź, czy dana jednostka stosuje zabezpieczenia i informuje o sposobie przetwarzania danych.

Sztuczna inteligencja nie zastępuje lekarza. Ona go wspiera. Ostateczną decyzję zawsze podejmuje człowiek. Traktuj nowe technologie jako narzędzie, które może poprawić jakość leczenia. Jeśli rozumiesz, jak działa, łatwiej ci współpracować z lekarzem i podejmować świadome decyzje.

Twoja rola nie kończy się na przyjęciu diagnozy. Zadawaj pytania. Interesuj się metodami leczenia. Sprawdzaj, czy istnieją nowe rozwiązania, które mogą pomóc w twojej sytuacji. To realny sposób, aby zwiększyć swoje szanse na skuteczną terapię.

Źródła:
PAP Zdrowie; Inteligentne algorytmy potrafią ocenić komórkowe markery kluczowe dla leczenia;

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, oraz opracowane przez człowieka.

 

---

KOLEJNY ATAK NA URZĄD MIASTA - URUCHOMIONO PROCEDURY KRYZYSOWE

Atak na urząd miasta nie jest już incydentem wyjątkowym. To scenariusz, który może dotknąć każdą jednostkę samorządu terytorialnego. Z informacji opublikowanych przez Polską Agencję Prasową wynika, że w jednym z urzędów doszło do naruszenia bezpieczeństwa systemów IT, a na poziomie centralnym uruchomiono procedury kryzysowe. Sprawą zajęły się CSIRT NASK, UODO oraz organy ścigania. Jeśli odpowiadasz za infrastrukturę IT w JST, potraktuj ten przypadek jako sygnał ostrzegawczy. Twój system nie jest anonimowy w sieci. Jest celem. Masz ograniczony czas na reakcję, gdy incydent już wystąpi.

 Źródło: Designed by Freepik

Atak objął systemy informatyczne urzędu. Najczęściej w takich przypadkach dochodzi do kompromitacji kont uprzywilejowanych lub wykorzystania podatności w usługach dostępnych z sieci publicznej. Typowy wektor wejścia to phishing lub podatność w VPN, RDP albo serwer aplikacyjny. Po uzyskaniu dostępu napastnik wykonuje ruch boczny i przejmuje kolejne zasoby.

Z punktu widzenia informatyka kluczowe jest jedno pytanie. Jak szybko wykrywasz incydent. W wielu JST czas wykrycia liczony jest w dniach lub tygodniach. Według raportów branżowych średni czas obecności atakującego w sieci to ponad 20 dni. W tym czasie napastnik mapuje środowisko, zbiera dane i przygotowuje eskalację. Jeśli nie masz centralnego systemu zbierania logów i korelacji zdarzeń, działasz w ciemno.

Sprawdź swoje logowanie zdarzeń. Windows Event ID 4624, 4625, 4672 oraz 4720 to podstawowe sygnały aktywności kont. Jeśli nie analizujesz ich automatycznie, nie zobaczysz ataku. Wdrożenie systemu klasy SIEM, np. Greylog, Wazuh czy Elastic, pozwala na korelację i alertowanie w czasie rzeczywistym.

Zadbaj o segmentację sieci. Jeśli użytkownik z referatu budownictwa ma dostęp do serwera finansowego, to błąd architektoniczny. VLAN bez kontroli ruchu nie wystarczy. Wprowadź polityki firewall między segmentami. Wymuś zasadę least privilege. Każdy dostęp musi mieć uzasadnienie.

Przeanalizuj dostęp zdalny. RDP wystawione do Internetu to zaproszenie dla atakującego. Jeśli musisz używać zdalnego dostępu, wdróż VPN z MFA. Sprawdź logi logowań. Wiele ataków zaczyna się od prostych prób brute force.

Zabezpiecz kopie zapasowe. W incydentach ransomware to jedyny element, który pozwala wrócić do działania. Backup musi być offline lub w modelu immutable. Testuj odtwarzanie. W praktyce wiele JST posiada backup, którego nie da się użyć.

Zwróć uwagę na użytkownika końcowego. Phishing nadal działa. Wystarczy jedno kliknięcie. Szkolenia powinny być cykliczne i oparte na symulacjach. Przykład z życia. W jednej z gmin przeprowadzono test phishingowy. Ponad 40 procent pracowników kliknęło w link. To nie jest problem ludzi. To problem procesu i świadomości.

Wprowadź procedury reagowania. Jeśli nie masz playbooka na incydent, stracisz czas na improwizację. Określ, kto podejmuje decyzje, kto izoluje systemy, kto komunikuje się z kierownictwem. W ataku liczą się minuty. Odłącz zainfekowaną stację od sieci. Zablokuj konta. Zabezpiecz logi. Nie wyłączaj systemu bez analizy, bo stracisz ślady.

Monitoruj aktualizacje. Wiele ataków wykorzystuje znane podatności. Brak patchowania to najprostsza droga do kompromitacji. W środowisku Windows użyj WSUS lub Intune. Dla urządzeń sieciowych wprowadź harmonogram aktualizacji firmware.

Patrz na incydent jak na proces, nie jednorazowe zdarzenie. Atak na urząd miasta pokazał, że reakcja musi być wielopoziomowa. Ty odpowiadasz za pierwszy poziom. Masz wpływ na architekturę, monitoring i procedury. Jeśli tego nie zrobisz, kolejne komunikaty mogą dotyczyć twojej jednostki.

Źródła:
Serwis Samorządowy PAP; Atak hakerski na urząd miasta. Ministerstwo wdraża procedury kryzysowe

CyberDefence24; Cyberatak na Urząd Miasta w Myszkowie. Ryzyko wycieku danych

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, oraz opracowane przez człowieka.

 

---

TRENUJ CYFROWĄ ODPORNOŚĆ KAŻDEGO DNIA

Internet stał się częścią codziennego życia. Sprawdzasz wiadomości, płacisz rachunki, kontaktujesz się z urzędem, rozmawiasz z rodziną. Z sieci korzysta już niemal każdy. W Polsce aż 89 procent mieszkańców używa Internetu regularnie, a 85 procent robi to codziennie. Mimo to tylko około połowa osób posiada podstawowe umiejętności cyfrowe. Oznacza to, że wiele osób korzysta z technologii, ale nie zawsze robi to bezpiecznie. Dlatego powstała ogólnopolska kampania „Buduj cyfrową formę klik po kliku”. Jej celem jest zachęcenie mieszkańców do rozwijania cyfrowych umiejętności i świadomego korzystania z technologii. Cyfrowa odporność działa podobnie jak kondycja fizyczna. Trzeba ją ćwiczyć regularnie. Każdy dzień daje okazję, aby zrobić mały krok w stronę większego bezpieczeństwa w sieci.

  Źródło: https://www.gov.pl/

Dlaczego cyfrowa odporność jest dziś tak ważna

Oszuści coraz częściej wykorzystują Internet. Podszywają się pod banki, firmy kurierskie lub znajomych z mediów społecznościowych. Wysyłają fałszywe wiadomości SMS albo e-maile z linkiem do strony, która wygląda jak prawdziwa. Wystarczy jeden nieuważny klik, aby stracić pieniądze lub dostęp do konta. W Polsce każdego roku policja odnotowuje tysiące przestępstw internetowych. W wielu przypadkach ofiarą padają zwykli użytkownicy, którzy chcieli tylko odebrać paczkę lub zapłacić rachunek. Cyfrowa odporność polega na tym, że potrafisz rozpoznać takie próby oszustwa i wiesz, jak zareagować. Nie potrzebujesz specjalistycznej wiedzy informatycznej. Wystarczy kilka prostych nawyków.

Ucz się małymi krokami

Rozwijanie kompetencji cyfrowych nie wymaga specjalistycznych kursów. Wystarczy systematyczna nauka. Nowa kampania rządowa zachęca mieszkańców do sprawdzenia swoich umiejętności i korzystania z materiałów edukacyjnych dostępnych online. Możesz tam znaleźć proste poradniki dotyczące bezpieczeństwa w sieci, ochrony prywatności czy rozpoznawania fałszywych informacji.

W całym kraju prowadzone są też warsztaty i szkolenia. Często odbywają się w bibliotekach, szkołach czy domach kultury. Z takich zajęć korzystają zarówno młodzi ludzie, jak i seniorzy. W wielu miejscach młodzież pomaga starszym mieszkańcom nauczyć się korzystania z nowych technologii.

Ministerstwo Cyfryzacji realizuje systemowe podejście oparte na trzech filarach: kompetencjach, bezpieczeństwie i infrastrukturze. Działania obejmują wszystkie grupy wiekowe – od uczniów szkół podstawowych, przez nauczycieli, po seniorów.

Na stronie cyfrowaforma.gov.pl będzie można sprawdzić swój aktualny poziom kompetencji cyfrowych i znaleźć materiały dopasowane do własnych potrzeb. Kampania wpisuje się w ideę life-long learning, czyli uczenia się przez całe życie. Każdy krok naprzód, nawet ten najmniejszy, ma znaczenie.

Cyfrowa odporność nie powstaje w jeden dzień. Tworzysz ją poprzez codzienne decyzje. Każdy taki krok zwiększa Twoje bezpieczeństwo. Internet może być miejscem pracy, nauki i kontaktu z innymi ludźmi. Warto korzystać z niego świadomie i spokojnie. Jeden dobry nawyk dziennie wystarczy, aby zbudować silną cyfrową formę.

Źródła:

gov.pl; Inwestycje w kompetencje cyfrowe Polaków – start kampanii „Buduj cyfrową formę klik po kliku”

 

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, oraz opracowane przez człowieka.

 

---

SPRAWDŹ CZY TWÓJ TELEFON CIĘ PODSŁUCHUJE

Twój smartfon jest z Tobą przez cały dzień. Służy do rozmów, pisania wiadomości, przeglądania Internetu i zdjęć rodzinnych. Coraz częściej jednak pojawiają się pytania: czy telefon Cię podsłuchuje? Czy ktoś bez mojej zgody słyszy to, co mówię? Wiele osób zauważa, że po rozmowie o jakimś temacie pojawiają się reklamy związane z tym tematem. To może budzić niepokój o prywatność. W tym artykule wyjaśniam, jak działa mikrofon w telefonie, skąd mogą brać się podejrzenia podsłuchu, jak sprawdzić, które aplikacje mają dostęp do twojego mikrofonu, i jak ograniczyć ich możliwości oraz zadbać o cyfrowe bezpieczeństwo w codziennym użyciu telefonu.

Źródło: Designedby Freepik

Twój telefon rzeczywiście „nasłuchuje”, ale niekoniecznie w sensie podsłuchu. W nowoczesnych telefonach asystent głosowy, taki jak Google Assistant, stale analizuje dźwięki wokół Ciebie, aby wychwycić komendę głosową. Mikrofon pozostaje aktywny w tle po to, żeby wykryć wyznaczone hasło, np. „OK Google”. To nie oznacza, że urządzenie wysyła do firm nagrania wszystkich twoich rozmów. Analiza tej funkcji odbywa się lokalnie na urządzeniu i nie musi trafić do chmury, jeśli nie wyraziłeś dodatkowej zgody na udostępnianie danych.

Dlaczego pojawiają się spersonalizowane reklamy?

Częstym argumentem rzekomo potwierdzającym podsłuch w telefonie są reklamy dopasowane do rozmów. W rzeczywistości większość takich sugestii wynika z danych o Twoich zachowaniach: lokalizacji, historii wyszukiwania, odwiedzanych miejscach czy preferencjach zakupowych. Systemy reklamowe analizują wzorce, a nie treść twoich rozmów. Od 2019 roku eksperymenty wykazały, że reklamy nie są generowane na podstawie wypowiadanych słów, lecz na podstawie trendów i zachowań użytkowników.

Najczęstszym źródłem rzeczywistego ryzyka są aplikacje, którym sam przyznałeś uprawnienia do korzystania z mikrofonu, kamery lub innych danych. Często podczas instalacji aplikacji klikasz „zgadzam się”, bez sprawdzenia, jakie dane udostępniasz. Aplikacje takie jak komunikatory rzeczywiście potrzebują mikrofonu, aby działać, ale gry czy skanery kodów QR nie powinny mieć takiego dostępu bez wyraźnej potrzeby.

Jak sprawdzić, kto słucha?

W systemach Android i iPhone możesz sprawdzić, które aplikacje mają dostęp do mikrofonu. W Android przejdź do Ustawienia > Prywatność > Menedżer uprawnień i zobacz listę aplikacji z dostępem do mikrofonu oraz kamery. W iPhone możesz wejść w Ustawienia > Prywatność > Mikrofon i wyłączyć dostęp aplikacjom, którym nie ufasz. W nowszych wersjach Androida oraz iOS pojawiają się także ikony informujące, gdy mikrofon jest aktywnie używany na ekranie. Zielona lub pomarańczowa kropka oznacza, że mikrofon lub kamera działają właśnie teraz.

Co możesz zrobić, aby zwiększyć prywatność?

Pierwszą praktyczną rzeczą jest regularne przeglądanie uprawnień aplikacji. Jeśli jakaś aplikacja ma dostęp do mikrofonu bez wyraźnej potrzeby, odbierz jej to uprawnienie. Możesz ustawić, aby aplikacja pytała o zgodę za każdym razem, gdy chce skorzystać z mikrofonu. To ogranicza ryzyko działania aplikacji w tle bez Twojej wiedzy.

Czasem możesz zobaczyć ikonę mikrofonu bez aktualnej aktywności aplikacji, którą używasz. W takich sytuacjach sprawdź listę uprawnień. Jeśli nic nie wydaje się podejrzane, możesz zainstalować aplikację bezpieczeństwa lub antywirusową, która przeskanuje urządzenie pod kątem złośliwego oprogramowania. Prawdziwy spyware (np.: Pegasus), nagrywa rozmowy, sms, zdjęcia i przesyła je poza telefon. Takie sytuacje występują rzadko i są bardzo trudne do wykrycia bez specjalistycznych narzędzi.

Pamiętaj, Twoja prywatność zaczyna się od świadomości.

Twoje zdjęcia, sms, historia przeglądarki i rozmowy są wartościowe dla reklamodawców i firm technologicznych, ale znacznie mniej pożądane przez cyberprzestępców. Nie przyznawaj szerokich uprawnień aplikacjom. Regularnie sprawdzaj ustawienia prywatności i nie instaluj nieznanych aplikacji bez uzasadnionego powodu. To zwiększa Twoje bezpieczeństwo cyfrowe.

 Źródła:

Business Insider Polska; Czy telefon podsłuchuje rozmowy? Jak to sprawdzić i wyłączyć mikrofon w Androidzie
Asurion; Is my phone listening to me? How to check app microphone and camera access
Benchmark; Jak sprawdzić, czy telefon nie jest na podsłuchu? Kod na telefon

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, oraz opracowane przez człowieka.

---

PROCEDURA ZGŁOSZENIA INSTYTUCJI DO MOJE.CET.PL

Podnieś cyberbezpieczeństwo swojego urzędu już dziś, zgłoś się do darmowego audytu. Nie czekaj, aż wydarzy się incydent, który zmusi Cię do działania. Lepiej działać zapobiegawczo, mając wsparcie doświadczonych specjalistów. Darmowy audyt bezpieczeństwa od CERT Polska to dla Ciebie ogromna szansa. Możesz w prosty sposób zidentyfikować i usunąć zagrożenia zanim hakerzy wyrządzą szkody. Zyskasz cenną wiedzę o własnej infrastrukturze, poprawisz ochronę danych mieszkańców, a także zwiększysz zaufanie do e-usług oferowanych przez Twój urząd. Ten drogowskaz w postaci raportu bezpieczeństwa pokaże Ci, nad czym warto popracować, aby Twoja jednostka samorządowa była cyberodporna.

 Źródło: Designed by Freepik

Jak zgłosić się do darmowego audytu? (Instrukcja krok po kroku)
Prosta ścieżka wdrożenia darmowego audytu bezpieczeństwa w Twoim urzędzie:

1. Wejdź na stronę moje.cert.pl i utwórz konto. Załóż bezpłatne konto używając służbowego adresu e-mail. Rejestracja zajmie Ci tylko chwilę – formularz wymaga podstawowych danych. (Podpowiedź: jeśli to możliwe, użyj adresu w domenie urzędu, co ułatwi weryfikację uprawnień.)
2. Dodaj domeny i usługi do skanowania. Po zalogowaniu zgłoś wszystkie domeny internetowe należące do Twojej jednostki. Zacznij od głównych stron (np. urzadTwojejGminy.pl, bip.urzadTwojejGminy.pl), a następnie dodaj ewentualne inne adresy (portale, systemy publiczne) oraz kluczowe adresy IP. System pokaże instrukcje weryfikacji – trzeba potwierdzić, że reprezentujesz daną instytucję, np. poprzez e-mail od podanego adresu domeny lub dodanie specjalnego wpisu na stronie czy dodanie rekordu TXT w DNS.
3. Zamów bezpłatne skanowanie bezpieczeństwa. Gdy Twoje zasoby są już dodane, uruchom skanowanie. Narzędzie Artemis zacznie analizować Twoje strony pod kątem podatności (znanych błędów i dziur). Nie musisz nadzorować tego procesu – skan odbywa się automatycznie w tle i zazwyczaj trwa od kilku do kilkunastu minut (w zależności od wielkości i liczby serwisów).
4. Odbierz raport i zapoznaj się z wynikami. Po zakończeniu testu zaloguj się na platformę i sprawdź wyniki audytu. Znajdziesz tam listę wykrytych podatności posegregowanych według poziomu istotności (np. wysoki, średni, niski). Przy każdej pozycji otrzymasz opis problemu oraz wskazówki, jak go usunąć. Przeczytaj uważnie rekomendacje CERT Polska – to praktyczne porady, co zmienić lub zaktualizować, żeby załatać dziurę.
5. Usuń podatności jak najszybciej. Nie odkładaj poprawek na później. Wiele zagrożeń (jak np. przestarzałe oprogramowanie, otwarty port czy brak szyfrowania połączenia) można wyeliminować w krótkim czasie we własnym zakresie. Czasem wystarczy zmiana ustawień serwera, aktualizacja systemu lub wyłączenie nieużywanej usługi. Bywa i tak, że potrzebna będzie pomoc firmy zewnętrznej (np. dostawcy oprogramowania) – jednak świadomość problemu to pierwszy krok do jego rozwiązania.
6. Zaplanuj regularne skanowania. Po naprawieniu błędów pozwól platformie ponownie przeskanować systemy. Moje.cert.pl cyklicznie powtórzy testy i sprawdzi, czy wprowadzone poprawki działają, a także czy nie pojawiły się nowe podatności. W praktyce wystarczy, że będziesz monitorować powiadomienia od CERT Polska – jeśli coś nowego zagraża Twojej infrastrukturze lub jeśli Twoi pracownicy są ofiarami wycieku haseł, od razu dostaniesz alert na e-mail. Dzięki temu bezpieczeństwo stanie się procesem ciągłym, a nie jednorazowym zdarzeniem.

Świat cyfrowy stawia przed administracją nowe wyzwania, ale też daje nowe narzędzia do ich wdrażania. Skoro istnieje rozwiązania bezpłatne i rekomendowane przez krajowy zespół ds. cyberbezpieczeństwa, warto z niego skorzystać. Sprawdź, jak Twoja JST wypada pod lupą audytu. Takie działanie może uchronić Cię przed poważnymi konsekwencjami ataku. Pamiętaj, w cyberbezpieczeństwie lepiej zapobiegać niż leczyć. Teraz masz ku temu idealną okazję.

Źródła:
CERT Polska; Rok moje.cert.pl i nowe narzędzie – infrastruktura organizacji (12.02.2026) – cert.pl (analiza wyników darmowych audytów i nowej funkcji moje.cert.pl)
Serwis Samorządowy PAP; Nowa bezpłatna usługa CERT pomoże zwiększyć cyberbezpieczeństwo urzędu lub jednostki podległej (12.02.2025) – pap.pl

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, oraz opracowane przez człowieka.

 

---

SZTUCZNA MIŁOŚĆ i EMOCJE Z SI/AI?

W dobie internetu, z powodu braku czasu na relacje w realnym świecie coraz więcej osób szuka bratniej duszy online. Portale i aplikacje randkowe stały się dla wielu z nas naturalnym sposobem na poznanie nowych ludzi, niezależnie od wieku czy miejsca zamieszkania. Niestety, właśnie tam, gdzie najłatwiej nawiązać romantyczną relację, czyha też niebezpieczeństwo. Przestępcy doskonale zdają sobie sprawę, że pragnienie miłości i bliskości można wykorzystać do własnych celów. Oszustwa romantyczne (tzw. romance scam) to dziś wyrafinowane, długofalowe manipulacje, często wspierane przez sztuczną inteligencję (SI). Kreatywne zastosowanie AI pozwala oszustom udawać wrażliwość, czułość, a nawet głęboką miłość, wszystko po to, by zdobyć twoje zaufanie. Gdy poczujesz się już zaangażowany emocjonalnie, na horyzoncie zazwyczaj pojawia się temat pieniędzy. Dowiedz się, jak działają takie oszustwa, jak rozpoznać niebezpieczne sygnały, a przede wszystkim, jak się przed nimi chronić.

 Źródło: Designed by Freepik

Być może pamiętasz czasy „nigeryjskich książąt” wysyłających masowo wiadomości z prośbą o przelew. Dzisiejsze oszustwa matrymonialne wyglądają zupełnie inaczej. Współcześni oszuści odrobili pracę domową i inwestują czas w budowanie relacji. Zwykle to oni pierwsi nawiązują kontakt na portalu randkowym lub w mediach społecznościowych, zaczynając od niewinnej rozmowy nawiązującej do twojego profilu, zainteresowań czy zdjęć. Przez tygodnie, a nawet miesiące będą pisali czułe wiadomości, komplementowali cię, okazywali troskę i zainteresowanie. Tempo rozwoju takiej internetowej znajomości bywa zawrotne, już po kilku dniach mogą padać wyznania miłości czy plany wspólnej przyszłości. Tak intensywne zaangażowanie emocjonalne nie jest przypadkiem. Oszuści stosują tę strategię, byś szybko poczuł więź i przestał myśleć krytycznie. Gdy w grę wchodzą silne uczucia, nasza czujność spada, i właśnie na to liczą przestępcy.

SI w służbie oszustów
W ostatnich latach internetowi naciągacze zyskali potężnego sojusznika: sztuczną inteligencję. AI umożliwia im prowadzenie wielu rozmów jednocześnie, bez opóźnień i barier językowych. Dzięki narzędziom opartym na SI oszust jest w stanie natychmiast zareagować na twoją wiadomość o dowolnej porze, nigdy się nie męczy i zawsze ma czas. Może pisać do ciebie serdeczne, pełne empatii listy w twoim języku, nawet jeśli sam go nie zna. Za pomocą AI przestępcy tworzą także spójne, wiarygodne opowieści o swoim życiu. Jeśli „rozmawiasz” z kimś przez internet, możesz nie zdawać sobie sprawy, że część wiadomości generuje automat. Co więcej, coraz częściej wykorzystywane są deepfake, fałszywe nagrania wideo lub audio tworzone przez sztuczną inteligencję. Oszust może np. wysłać ci nagranie głosowe rzekomo swojego dziecka albo krótki filmik, w którym widać go w „szpitalu” czy na tle egzotycznej bazy wojskowej. Wszystko po to, by uwiarygodnić swoją historię. Technologia pomaga przestępcom udawać bliskość na odległość tak przekonująco, że ofiara odnosi wrażenie, iż naprawdę łączy ją z kimś szczególna więź.

Brzmi to wszystko jak fabuła filmu, ale niestety dzieje się naprawdę. Ofiarą takiego oszustwa padła np. 65-letnia Francuzka, która myślała, że koresponduje z aktorem Bradem Pittem. Oszuści przez półtora roku podszywali się pod gwiazdora, stworzyli za pomocą AI fałszywe zdjęcia i filmiki, by przekonać kobietę, że Brad Pitt potrzebuje pieniędzy na leczenie. Zakochana ofiara uwierzyła w te sztuczki i przesłała oszustom w sumie 830 tysięcy euro, zanim zorientowała się, że padła ofiarą krętaczy. Tak drastyczny przypadek pokazuje, jak bardzo wiarygodne potrafią być „sztuczne emocje” generowane przez SI i jak silne potrafi być złudzenie bliskości w wirtualnej relacji.

Schemat oszustwa: od zauroczenia do wyłudzenia
Scenariusz oszustwa romantycznego często przebiega według podobnego schematu. Po okresie intensywnej, czułej korespondencji przychodzi moment kryzysu. Twój internetowy partner nagle wpada w poważne tarapaty: ciężka choroba, problemy prawne, nagły wypadek, niespodziewana blokada konta bankowego lub pilny wyjazd. Może twierdzić, że służy za granicą w wojsku, pracuje na platformie wiertniczej, jest lekarzem na misji albo właśnie trafiła mu się życiowa okazja inwestycyjna. To zawsze coś, co brzmi poważnie i wzbudza współczucie lub strach, a jednocześnie uniemożliwia wam spotkanie twarzą w twarz. Oszust prosi, abyś zachował całą sprawę w tajemnicy, co tłumaczy rzekomym wstydem lub poufnością sytuacji. W rezultacie ty stajesz się jedyną osobą, do której może zwrócić się o pomoc. Nietrudno zgadnąć, jaka to pomoc, oczywiście finansowa.

Po tygodniach lub miesiącach budowania więzi taka prośba pada na podatny grunt. Możesz nawet nie zauważyć, kiedy rozmowa schodzi na pieniądze, bo jest to podane w formie dramatycznej historii: trzeba kogoś ratować, spłacić dług u bezlitosnych ludzi, „złapać ostatnią szansę” na inwestycję życia. Co gorsza, oszust wywiera presję czasu, przekonuje, że pomoc jest potrzebna natychmiast i tylko ty możesz jej udzielić. Takie sytuacje często poruszają twoje emocje i poczucie odpowiedzialności: przecież bliskiej osobie nie odmówisz wsparcia w nagłej potrzebie. Przestępcy z góry opracowują te historie i często je udoskonalają na bieżąco (niejednokrotnie właśnie przy pomocy AI), aby brzmiały jak najbardziej przekonująco.

Punkt krytyczny: pieniądze i zniknięcie
Gdy tylko zgodzisz się pomóc, oszust proponuje dziwne metody płatności. Zamiast zwykłego przelewu na polskie konto, prosi np. o przesłanie środków na zagraniczny rachunek, o zakup voucherów lub kart podarunkowych (które przekażesz mu poprzez zdjęcia kodów), ewentualnie o wysłanie kryptowaluty. Takie formy przekazania pieniędzy są trudne do wyśledzenia i praktycznie niemożliwe do odzyskania, co właśnie jest ich celem. Żebyś się nie rozmyślił, padają zapewnienia, że to „tylko pożyczka na kilka dni”, jutro odda, zaraz jak tylko rozwiąże swoje problemy. Niestety, po przelaniu pieniędzy kontakt z „ukochanym” lub „ukochaną” nagle się urywa. Oszust znika, a ty zostajesz nie tylko ze złamanym sercem, ale często również z pustym portfelem lub niespłaconym kredytem.

Warto wiedzieć, że prawdziwi oszuści potrafią czekać bardzo długo, zanim poproszą o pieniądze. To odróżnia ich od dawnych, prymitywnych metod, dzisiejsze oszustwo romantyczne może wyglądać jak prawdziwy związek przez długi czas. Dlatego tak łatwo się na to nabrać. W Polsce ofiarami padają kobiety i mężczyźni w różnym wieku. Każdy może zostać oszukany, jeśli trafi na sprytnego manipulatora. Przykłady z ostatnich lat pokazują, że konsekwencje finansowe takich historii bywają dramatyczne. Na początku 2025 r. głośny był przypadek 68-letniej mieszkanki Wałcza, która podczas internetowej znajomości z rzekomym marynarzem przekazała mu swoje oszczędności, około 200 tysięcy złotych, wierząc w jego miłość i opowieści o nagłych kłopotach zdrowotnych. Oszust obiecywał jej małżeństwo, a gdy dostał pieniądze, natychmiast zniknął bez śladu. Podobnie 51-letnia kobieta z Kujaw myślała, że pomaga amerykańskiemu lekarzowi pracującemu za granicą , przestępca prosił o kolejne kwoty na rzekome bilety lotnicze i kaucje, wyłudzając w sumie blisko 200 tys. zł. Takich historii są niestety setki, a większość z nich nigdy nie trafia do policyjnych statystyk. Wiele ofiar wstydzi się przyznać, że zostało oszukanych, lub wciąż wierzy, że miało do czynienia z „prawdziwą miłością”.

Sygnały ostrzegawcze , jak rozpoznać oszusta?
Jak odróżnić szczerą relację online od wyrachowanej intrygi? Żaden pojedynczy element nie świadczy od razu o oszustwie, ale jeśli zauważysz kilka z poniższych sygnałów naraz, powinna zapalić ci się czerwona lampka. Bądź szczególnie ostrożny, jeśli nowo poznana osoba w internecie:

• Od razu narzuca intensywny kontakt. Pisze pierwsza i oczekuje ciągłego, codziennego kontaktu. Dosłownie zasypuje cię wiadomościami i komplementami, czasem od rana do nocy.
• Bardzo szybko wyznaje głębokie uczucia. Po kilku dniach czy tygodniach rozmów deklaruje „miłość życia”, mówi o wyjątkowej więzi i snuje plany na wspólną przyszłość – mimo że tak naprawdę wcale się dobrze nie znacie.
• Unika spotkania na żywo lub choćby rozmowy wideo. Gdy proponujesz wideoczata albo randkę twarzą w twarz, zawsze znajdzie wymówkę: a to problem techniczny z kamerą, a to nagły wyjazd czy obowiązki w odległym miejscu.
• Twierdzi, że przebywa daleko. Często podaje się za osobę pracującą lub mieszkającą za granicą (np. żołnierz na misji, lekarz w strefie wojennej, inżynier na platformie wiertniczej). Dzięki temu trudniej jest zweryfikować jego tożsamość i usprawiedliwia brak realnego kontaktu.
• Ma „perfekcyjny” profil. Zdjęcia wyglądają jak z katalogu lub profesjonalnej sesji, brak normalnych kadrów z codziennego życia. Opis w profilu bywa bardzo idealny albo wręcz przeciwnie, zbyt skromny. Może się też zdarzyć, że inna osoba w sieci używa niemal identycznych fraz w opisie – to znak, że mamy do czynienia z powielanym, fałszywym szablonem.
• Nagle przeżywa dramaty i kryzysy. Opowiada o niespodziewanych tragediach: ciężkiej chorobie, wypadku, kłopotach prawnych, rodzinnych lub finansowych, z których tylko twoja pomoc może go wybawić.
• Prosi o pieniądze lub kosztowne „przysługi”. W końcu pojawia się prośba o finansowe wsparcie, opłacenie rachunku, leczenia, biletu lotniczego, długu, cła za paczkę, inwestycji itp. Często podkreśla, że tylko tymczasowo potrzebuje pożyczki i szybko odda.
• Nalega na nietypowe formy płatności. Zamiast zwykłego przelewu proponuje, byś wysłał pieniądze przez system transferowy, w kryptowalucie albo kupił karty podarunkowe (np. do sklepów czy serwisów) i podał mu kody.
• Wywiera presję i  zobowiązuje do zachowania dyskrecji. Ciągle powtarza, że sytuacja jest pilna, że liczy się każda minuta. Jednocześnie prosi, byś nikomu o tym nie mówił, tłumaczy to wstydem, tajemnicą zawodową lub innymi powodami. Chodzi o to, byś nie miał szansy skonsultować się z kimś trzeźwo myślącym.
• Izoluje cię od bliskich. Zniechęca cię do rozmawiania o tym związku z rodziną czy przyjaciółmi („Oni nie zrozumieją naszego uczucia”). Boisz się, że ktoś może wyrazić sceptycyzm, więc ukrywasz relację, dokładnie o to oszustowi chodzi.
• Ma wytłumaczenie na wszystko. Gdy pojawiają się drobne nieścisłości, potrafi od razu je objaśnić. Jeśli nie odbiera telefonu, zaraz napisze, że „miał problem z siecią”; jeśli zauważysz coś dziwnego na zdjęciu, przekona cię, że to stary aparat. Jego historie są dopracowane, bo często stoją za nimi gotowe scenariusze i doświadczenie z setek wcześniejszych prób oszustwa.

Jak się chronić?
Choć skala zjawiska jest niepokojąca, możesz skutecznie zmniejszyć ryzyko, zachowując zdrowy rozsądek i stosując kilka prostych zasad. Przede wszystkim, dbaj o prywatność w sieci. Zastanów się, ile informacji o sobie udostępniasz publicznie, oszuści potrafią zebrać dane z twoich mediów społecznościowych i wykorzystać je, by od początku wydawać się idealnym partnerem. Jeśli np. na profilu chętnie dzielisz się tym, co lubisz i czego szukasz w związku, nieuczciwa osoba może odegrać dokładnie taką rolę, by zdobyć twoje zaufanie. Dlatego nie zdradzaj zbyt szybko szczegółów o swojej sytuacji finansowej, majątku czy problemach osobistych. W sieci lepiej zachować ograniczone zaufanie, nawet jeśli rozmowa jest bardzo miła.

Zweryfikuj, z kim piszesz. Jeżeli odczuwasz choć cień podejrzeń co do prawdziwości zdjęcia czy tożsamości nowo poznanej osoby, przeprowadź odwrotne wyszukiwanie obrazem. Skorzystaj z Google Grafika lub strony typu TinEye, wgraj zdjęcie i sprawdź, czy nie pojawia się w innych miejscach w sieci. Jeśli fotografię „twojego ukochanego” znajdziesz np. na zagranicznym profilu pod innym nazwiskiem albo na stronie ze stockowymi zdjęciami, to znak, że masz do czynienia z oszustwem. Wiele fałszywych kont używa skradzionych zdjęć atrakcyjnych osób albo wygenerowanych przez AI wizerunków o urodzie „z katalogu”. Brak zwyczajnych zdjęć (ze znajomymi, z pracy, z dzieciństwa itp.) również powinien wzbudzić twoje podejrzenia.

Nie spiesz się z zaufaniem. Internet sprzyja szybkim więziom, ale poznawanie kogoś zawsze wymaga czasu i realnych doświadczeń. Jeśli ktoś już po paru dniach pisze ci, że jesteś „miłością jego życia”, zachowaj ostrożność. To nie znaczy, że każda intensywna znajomość jest oszustwem, ale prawdziwe uczucie potrzebuje więcej czasu i nie wymaga ciągłego pośpiechu ani tajemnic. Gdy czujesz, że emocje pędzą naprzód w zawrotnym tempie, daj sobie chwilę na refleksję. Porozmawiaj z kimś zaufanym o nowej znajomości; spojrzenie osoby postronnej może pomóc wychwycić ewentualne niepokojące sygnały.

Nigdy nie wysyłaj pieniędzy nieznajomej osobie poznanej online. To najważniejsza zasada. Bez względu na to, jak wiarygodnie brzmi prośba, jak dramatyczna jest historia czy jak bardzo wydaje Ci się, że kochasz tę osobę, nie przekazuj pieniędzy ani danych finansowych komuś, kogo fizycznie nigdy nie spotkałeś. Prawdziwy partner nie powinien oczekiwać od ciebie przesyłania pieniędzy, zwłaszcza w sekrecie przed innymi. Jeżeli pojawia się temat finansów, to prawie na pewno oszustwo. Podobnie nie udostępniaj danych swoich kont bankowych, kart płatniczych, numerów PIN, skanów dokumentów tożsamości itp., żadnej osobie poznanej w sieci, bez względu na okoliczności.

Co robić, jeśli zostałeś ofiarą?
Jeśli czytając to, orientujesz się, że ciebie lub kogoś bliskiego spotkało coś podobnego, nie obwiniaj się. Oszuści miłośni są bardzo sprytni i jak pokazują statystyki, mogą omamić każdego, niezależnie od inteligencji czy doświadczenia życiowego. Nie jesteś naiwny, to przestępcy cynicznie wykorzystali twoje naturalne potrzeby bycia kochanym i wysłuchanym. Teraz musisz jak najszybciej działać: przerwij wszelki kontakt z oszustem, zapisz całą korespondencję (przyda się jako dowód) i jak najszybciej zgłoś sprawę policji. Powiadom też swój bank o zaistniałej sytuacji, być może uda się zablokować niektóre transakcje lub ostrzec innych. Nie wstydź się prosić o pomoc. Przestępcy liczą na to, że ofiary będą milczeć z poczucia wstydu, nie rób im tej przysługi. Każde zgłoszenie to szansa, by uchronić inne osoby przed podobnym losem. Służby muszą wiedzieć o takich przypadkach, żeby móc im przeciwdziałać. Zgłaszając oszustwo, odzyskujesz kontrolę i działasz odpowiedzialnie, zarówno dla własnego bezpieczeństwa, jak i dla dobra innych potencjalnych ofiar.

Jak wspierać ofiarę takiego oszustwa?
Jeżeli w Twoim otoczeniu jest osoba, która padła ofiarą „romantycznej” manipulacji, okaż jej empatię, nie potępienie. Pamiętaj, że ofiara przeżywa nie tylko straty finansowe, lecz także ogromny ból emocjonalny i wstyd. Najważniejsze to jej nie oceniać i nie mówić rzeczy w stylu: „Jak mogłeś/można było się na to nabrać?”. Zamiast tego pomóż przerwać wszelki kontakt z oszustem i zachęć do zgłoszenia sprawy odpowiednim instytucjom (policja, bank). Wspieraj w odbudowaniu relacji z rodziną i przyjaciółmi, ofiary często były izolowane i boją się reakcji bliskich. Twoje spokojne wsparcie i zapewnienie, że każdy mógł dać się zwieść tak sprytnej manipulacji, będą dla takiej osoby bezcenne w powrocie do normalnego życia.

Pamiętaj: randkowanie online samo w sobie nie jest niczym złym. Wiele szczęśliwych związków zaczęło się w internecie. Problemem nie jest technologia, ale ludzie, którzy ją wykorzystują do krzywdzenia innych. Sztuczna inteligencja potrafi dziś doskonale udawać emocje i bliskość na odległość, dlatego twoją najlepszą ochroną jest świadomość zagrożeń i ograniczone zaufanie. Jeśli nowa internetowa miłość zaczyna wzbudzać twój niepokój, zatrzymaj się. Zweryfikuj fakty, porozmawiaj z kimś zaufanym albo zasięgnij porady specjalistów (np. cert Polska, infolinie ds. cyberbezpieczeństwa). Twoje serce zasługuje na cyfrowe bezpieczeństwo.

Źródła:
NASK; Miłość, manipulacja i sztuczna inteligencja
Urząd Komunikacji Elektronicznej (UKE); Czy w sieci masz większą szansę znaleźć miłość czy stracić pieniądze, czyli Poradnik (nie)romantyczny
Bankier.pl; Romantyczne oszustwa. Rosnący problem w Polsce i na świecie
Kryminalne.com; 68-letnia kobieta oszukana w związku przez internet. Straciła prawie 200 tysięcy złotych

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, oraz opracowane przez człowieka.

---

CZY WIESZ KTO PATRZY W TWOJĄ KAMERĘ IP?

Masz w domu kamerę, która daje ci spokój i poczucie bezpieczeństwa? Być może używasz jej jako elektronicznej niani do podglądu śpiącego dziecka lub obserwujesz mieszkanie podczas urlopu. Czujesz się bezpieczniej, wiedząc, że w każdej chwili możesz sprawdzić, co się dzieje w domu. Zastanawiałeś się jednak, czy tylko ty patrzysz na obraz ze swojej kamery IP? Okazuje się, że jeśli kamera jest źle zabezpieczona, dostęp do niej mogą uzyskać również obcy. W ostatnich tygodniach w internecie pojawiły się nawet oferty sprzedaży dostępu do przejętych kamer domowych. Na zamkniętych forach i serwerach w popularnym wśród młodzieży serwisie, hakerzy handlują obrazem z prywatnych mieszkań z całego świata, także z Polski.

 Źródło: Designed by Freepik

Urządzenie, które miało strzec twojego domu, może łatwo stać się narzędziem ataku. Jedna z głośnych spraw dotyczyła kamer znanej firmy Dahua. Przestępcy znaleźli w nich lukę i przejęli setkitakich kamer, a następnie sprzedawali dostęp do nich jak towar na czarnym rynku. Efekty takich włamań są bardzo poważne dla zwykłych ludzi. Obcy mogą patrzeć na twoje życie prywatne. Mogą widzieć, czy twoje dziecko śpi w łóżeczku, jak zachowują się twoi dziadkowie lub rodzice w domu, a nawet podejrzeć pacjentów w szpitalach i domach opieki. Potrafią też użyć głośnika w kamerze, by spróbować cię przestraszyć – zdarzały się przypadki, gdy intruzi krzyczeli do domowników lub odtwarzali przez kamerę niepokojące dźwięki. Takie zachowania to poważne naruszenie prywatności i mogą być szokujące dla ciebie i twojej rodziny.

Czy włamanie do kamery internetowej wymaga specjalistycznej wiedzy? Niestety, często nie. Cyberprzestępcy zwykle nie muszą łamać skomplikowanych zabezpieczeń. W wielu przypadkach po prostu próbują zalogować się do urządzenia fabrycznym hasłem i loginem dostarczonym przez producenta. Właściciele kamer często zapominają je zmienić przy instalacji. Standardowe hasła, takiejak „admin” czy „1234”, są powszechnie znane – wystarczy więc je wpisać, by dostać się do wnętrza niestrzeżonej kamery. Dodatkowo włamywacze wykorzystują algorytmy losowo zgadujące numery identyfikacyjne kamer w sieci. Dzięki temu potrafią hurtowo przejmować setki urządzeń przy minimalnym wysiłku. Później chwalą się w internecie swoimi „sukcesami” – na tajnych grupach pokazują zrzuty ekranu z prywatnych mieszkań, a nawet wspólnie organizują transmisje na żywo. W trakcie takich transmisji grupa osób jednocześnie obserwuje cudze domy i nęka właścicieli kamer, wymyślając coraz bardziej niepokojące sposoby na ich straszenie.

Możesz pomyśleć, że to problem odległy i dotyczący tylko egzotycznych krajów. Niestety, nasz kraj również znalazł się na celowniku. Specjaliści z zespołu Dyżurnet.pl (polski punkt kontaktowy do zgłaszania zagrożeń w sieci) ostrzegają, że także polskie kamery są przejmowane przez hakerów. Co gorsza, na niektórych zamkniętych polskich forach internetowych większość członków stanowią młode osoby, które dla rozrywki udostępniają sobie przejęte transmisje. Materiały z tych grup potwierdzają, że ofiarami padają również dzieci i młodzież. Hakerzy zaglądają do ich pokojów, odbierając im poczucie prywatności i bezpieczeństwa. Widać tam także osoby starsze, a nawet pacjentów leżących w szpitalach. Większość zhakowanych kamer pochodzi z krajów azjatyckich, ale pojawiły się również nagrania z Polski. Takie praktyki zaczynają przenikać na kolejne strony internetowe i platformy społecznościowe, gdzie publikowane są fragmenty nagrań. To nakręca spiralę nękania, kolejne osoby skuszone „zabawą” chcą płacić, by przez internet podglądać i straszyć niewinne ofiary.

Jak się ochronić?
Czy możesz w ogóle obronić się przed takim włamaniem? Na szczęście tak. Właściciele kamer nie są bezbronni, bo większości włamań można zapobiec. Okazuje się, że wielu ataków by nie było, gdyby nie proste błędy samych użytkowników. Trzeba tylko pamiętać o kilku podstawowych zasadach cyberbezpieczeństwa, aby twoja kamera służyła ochronie, a nie stała się źródłem zagrożenia.

Przede wszystkim upewnij się, że obraz z kamery nie jest publicznie dostępny w internecie. Kamery IP często oferują możliwość podglądu obrazu przez internet, ale jeśli skonfigurujesz to niewłaściwie, każdy może trafić na taką transmisję. Nie udostępniaj swojego wideo z kamer w sieci bez solidnego zabezpieczenia. Jeżeli chcesz mieć zdalny dostęp do domowej kamery (np. będąc w pracy lub na wakacjach), skorzystaj z bezpiecznego sposobu połączenia, którym tylko ty możesz zarządzać. Jednym z rozwiązań jest VPN (wirtualna sieć prywatna) – to jak prywatny, szyfrowany tunel do twojej domowej sieci. Dzięki niemu tylko ty zalogujesz się do kamery i nikt niepowołany nie podejrzy obrazu.

Nigdy nie zostawiaj w kamerze ustawień fabrycznych dotyczących hasła lub nazwy użytkownika. Zmień hasło od razu przy instalacji urządzenia. Standardowe loginy i kody dostępu (np. „admin”/„admin” lub „1234”) są powszechnie znane i ich niezmienienie to jak zostawienie klucza w drzwiach. Ustaw własny silny, unikalny kod dostępu, którego nie używasz nigdzie indziej. Jeśli kamera pozwala na zmianę nazwy użytkownika, też to zrób – tak, żeby włamywacz nie znał nawet loginu. Mocne hasło to podstawa twojego bezpieczeństwa.

Regularnie instaluj aktualizacje oprogramowania (tzw. firmware) swojej kamery. Każdy nowoczesny sprzęt ma system operacyjny, który czasem wymaga poprawek. Producent udostępnia aktualizacje właśnie po to, żeby załatać wykryte luki i błędy w zabezpieczeniach. Jeśli nie zadbasz o uaktualnienia swojego urządzenia, narażasz się na znane sposoby ataku, które producent już naprawił w nowszej wersji systemu. Aktualizacja to często jeden przycisk w aplikacji lub na stronie konfiguracyjnej kamery – nie zajmuje wiele czasu, a może uchronić cię przed włamaniem.

Zwracaj uwagę, od kogo kupujesz kamerę. Niestety na rynku jest mnóstwo tanich, nieznanych marek urządzeń monitorujących. Kuszą ceną, ale często nie oferują aktualizacji ani wsparcia technicznego. Taki sprzęt może mieć niezałatane dziury w zabezpieczeniach, o których nawet nie wiesz, a producent ich nie poprawia. Dla własnego bezpieczeństwa wybieraj kamery renomowanych firm. Znani producenci szybciej reagują, gdy znajdzie się zagrożenie, i dostarczają poprawki. Być może zapłacisz trochę więcej za markowy sprzęt, ale kupujesz spokój i solidne zabezpieczenie.

Nowoczesne technologie mają służyć ludziom, a kamera IP może naprawdę zwiększyć twoje bezpieczeństwo – pomoże ci doglądać domu, dzieci albo zwierząt, gdy nie możesz być na miejscu. Ale pamiętaj, że każde urządzenie podłączone do sieci może stać się furtką dla złodzieja. To od Ciebie zależy, czy twoja kamera będzie sprzymierzeńcem, czy słabym punktem domowej ochrony. Przestrzegając kilku prostych zasad – ustawiając hasło, dbając o aktualizacje i zachowując ostrożność – sprawisz, że niepożądane osoby nie będą mogły zajrzeć do twojego domu przez kamerę. Cyfrowe bezpieczeństwo zaczyna się od twoich decyzji. Technologia daje nam wygodę i ochronę, ale tylko wtedy, gdy sami odpowiedzialnie o nią zadbamy.

Źródła:

NASK.PL; Podglądani we własnych domach – czy twoja kamera jest bezpieczna?

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, oraz opracowane przez człowieka.

 

---

NOWA USTAWA KSC PRZYJĘTA PRZEZ SENAT

W świecie administracji publicznej cyberbezpieczeństwo przestało być tematem zarezerwowanym dla informatyków. Nowa ustawa o krajowym systemie cyberbezpieczeństwa otwiera kolejny etap zmian, które mają chronić państwo przed coraz bardziej złożonymi zagrożeniami. Jeśli pracujesz w urzędzie, szkole, instytucji kultury czy jednostce podległej samorządowi, ustawa dotyczy także ciebie. Zmienia sposób, w jaki organizacje publiczne mają troszczyć się o bezpieczeństwo danych i systemów. To ważne, bo infrastruktura cyfrowa stała się fundamentem działania urzędów i placówek, a każda przerwa czy awaria wpływa bezpośrednio na mieszkańców, uczniów czy lokalnych przedsiębiorców.

 Źródło: COPILOT

Nowa ustawa KSC powstała po kilku latach prac i ma dostosować polskie prawo do unijnych wymagań NIS2. Unia podnosi standardy, bo ataki na sektor publiczny nasilają się. Wystarczy wspomnieć paraliż urzędów po cyberatakach w regionach Europy czy przypadki, kiedy szkoły traciły dostęp do dzienników elektronicznych na wiele dni. Ustawa ma temu przeciwdziałać, wprowadzając konkretne obowiązki i zasady działania.

Najważniejszą zmianą jest nowy podział instytucji na podmioty kluczowe i podmioty ważne. Jeśli twoja jednostka oferuje usługi o krytycznym znaczeniu, musi spełniać wyższe wymagania. Jeśli działasz w kulturze, oświacie czy administracji lokalnej, prawdopodobnie zostaniesz zakwalifikowany jako podmiot ważny, czyli taki, który ma uproszczone, ale nadal istotne obowiązki. To oznacza mniej formalności, ale wciąż konieczność aktywnego dbania o bezpieczeństwo cyfrowe.

Drugim fundamentem ustawy jest zarządzanie ryzykiem. Przepisy wymagają, aby jednostki publiczne regularnie oceniały, jakie zagrożenia mogą przerwać ich pracę. To może oznaczać analizę ryzyka związanego z przerwaniem dostępu do systemów, błędem pracownika czy awarią usług zewnętrznych. Przykład z praktyki: w jednej z gmin dysk twardy z kluczowymi dokumentami uległ awarii. Dzięki wcześniejszemu planowi backupów sprawnie przywrócono dane. Ustawa ma sprawić, że takie podejście będzie standardem, a nie wyjątkiem.

Ważnym elementem nowych przepisów jest raportowanie incydentów. Twoja instytucja ma obowiązek zgłaszać przypadki, które wpływają na jej działanie, do odpowiednich zespołów reagowania. Chodzi o to, aby wiedza o zagrożeniach nie zostawała w jednej jednostce, tylko była wykorzystywana szerzej. To pozwoli szybciej reagować i chronić inne podmioty.

Nowa ustawa daje też więcej uprawnień Ministrowi Cyfryzacji oraz sektorowym organom odpowiedzialnym za cyberbezpieczeństwo. Mogą oni nakazać audyty, wskazywać kierunki działania czy oceniać dostawców technologii. Dla ciebie oznacza to, że wytyczne i kontrole będą bardziej konkretne. Z punktu widzenia praktyki urzędu to korzystne — łatwiej będzie zrozumieć, co trzeba poprawić i dlaczego.

Na poziomie technicznym przepisy porządkują kwestie sprzętu i oprogramowania. Zgodnie z nimi sprzęt dostawców wysokiego ryzyka ma zniknąć z systemów publicznych w ciągu kilku lat. Ten proces wymaga planowania, zwłaszcza w jednostkach, które mają ograniczone budżety. Warto już dziś zrobić inwentaryzację sprzętu i ustalić, co może wymagać wymiany.

Ważna zmiana dotyczy audytów bezpieczeństwa. Podmioty publiczne muszą je przeprowadzać co dwa lata, a wyniki w krótkim czasie przekazać odpowiednim organom. To nie jest tylko formalność. Audyt pomaga odkryć słabe punkty, zanim zrobi to ktoś z zewnątrz. Jeśli kierujesz zespołem lub odpowiadasz za systemy, warto traktować to jako narzędzie wspierające, a nie obciążenie.

Nowa ustawa kładzie też nacisk na łańcuch dostaw. Gdy urząd kupuje usługę cyfrową, oprogramowanie czy sprzęt, jest odpowiedzialny za sprawdzenie, czy dostawca zapewnia odpowiedni poziom bezpieczeństwa. Przykładem może być wybór firmy oferującej hosting dla strony urzędu. W przeszłości zdarzało się, że słabe zabezpieczenia firmy zewnętrznej powodowały problemy w instytucji publicznej. Teraz przepisy wymagają, aby takie ryzyko było analizowane.

Jeśli pracujesz w administracji, zacznij od prostych kroków, które ustawa będzie wymagać. Upewnij się, że twój zespół wie, jak zgłaszać incydenty. Sprawdź, czy masz kopie zapasowe i czy ktoś je regularnie testuje. Przejrzyj usługi zewnętrzne, z których korzystasz, i oceń, czy są bezpieczne. Takie działania podnoszą odporność instytucji i ułatwiają spełnienie wymogów prawnych.

Nowa ustawa KSC to szansa, żeby administracja pracowała w bardziej uporządkowany i bezpieczny sposób. Nie chodzi o tworzenie dodatkowych dokumentów, tylko o zmianę myślenia. Twoja instytucja jest ważnym elementem państwa i odpowiada za usługi, z których korzystają obywatele. Bezpieczeństwo cyfrowe jest dzisiaj tak samo ważne jak zabezpieczenia budynku czy ochrona fizyczna.

Źródła:

• gov.pl; Krajowy system cyberbezpieczeństwa
• bankier.pl; Senat przyjął nowelę ustawy o KSC. Gawkowski: Jestem dobrej myśli ws. podpisu prezydenta
• cyberdefence24.pl; Senat przyjął nowelizację ustawy o KSC. Teraz czas na prezydenta

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, opracowany przez człowieka.

---

ATAK NA KONTA NAUCZYCIELI W DZIENNIKU ELEKTRONICZNYM

W ostatnich tygodniach wiele szkół w całej Polsce mierzyło się z serią przejęć kont nauczycieli w najbardziej popularnych dziennikach elektronicznych. Sprawa szybko wyszła poza pojedyncze incydenty i uświadomiła, jak łatwo przestępcy potrafią wykorzystać nieuwagę użytkowników. Jeśli pracujesz w szkole czy urzędzie gminy, ta sytuacja dotyczy także ciebie, bo atak nie wynikał z błędów systemów, lecz z problemów z codziennym korzystaniem z kont i haseł. Tego typu zdarzenia pokazują, że bezpieczeństwo cyfrowe w oświacie wymaga nie tylko dobrych narzędzi, ale także większej uwagi i podstawowej cyfrowej higieny każdego pracownika.

 Źródło: COPILOT

W wielu szkołach obserwowano podobny schemat zdarzeń. Na kontach nauczycieli pojawiały się prośby o przelewy, wulgarne wiadomości albo komunikaty stylizowane na zwykłe ogłoszenia szkolne. W jednej ze szkół na Dolnym Śląsku z przejętego konta nauczycielki wysłano do rodziców prośbę o wpłatę niewielkiej kwoty na fałszywy cel. W innych miejscach wysyłano treści obraźliwe lub prowokacyjne. W Otwocku ktoś wystawił uczniom jedynki i rozesłał wiadomości pełne wulgaryzmów.

Ważne jest to, czego ostatecznie nie potwierdzono. Nie doszło do ataku na serwery Librusa czy Vulcana. Przestępcy nie musieli łamać zabezpieczeń technicznych. Zamiast tego wykorzystali dane logowania nauczycieli, które wpadły w ich ręce w inny sposób. Eksperci zwracają uwagę, że hasła często trafiają do publicznych baz po infekcji komputerów złośliwym oprogramowaniem. Takie programy potrafią kraść loginy i hasła prosto z przeglądarki. Jeżeli używasz jednego hasła w wielu miejscach lub nie zmieniasz go przez lata, zwiększasz ryzyko podobnego ataku na twoje konto.

Dostawcy dzienników potwierdzają, że systemy jako takie nie uległy złamaniu. Według przedstawicieli Librusa i Vulcana przestępcy logowali się bezpośrednio na konkretne konta, korzystając z poprawnych danych uwierzytelniających. W wielu komentarzach pojawia się jeden wspólny wniosek. Łatwo okraść kogoś, kto nie korzysta z prostych zabezpieczeń, które ma na wyciągnięcie ręki. Z udostępnionych danych wynika, że z dwuskładnikowego uwierzytelniania w Librusie korzysta niespełna jedna piąta nauczycieli, a pozostałe osoby logują się wyłącznie hasłem.

Jeśli pracujesz w administracji samorządowej, szkoła podlega twojej pieczy organizacyjnej i finansowej. Bezpieczeństwo cyfrowe nauczycieli wpływa na rodziców, uczniów i urząd, bo to właśnie gmina lub powiat odpowiada za politykę bezpieczeństwa w placówkach. Przestępcy chętnie wykorzystują każdy element słabszy niż pozostałe. Jeśli jeden nauczyciel nie zmienił hasła od lat, cała szkoła może mieć problem. To dobra okazja, by przyjrzeć się temu, jak wygląda szkolenie z cyberbezpieczeństwa i czy szkoły z terenu twojej gminy mają realne wsparcie w tym zakresie.

Najprostszym krokiem, który możesz wykonać już teraz, jest sprawdzenie, czy w twojej placówce obowiązuje dwuskładnikowe logowanie, oraz czy pracownicy wiedzą, jak je włączyć. W wielu przypadkach wymaga to jedynie zainstalowania aplikacji lub posiadania klucza bezpieczeństwa. Jeśli nauczyciele korzystają z prywatnych komputerów, przypomnij im o aktualizacjach i programach antywirusowych. Przekaż im także zasadę, by nie ufać każdej wiadomości pojawiającej się w dzienniku, zwłaszcza jeśli zawiera prośbę o pieniądze. Gdy rodzic otrzyma prośbę o wpłatę, zawsze powinien potwierdzić ją w innym kanale, na przykład telefonicznie w sekretariacie.

Ataki na e‑dzienniki pokazały też coś istotnego dla urzędów. Sam system, nawet najlepiej zaprojektowany, nie zabezpieczy nikogo, jeśli użytkownicy ignorują dostępne funkcje ochrony. Pracownik administracji ma wpływ na to, czy szkoły traktują bezpieczeństwo poważnie. Masz narzędzia, by wymagać stosowania podstawowych zasad. Krótkie szkolenia, wewnętrzne procedury i jasne wymagania wobec dyrektorów szkół podnoszą poziom ochrony szybciej niż kolejne kampanie informacyjne. Jeśli tego nie zrobisz, kolejne incydenty będą jedynie kwestią czasu.

Źródła:

• niebezpiecznik.pl; Fala włamań na konta nauczycieli w e-dziennikach różnych szkół na terenie całej Polski
• strefaedukacji.pl; Konta nauczycieli wciąż zagrożone. Librus reaguje
• Trybunalski.pl; Oszuści przejęli konta nauczycieli
• Wprost.pl; Włamania do e‑dzienników w polskich szkołach

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, opracowany przez człowieka.

---

Z NOWYM ROKIEM CZAS NA CYFROWE PORZĄDKI

Nowy rok to dobry moment, żeby zrobić porządek w cyfrowym życiu — nie tylko u ciebie w domu, ale także w urzędach i instytucjach. Każde konto w sieci, każde hasło i każdy stary telefon to potencjalne ryzyko dla bezpieczeństwa. Statystyki pokazują, że Polacy coraz częściej korzystają z internetu — w 2025 r. 96,2 proc. gospodarstw domowych miało dostęp do sieci, a 85 proc. osób używa internetu codziennie lub prawie codziennie. To oznacza, że prawie każdy ma swoje cyfrowe ślady, które trzeba uporządkować.

Źródło: Designed by Freepik

W administracji publicznej postępuje digitalizacja, ale nie każda jednostka jest równie gotowa na nowe zagrożenia. Technologie takie jak sztuczna inteligencja są wciąż rzadziej stosowane, a wiele urzędów może lepiej zadbać o bezpieczeństwo swoich danych.

Poniżej kilka wskazówek, jak skutecznie zarządzać cyfrowym łupieżem w cyberprzestrzeni.

Przejrzyj konta i usługi

Najpierw spójrz na wszystkie konta, które masz w internecie — prywatne i służbowe. Jeśli zmieniałeś miejsce pracy możesz mieć nieaktualne profile służbowe:

• konto ePUAP, e-doręczenia, sprawozdawczość,
• dostęp do lokalnych systemów dziedzinowych,
• dostęp do centralnych / rządowych systemów dziedzinowych,

• profile w chmurze.

Wiele osób ma stare konta w sklepach online, portalach społecznościowych, forach czy aplikacjach, które dawno nie były używane. Jeśli ich nie potrzebujesz, usuń je. To tak jak wyrzucenie starych dokumentów z biurka — mniej bałaganu oznacza mniejsze ryzyko wycieku danych. Warto poświęcić chwilę na analizę skrzynki mailowej i przypomnienie sobie, gdzie się rejestrowaliśmy.

Uporządkuj hasła

Silne hasła to podstawa. Statystyki GUS pokazują, że większość Polaków używa internetu nie tylko do poczty i komunikatorów, ale też do bankowości i zakupów online. Jeśli w administrowaniu korzystasz z  jednego hasła do wielu serwisów, to ryzyko wzrasta.

Najprościej jest:

• zmienić stare hasła na unikalne dla każdej usługi,
• minimalna długość hasła to 12 znaków,
• używać mesendżera haseł do ich przechowywania,
• wprowadzić weryfikację dwuetapową tam, gdzie to możliwe.

To nie są trudne zmiany, a znacząco podnoszą bezpieczeństwo.

Sprawdź uprawnienia aplikacji i dane

Zarówno w urzędzie jak i na swoim smartfonie regularnie sprawdzaj, jakie uprawnienia mają zainstalowane aplikacje. Czy określona aplikacja potrzebuje:

• dostępu do mikrofonu, kamery,
• lokalizacji GPS,
• rejestru kontaktów,
• sms i połączeń,
• biblioteki multimediów.

Jeśli nie masz już potrzeby korzystania z którejś z aplikacji, usuń ją. W przypadku pozostałych, sprawdź czy naprawdę potrzebują wszystkich zgód, które kiedyś im dałeś. To jak sprawdzanie, komu dajesz klucze do biura — warto to robić regularnie. Warto zajrzeć do ustawień oznaczania na zdjęciach, widoczności postów oraz tego, kto może zobaczyć nasze dane kontaktowe.

Zadbaj o stare urządzenia

Często w urzędzie zalegają stare laptopy, telefony czy tablety, które ktoś kiedyś dostał i odłożył do szuflady. Zanim je wyrzucisz, sprzedasz lub oddasz, zrób trzy czynności:

• wykonaj kopię ważnych danych,
• wyzeruj dysk twardy,
• przywróć urządzenie do ustawień fabrycznych.

To nie tylko dobre nawyki — to minimalizacja ryzyka, że w urządzeniu zostaną dane urzędników albo mieszkańców. W praktyce widziałem przypadki, gdzie na starym sprzęcie znajdowały się kontakty i dokumenty z poprzednich lat. Tego typu „śmieci cyfrowe” łatwo mogą stać się problemem.

Kopie zapasowe to nie fanaberia

Kopie zapasowe danych to coś, co na początku roku warto zorganizować. GUS podaje, że większość osób używa internetu do pracy, poczty i bankowości — wszystkie te dane mogą być istotne w razie awarii sprzętu lub ataku hakerskiego.

Prosta zasada jest taka:

• miej co najmniej 3 kopie ważnych danych,
• przechowuj je na dwóch różnych nośnikach (np. dysk zewnętrzny i chmura),
• jedną kopię trzymaj w innej lokalizacji fizycznej,
• dostęp do kopii zabezpiecz silnym hasłem.

Regularnie testuj, czy kopie są aktualne i czy da się je odczytać. Często kopie zapasowe mają uszkodzone pliki.

Uświadamiaj innych i ucz się na bieżąco

Informatyzacja to nie tylko technologia, to też ludzie. Dane GUS pokazują, że jeszcze spora część społeczeństwa ma problemy z umiejętnościami cyfrowymi.

W urzędzie warto:

• organizować krótkie szkolenia dla pracowników,
• dzielić się prostymi zasadami bezpieczeństwa za pomocą portalu cbs.wokiss.pl,
• pomagać mieszkańcom w bezpiecznym korzystaniu z e-usług.

To podnosi kompetencje cyfrowe całej społeczności.

Cyberpostanowienia na nowy rok

Absolutnie proste i bardzo praktyczne:

• regularnie aktualizuj systemy operacyjne i oprogramowanie układowe na urządzeniach,
• wykonuj kopie zapasowe,
• ogranicz liczbę aplikacji i powiadomień,
• świadomie decyduj, jakie dane i komu udostępniasz.

Źródła:

• nask.pl; Cyfrowy reset na nowy rok,
• biznes.pap.pl; W 2024 r. 87,6 proc. Polaków regularnie korzysta z internetu – GUS,
• biznes.pap.pl; Dostęp do internetu w 2025 r. posiadało 96,2 proc. gospodarstw domowych – GUS,
• itreseller.pl; Sztuczna inteligencja w administracji jeszcze raczkuje – GUS.

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, opracowany przez człowieka.

---

CYFROWA HIGIENA W ADMINISTRACJI

Każdego dnia w urzędzie korzystasz z komputera, telefonu i internetu. Te narzędzia ułatwiają pracę, ale mogą być przyczyną stresu, błędów, marnowania czasu. Generują również ryzyko naruszenia danych. Cyfrowa higiena to zbiór prostych zachowań, które pomagają kontrolować to, jak korzystasz z technologii, tak żeby nie szkodziła Twojej efektywności, zdrowiu i bezpieczeństwu. To nie tylko „bezpieczeństwo IT”, a szeroki zestaw praktyk dobrze dopasowanych do realiów pracy biurowej i administracyjnej.

Źródło: Designed by Freepik

Jak podaje Instytutu Cyfrowego Obywatelstwa, prawidłowe zachowania podczas pracy z urządzeniami ekranowymi można podzielić na kilka kluczowych obszarów.

Stawianie granic w używaniu urządzeń

W administracji często spędzamy 8h przed ekranem. Powiadomienia, e-maile, pisma urzędowe, aplikacje dziedzinowe – wszystko przyciąga uwagę i rozprasza.

• Pracuj z planem dnia i wyznacz momenty na sprawdzanie poczty oraz komunikatorów.
• Zredukuj liczbę powiadomień w telefonie służbowym i osobistym.
• Wyłącz aplikacje, które nie pomagają Ci w pracy i powodują „przeskakiwanie” między zadaniami.

Jeśli ciągle odrywają Cię powiadomienia, tracisz koncentrację i wydłuża się czas wykonywania obowiązków. Kontrola czasu spędzanego przed ekranem pomaga tego uniknąć. Staraj się robić krótkie przerwy.

Bezpieczne korzystanie z internetu i danych

W pracy administracyjnej często pracujesz z danymi osobowymi i dokumentami urzędowymi. Nierozważne udostępnianie danych może mieć poważne konsekwencje.

• Nie publikuj danych osobowych w mediach społecznościowych ani otwartych systemach.
• Akceptuj zaproszenia lub kontakty online tylko wtedy, gdy znasz nadawcę.
• Zanim klikniesz opublikuj, poproś kolegę, aby sprawdził informacje przygotowane do publikacji.
• Nie umieszczaj danych osobowych w publicznej chmurze bez ustalonej geolokalizacji.

Ryzyko ujawnienia danych rośnie, gdy robisz to bez refleksji. Zachowanie ostrożności przy publikowaniu lub udostępnianiu chroni Ciebie i interesantów.

Ochrona kont i narzędzi pracy

Hasła, publiczne sieci Wi-Fi, fałszywe e-maile – to realne zagrożenia, z którymi spotykasz się codziennie.

• Używaj mocnych i unikalnych haseł dla każdego systemu.
• Włącz uwierzytelnianie dwuskładnikowe tam, gdzie to możliwe.
• Nie loguj się do służbowych zasobów z nieznanych lub publicznych sieci Wi-Fi.

Takie dobre praktyki minimalizują ryzyko wycieku danych urzędu i naruszeń bezpieczeństwa informacji.

Świadome tworzenie i dobór treści

To, co piszesz, udostępniasz i komentujesz, ma wpływ na wizerunek urzędu i relacje z interesantami.

• Zanim udostępnisz post lub komentarz, sprawdź, czy jest to konieczne i prawidłowe.
• Nie publikuj zdjęć innych osób bez ich zgody.
• Weryfikuj informacje w internecie, zanim się nimi podzielisz.

Treści tworzone przez urzędników często trafiają do szerokiego grona. Odpowiedzialność za ich jakość zwiększa zaufanie do instytucji.

Dobór i weryfikacja informacji

Codziennie dociera do Ciebie ogrom danych. Jeśli nie będziesz selekcjonować źródeł, stracisz czas i możesz ulec dezinformacji.

• Wybieraj zaufane źródła informacji.
• Przed kliknięciem sprawdź, kim jest autor.
• Analizuj treści, uważaj na dezinformację i deepfake.

To ograniczy „zamęt informacyjny” i zwiększy Twoją skuteczność w pracy.

Takie praktyki poprawią Twoją koncentrację, bezpieczeństwo i komfort pracy.

Źródła:

• higienacyfrowa.pl; Obszary higieny cyfrowej

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, opracowany przez człowieka.

---

FAŁSZYWE KONTROLE URE

W ostatnich tygodniach w całej Polsce pojawiają się sygnały, że nieznane osoby pukają do drzwi właścicieli instalacji fotowoltaicznych i przedstawiają się jako pracownicy Urzędu Regulacji Energetyki (URE), rzekomo w celu kontroli paneli słonecznych. Ten przekaz brzmi oficjalnie i może Cię zmylić. Urząd wydał jednak jasny komunikat, że nie prowadzi takich wizyt u prosumentów w domach prywatnych. To oznacza, że te kontrole są fałszywe i mogą być próbą oszustwa lub wyłudzenia.

Źródło: Designed by Freepik

Urząd jako regulator rynku energii nadzoruje przedsiębiorstwa energetyczne, ustala taryfy, wydaje koncesje i monitoruje rynek. Osoby twierdzące, że pracują na zlecenie URE i chcą wejść na posesję w celu kontroli, robią to bez uprawnień i wprowadzają Cię w błąd.

Operator systemu dystrybucyjnego (OSD), czyli firmy takie jak PGE, Tauron, Enea czy Energa, mogą przeprowadzać kontrole sieci i instalacji podłączonych do sieci. Takie kontrole mają zasady:

• są wcześniej zapowiedziane,
• kontrolerzy mają imienne upoważnienia i legitymacje,
• nie proszą o podpisywanie dokumentów poza tym, co wynika z procedur operatora,
• nie żądają pieniędzy od właściciela.

Jeżeli ktoś pojawia się bez wcześniejszego kontaktu, nie przedstawia prawdziwego dokumentu i mówi, że robi kontrolę „z URE”, najpewniej nie mówi prawdy.

Fałszywi „kontrolerzy” starają się być wiarygodni. Mogą mieć identyfikatory z logo, nosić profesjonalne ubrania albo znać podstawowe informacje o fotowoltaice. Jeśli coś Cię zaciekawi lub zaniepokoi w zachowaniu takiej osoby, nie wpuszczaj jej na posesję do czasu wyjaśnienia sytuacji.

Zawsze możesz poprosić o dokumenty i spisać dane osoby rzekomego kontrolera. Zadzwoń wtedy do Twojego operatora sieci, on potwierdzi, czy taka kontrola miała być wykonana. Jeżeli osoba zachowuje się natarczywie, żąda pieniędzy albo wymusza podpisy pod dokumentami, zakończ spotkanie i zadzwoń na policję (112). Ostrzeż sąsiadów, bo oszuści często działają w okolicy i odwiedzają od kilku do kilkunastu domów pod podobnym pretekstem.

W administracji często spotykasz się z sygnałami od mieszkańców o dziwnych kontrolach. W tej sytuacji możesz podjąć proste działania na rzecz społeczności:

• Wyjaśnij obywatelom, że URE nie robi kontroli instalacji w domach.
• Naucz ich weryfikować upoważnienia operatora i kontaktować się z firmą, zanim udostępnią komuś posesję.
• Zachęcaj do rejestrowania wizyt, robienia zdjęć dokumentów i konsultowania się z lokalnym urzędem gminy, policją albo z prawnikiem.
• Udostępnij listę operatorów sieci lokalnych, żeby mieszkańcy mogli zadzwonić bezpośrednio w razie wątpliwości.

Statystyki pokazują, że w Polsce działa już ponad 1,5 mln mikroinstalacji OZE, z czego zdecydowana większość to fotowoltaika prosumentów. To duża liczba potencjalnych celów dla oszustów. Jeżeli potrafisz ostrzec mieszkańców, że mogą paść ofiarą fałszywych kontroli URE, i nauczysz jak je rozpoznać, minimalizujesz ryzyko oszustw w społeczności. Twoja wiedza pomaga ludziom zachować ostrożność i unikać zagrożeń związanych z nieuprawnionymi wizytami.

Źródła:

• interia.pl; Kontrola fotowoltaiki w każdym domu. URE wydał ważny komunikat
• ure.gov.pl; Informacja Prezesa URE nr 46/2025
• ure.gov.pl; Ważne: Prezes URE nie organizuje egzaminów ani nie wydaje świadectw
• PAP Biznes; Na koniec 2024 r. w Polsce działało 1,5 mln mikroinstalacji OZE - URE

---

CZY WOLNO MONITOROWAĆ SĄSIADÓW I PRZESTRZEŃ PUBLICZNĄ?

Coraz więcej osób montuje kamery wokół domu dla własnego bezpieczeństwa. To naturalne. Każdy chce chronić swój dom i majątek. Nie każdy jednak wie, że kamera nie zawsze może rejestrować wszystko dookoła. Gdy jej zasięg obejmuje teren należący do sąsiada albo publiczną drogę, wchodzi w grę prawo o ochronie danych osobowych. Prezes Urzędu Ochrony Danych Osobowych (UODO) właśnie wydał decyzję, która to potwierdza. Ta informacja ma pomóc zrozumieć granice monitoringu prywatnego i uniknąć konfliktów z prawem.

Źródło: Designed by Freepik

Prawo nie zabrania instalacji systemów monitoringu na własnej posesji. Możesz je montować po to, by chronić dom przed włamaniem albo wandalizmem. Takich kamer nie musisz zgłaszać do urzędu, jeżeli filmują tylko Twój teren. Problem pojawia się wtedy, gdy kamera nagrywa więcej niż Twój dom. Jeżeli w polu widzenia znajduje się podwórko sąsiada, wejście do domu, okna, albo nawet fragment drogi publicznej, sytuacja się zmienia. Wtedy te dane to już informacje o osobach trzecich i podlegają przepisom RODO.

Zgodnie z wyrokiem Trybunału Sprawiedliwości Unii Europejskiej z 11 grudnia 2014 r. w sprawie C-212/13 (František Ryneš), przetwarzanie danych nie ma charakteru wyłącznie osobistego lub domowego, jeśli monitoring obejmuje choćby częściowo przestrzeń publiczną lub teren należący do osób trzecich.

Na podstawie art. 58 ust. 2 lit. c RODO Prezes UODO nakazał zaprzestania przetwarzania danych osobowych skarżących za pomocą monitoringu wizyjnego w zakresie wizerunku oraz głosu, obejmującego swym zasięgiem drogę publiczną oraz nieruchomości skarżących, wobec braku podstawy prawnej dla tego przetwarzania. DECYZJA

Sąsiedzi w skardze do Prezesa UODO podnieśli, że zebrane dane są przetwarzane bez ich zgody. Mieszkańcy czują się nękani i mają poczucie naruszania ich prywatności, co negatywnie wpływa na ich codzienne życie. Kamery obejmowały kilkanaście obszarów, w tym drogę publiczną i sąsiednie budynki. Nagrywały obraz i dźwięk przez całą dobę. Jedna z kamer miała być skierowana bezpośrednio na okno toalety w sąsiednim budynku.

Jeśli kamera rejestruje przestrzeń publiczną albo cudzą posesję, jesteś traktowany jak administrator danych. W takiej sytuacji musisz stosować przepisy o ochronie danych. Nie wolno traktować kamery jak narzędzia do „utrzymania porządku” na drodze albo w sąsiedztwie. Takie zadania należą do organów państwowych i profesjonalnych służb, nie do osób prywatnych. UODO jasno wskazał, że prywatny monitoring nie może zastępować policji czy straży miejskiej.

Sprawdź zasięg kamery. Jeżeli filmujesz drogi, chodniki albo cudze posesje, zmień kąt widzenia. Skieruj kamerę tak, aby rejestrowała tylko własną działkę. Jeżeli to możliwe, wyeliminuj fragmenty z sąsiedztwa i publiczne miejsca. Nie nagrywaj dźwięku, jeśli obejmujesz cudze tereny. Zbieranie dźwięku to również dane osobowe i zwiększa ryzyko naruszenia prywatności. Umieść tabliczkę informującą o monitoringu tylko tam, gdzie to Twoje tereny.

Źródła:

• uodo.gov.pl; Prezes UODO reaguje w sprawie kamer monitoringu zbierających dane z posesji sąsiadów
• orzeczenia.uodo.gov.pl; Decyzja DS.523.6546.2024

---

CYBERATAK NA SKRZYNKI E-MAIL W UZP I KIO

W połowie grudnia 2025 r. potwierdzono poważny incydent bezpieczeństwa w Urzędzie Zamówień Publicznych (UZP) i Krajowej Izbie Odwoławczej (KIO). Cyberprzestępcy uzyskali dostęp do skrzynek pocztowych urzędników. W wiadomościach e-maili mogły znajdować się dane kontaktowe, informacje finansowe, skargi, wnioski, postepowania odwoławcze itp. Oznacza to, że ktoś mógł przeczytać korespondencję urzędników, pobrać załączniki i wykorzystać je do własnych celów.

 Źródło: Designed by Freepik

Incydent uderzył w podstawowe narzędzie pracy administracji, czyli pocztę elektroniczną. To pokazuje, że atakujący interesują się instytucjami państwowymi i testują, gdzie użytkownicy popełniają błędy. Najczęściej cyberprzestępcy wykorzystują phishing i podszywają się pod znane instytucje do których mamy zaufanie. Gdy uda im się włamać na jedno konto, przygotowują kolejną kampanie z przejętego adresu. Taki atak jest bardzo wiarygodny i trudny do wykrycia na pierwszy rzut oka, ponieważ nadawca jest prawdziwy i zaufany. Z e-mail i załączników pobierają dane, które mogą wykorzystać do zaciągania zobowiązań.

Urząd zgłosił incydent do odpowiednich służb i rozpoczął działania naprawcze. Konta zostały zablokowane, hasła zresetowane, a sama sytuacja jest analizowana pod kątem naruszenia danych osobowych. To typowe kroki, które należy podjąć, gdy ktoś uzyska dostęp do korespondencji urzędowej. Ostatecznie ważne jest, aby każdy pracownik wiedział, że skrzynka pocztowa jest jak sejf, jeżeli ktoś tam wejdzie, może zrobić szkody.

Taka sytuacja może przydarzyć się każdemu. Dlatego warto wdrożyć dwuetapową autoryzację, regularnie zmieniać hasło, nie używać jednego hasła do wielu usług, nie klikać w podejrzane linki, nie pobierać nieoczekiwanych załączników i sprawdzać, kto tak naprawdę do nas pisze. Jeżeli wiadomość wywołuje presję, strach lub pośpiech, jest duża szansa, że to próba ataku. Najlepiej wtedy zadzwonić do nadawcy i upewnić się, że wiadomość jest prawdziwa.

Incydent w UZP to sygnał, że cyberbezpieczeństwo nie jest technologiczną ciekawostką, ale obowiązkiem w codziennej pracy. Każdy z nas ma wpływ na to, czy urząd pozostanie bezpieczny. Jeśli nie masz pewności, zawsze lepiej zapytać dział IT niż działać w ciemno. To właśnie drobne decyzje pracowników najczęściej decydują o tym, czy atak się uda.

Źródła:

• gazetaprawna.pl; Cyberatak na Urząd Zamówień Publicznych. Skrzynki e-mail pracowników w rękach hakerów
• isportal.pl; Cyberatak na Urząd Zamówień Publicznych. Mogło dojść do wycieku danych osobowych

---

GDZIE JEST GRANICA BEZPIECZEŃSTWA GIER DLA DZIECI?

Gry komputerowe są dziś ogromnym rynkiem – NASK podaje, że ich wartość przewyższa przemysł filmowy i muzyczny. To nie tylko zabawa – to także ogromne zasoby: konta graczy, wirtualne przedmioty, portfele cyfrowe. Dla cyberprzestępców to atrakcyjny cel. Ryzyko pojawia się w momentach, które na pierwszy rzut oka wydają się normalne: instalowanie aktualizacji, korzystanie z testowych wersji gier („early access”), pobieranie modów, logowanie do platform. To, co wygląda jak codzienna rutyna gracza, może być pułapką.

Źródło: Designed by Freepik

Fałszywe aktualizacje i zainfekowane gry

NASK opisuje przypadki, gdy aktualizacja gry zawiera złośliwy kod. Gracz myśli, że instaluje poprawkę lub nową wersję. Jednak w tle, uruchamiają się programy, które zbierają dane logowania, hasła lub nawet przejmują kontrolę nad kontem.

Przykładem jest gra „BlockBlasters”: po jej aktualizacji okazało się, że zainfekowano komputery graczy. Dane z kont Steam zostały przejęte, a 150 000 USD skradziono z portfeli kryptowalutowych użytkowników.

Fakeowe wersje testowe („early access”)

Oszuści oferują rzekome testowe wersje gier, kusząc darmowym dostępem lub kluczem. Tworzą nawet imitacje stron producentów. Gracz pobiera plik, loguje się – i przekazuje swoje dane oszustom. W niektórych przypadkach aplikacja wygląda jak prawdziwa gra, ale zawiera malware.

NASK przywołuje przykład gry „Chemia” („survival-crafting”) – użytkownicy myśleli, że testują normalny projekt, tymczasem wersja wczesnego dostępu była zainfekowana narzędziami do kradzieży danych i backdoorami. Ciekawość graczy („będę pierwszy”, „pobiorę test”) staje się narzędziem ataku.

Phishing w świecie graczy

Phishing to nie tylko e-mail – w kontekście gier może przybrać formę fałszywych stron logowania, zaproszeń na turnieje albo ofert darmowych kluczy. NASK opisuje mechanizm „browser-in-the-browser”: oszuści imitują okno prawdziwej przeglądarki lub aplikacji (np. Steam), podszywając się pod nią.

Takie strony mogą wyglądać identycznie jak oryginał. Różnica bywa w detalu – np. adres URL. Wprowadzając swoje dane, gracz przekazuje je bezpośrednio przestępcy.

Eksperci z CERT Polska zalecają: nie loguj się przez linki z wiadomości, nawet jeśli wyglądają dobrze. Lepiej wejść na stronę samodzielnie lub przez oficjalną aplikację. Warto też włączyć uwierzytelnianie dwuskładnikowe (2FA) dla konta – to prosty, ale skuteczny środek ochrony.

Ryzyko związane z modami

Modyfikacje (mody) są niesamowicie popularne. Pozwalają graczom dodawać nowe treści, postacie, mapy. Ale nie wszystkie są bezpieczne. Ponieważ mody tworzy społeczność, czasem anonimowo, nie zawsze wiesz, skąd naprawdę pochodzą.

Dobre źródło modów to podstawa bezpieczeństwa – korzystaj z zaufanych stron, sprawdzaj opinie, unikaj nieoficjalnych linków.

Psychologiczne i społecznościowe pułapki

Gry online to nie tylko kod – to społeczność. Ludzie grają razem, rozmawiają, wymieniają się treściami. To idealne środowisko dla oszustów. Fałszywe oferty turniejów, pracy jako gracz czy twórca – to wszystko może być maską do przekazywania złośliwych linków.

Przestępcy potrafią też wykorzystać komunikatory i media społecznościowe powiązane z grami, by zmanipulować graczy. Tworzą kampanie, które łączą technikę (złośliwe pliki) z socjotechniką (zaufanie społeczności).

Jak rozpoznać bezpieczne gry?

Granica między rozrywką a zagrożeniem zależy w dużej mierze od tego, jak ostrożne są nasze dzieci. Przekaż im kilka dobrych wskazówek:

1. Pobieraj gry tylko z oficjalnych platform – Steam, Epic Games, inne zaufane sklepy.
2. Przed aktualizacją upewnij się, że pochodzi od prawdziwego wydawcy – sprawdź komunikat, adres strony.
3. Unikaj podejrzanych wersji testowych – jeśli ktoś oferuje „ekskluzywny klucz”, sprawdź, czy to oficjalna propozycja.
4. Używaj uwierzytelniania dwuskładnikowego (2FA) na kontach – to znacznie zwiększa bezpieczeństwo.
5. Przy modach – sięgaj po modyfikacje z oficjalnych stron lub renomowanych społeczności, unikaj nieznanych źródeł.
6. Ucz dzieci krytycznego myślenia – tłumacz, że nie każdy link w grze lub na czacie jest bezpieczny.
7. Rozmawiaj z dzieckiem o cyberzagrożeniach i monitoruj, w jakie gry gra – zwłaszcza te nowe lub tanie wersje testowe.

W Polsce coraz więcej dzieci korzysta z internetu samodzielnie. Z badań podawanych przez PAP wynika, że 77 proc. dzieci w wieku 13–17 lat korzysta z sieci bez nadzoru rodziców. To oznacza, że ryzyko, które opisuje NASK, dotyczy wielu młodych użytkowników.

Instytut Cyfrowego Obywatelstwa podaje, że 58 proc. dzieci w wieku 7–12 lat aktywnie korzysta z serwisów społecznościowych i komunikatorów, mimo że oficjalnie są one przeznaczone dla osób od 13. roku życia.

Te liczby pokazują, że granica między bezpieczną zabawą a cyberzagrożeniem może być cienka a problem może dotykać wielu rodzin.

Twoja rola jako rodzica lub opiekuna

Jeśli jesteś rodzicem, opiekunem lub pracujesz w administracji (np. w szkole, bibliotece), masz wpływ. Możesz edukować dzieci i ich rodziny:

• Organizuj warsztaty lub spotkania o cyberbezpieczeństwie – wyjaśnij, dlaczego nie każdy link w grze jest bezpieczny.
• Wprowadź w szkole zasady dobrej higieny cyfrowej – zachęcaj do stosowania mocnych haseł, 2FA, świadomego pobierania gier.
• Rozważ wspólne granie z dzieckiem – to okazja, żeby sprawdzić, skąd pobiera gry i jakie mody instaluje.
• Udostępnij materiały edukacyjne – broszury, poradniki NASK, strony zaufanych instytucji.

Źródła:

• bezpiecznymiesiac.pl; Gra czy pułapka? Gdzie kończy się zabawa, a zaczyna cyberzagrożenie.
• pap.pl; Rośnie niepewność dzieci w sieci
• cyfroweobywatelstwo.pl; Raport „Internet dzieci” jest już dostępny w języku angielskim

---

WTYCZKI "MUST-HAVE" DO PRZEGLĄDARKI DLA URZĘDNIKA

Twoja przeglądarka jest narzędziem, które pracuje z tobą przez cały dzień. Jeśli ją udoskonalisz, będzie poprawiać błędy językowe, ograniczy zbędne reklamy, pomoże ci szybciej wyszukiwać istotne informacje, co przełoży się na wydajniejszą pracę. Rozszerzenia, które proponuję, wpływają na twoje bezpieczeństwo, koncentrację i jakość pracy. W administracji masz ciągłą presję terminów, wiele okien i dokumentów. Funkcjonalne dodatki odciążają cię przy rutynie i dają przestrzeń na myślenie.

Źródło: – opracowanie własne.

Reklamy odciągają cię od ważnych zadań i potrafią spowolnić komputer. Zainstaluj uBlock Origin. To bardzo lekki dodatek, który blokuje wyskakujące okna i śledzące elementy stron. Pracownicy, którzy używają go codziennie, mówią, że mają mniej chaosu na ekranie. W administracji to ważne, bo twoje okna przestają falować od banerów i możesz spokojnie czytać dokumenty lub wytyczne.

Aby zadbać o bezpieczeństwo warto zainstalować rozszerzenie, które kontroluje, czy link prowadzi tam, gdzie deklaruje autor. W praktyce obserwuję, że wiele osób klika linki w pośpiechu. HTTPS Everywhere albo DuckDuckGo Privacy Essentials pokazują jasno czy strona chroni twoje dane. To ważne podczas pracy z danymi osobowymi, które pojawiają się u ciebie w pismach i systemach.

Sprawdzaj teksty, która piszesz. Grammarly albo LanguageTool pomagają ci tworzyć przejrzyste pisma i maile. Wielu urzędników twierdzi, że dzięki nim popełniają mniej literówek a wiadomości nie wymagają korekty innych osób. To ważne, bo każdy błąd w piśmie uderza w wizerunek urzędu i zaufanie mieszkańca. Jak podaje Gemini AI „LanguageTool jest lepszym wyborem dla języka polskiego, ponieważ oferuje zaawansowaną obsługę wielu języków, w tym polskiego, jest zgodny z RODO i zazwyczaj działa szybciej”. Projekt LanguageTool jest wspierany przez Ministerstwo Pracy, Spraw Społecznych, Zdrowia, Kobiet i Rodziny ze środków Europejskiego Funduszu Społecznego.

Możesz też stosować rozszerzenia, które ułatwiają zdobywanie informacji. Perplexity pomaga szybko znaleźć dane, artykuły, akty prawne. Gdy masz mało czasu, ale musisz zrobić szybki „research”, takie narzędzie przyspiesza pracę. W praktyce widzę, że osoby które korzystają z Perplexity, mają szybszy dostęp do gotowych treści i mniej frustracji.

Poprawne planowane zadań to bardzo ważny element dnia. Rozszerzenie, które łączy się z twoim kalendarzem, daje ci jasność, co masz dzisiaj do zrobienia. Google Calendar lub Microsoft To Do w wersji przeglądarkowej przypominają ci o zaplanowanych zadaniach. Kiedy prowadzę szkolenia, często słyszę, że ludzie dopiero po wdrożeniu takich dodatków czują kontrolę nad rozkładem dnia. Redukuje to niepotrzebne napięcie i poprawia ergonomię pracy.

Zaproponowane rozszerzenia nie są jednymi, katalog jest otwarty i każdy może wybrać coś dla siebie. Najważniejsze to wiedzieć, że przeglądarka to potężne narzędzie do pracy i można je dostosować do swoich potrzeb.  Każde rozszerzenie pozwala się uruchomić w ciągu kilku minut, więc możesz je przetestować. Jeśli nie będzie spełniało twoich oczekiwań, możesz je usunąć i poszukać innego.

Źródła:

• languagetool.org; Funding by the European Union

 

 

---

UWAGA! TRZECI STOPIEŃ ALARMOWY (CHARRLIE)

Uprzejmie informujemy, że w związku z zarządzeniem Prezesa Rady Ministrów od dnia 19 listopada 2025 r. (godz. 00:00) do dnia 28 lutego 2026 r.  (godz. 23:59) obowiązuje trzeci stopień alarmowy „CHARLIE” na obszarach linii kolejowych zarządzanych przez PKP Polskie Linie Kolejowe S.A. oraz PKP Linia Hutnicza Szerokotorowa Sp. z o.o. Dodatkowo przedłużono obowiązywanie stopni alarmowych BRAVO i BRAVO-CRP na ternie całego kraju.

 Źródło: gov.pl

Lista zarządzeń:

• Zarządzenie nr 68 z dnia 18 listopada 2025 roku w sprawie wprowadzenia trzeciego stopnia alarmowego (3. stopień CHARLIE), na obszarach linii kolejowych zarządzanych przez PKP Polskie Linie Kolejowe S.A. i PKP Linia Hutnicza Szerokotorowa Sp. z o.o., obowiązuje od dnia 19 listopada 2025 r., od godz. 00.00, do dnia 28 lutego 2026 r., do godz. 23.59,
• Zarządzenie nr 69 z dnia 18 listopada 2025 roku w sprawie wprowadzenia drugiego stopnia alarmowego CRP (2. stopień BRAVO-CRP), na całym terytorium Rzeczypospolitej Polskiej, obowiązuje od dnia 1 grudnia 2025 r., od godz. 00.00, do dnia 28 lutego 2026 r., do godz. 23.59,
• Zarządzenie nr 70 z dnia 18 listopada 2025 roku w sprawie wprowadzenia drugiego stopnia alarmowego (2. stopień BRAVO), na całym terytorium Rzeczypospolitej Polskiej, obowiązuje od dnia 1 grudnia 2025 r., od godz. 00.00, do dnia 28 lutego 2026 r., do godz. 23.59,
• Zarządzenie nr 71 z dnia 18 listopada 2025 roku w sprawie wprowadzenia drugiego stopnia alarmowego (2. stopień BRAVO), wobec polskiej infrastruktury energetycznej mieszczącej się poza granicami Rzeczypospolitej Polskiej, obowiązuje od dnia 1 grudnia 2025 r., od godz. 00.00, do dnia 28 lutego 2026 r., do godz. 23.59.

Stopnie alarmowe CRP są wprowadzane w przypadku zagrożenia wystąpienia zdarzenia o charakterze terrorystycznym, które dotyczy systemów teleinformatycznych organów administracji publicznej lub systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej.

Jak podaje Ministerstwo Spraw Wewnętrznych i Administracji do zadań organów państwa w związku z wprowadzeniem stopni alarmowych należą:

W przypadku stopnia BRAVO m.in.:

• prowadzenie przez Policję, Straż Graniczną lub Żandarmerię Wojskową wzmożonej kontroli dużych skupisk ludzkich;
• prowadzenie wzmożonej kontroli obiektów użyteczności publicznej oraz innych obiektów potencjalnie mogących stać się celem ataków terrorystycznych;
• zapewnienie dostępności w trybie alarmowym członków personelu wyznaczonego do wdrażania procedur działania na wypadek zdarzenia o charakterze terrorystycznym;
• ostrzeżenie personelu o możliwych zagrożeniach;
• obowiązek noszenia broni długiej oraz kamizelek kuloodpornych przez umundurowanych funkcjonariuszy lub żołnierzy bezpośrednio realizujących zadania związane z zabezpieczeniem miejsc i obiektów, które potencjalnie mogą stać się celem zdarzenia o charakterze terrorystycznym;
• dodatkowe kontrole pojazdów, osób oraz budynków publicznych w rejonach zagrożonych;
• wzmocnienie ochrony środków komunikacji publicznej oraz ważnych obiektów publicznych;
• wprowadzenie zakazów wstępu do przedszkoli, szkół i uczelni osobom postronnym.,

W przypadku stopnia CHARLIE:

• wprowadzić, na polecenie ministra właściwego do spraw wewnętrznych, całodobowe dyżury we wskazanych urzędach lub jednostkach organizacyjnych organów administracji publicznej; 
• wprowadzić dyżury dla osób funkcyjnych odpowiedzialnych za wprowadzanie procedur działania na wypadek zdarzeń o charakterze terrorystycznym; 
• sprawdzić dostępność obiektów wyznaczonych na zastępcze miejsca czasowego pobytu na wypadek ewakuacji ludności;
• wydać broń i amunicję oraz środki ochrony osobistej uprawnionym osobom wyznaczonym do wykonywania zadań ochronnych;
• wprowadzić dodatkowy całodobowy nadzór nad miejscami, które tego wymagają, do tej pory nieobjętych nadzorem.

W przypadku stopnia BRAVO-CRP:

• wzmożone monitorowanie stanu bezpieczeństwa systemów teleinformatycznych organów administracji publicznej lub systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej;
• monitorowanie i weryfikowanie czy nie doszło do naruszenia bezpieczeństwa komunikacji elektronicznej;
• sprawdzenie dostępności usług elektronicznych;
• poinformowanie personelu instytucji  o konieczności zachowania zwiększonej czujności;
• zapewnienie dostępności w trybie alarmowym personelu odpowiedzialnego za bezpieczeństwo systemów;
• wprowadzenie całodobowych dyżurów administratorów systemów kluczowych dla funkcjonowania organizacji oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów teleinformatycznych.

Podczas obowiązywania stopnia alarmowego należy zwracać szczególną uwagę na wszelkie niestandardowe sytuacje i potencjalne zagrożenia, na przykład: nietypowo zachowujące się osoby, pakunki, torby lub plecaki pozostawione bez opieki w miejscach publicznych, samochody (szczególnie transportowe) zaparkowane w pobliżu miejsc zgromadzeń.

Bezpieczeństwo w czasie obowiązywania stopnia uzależnione jest nie tylko od działania właściwych służb, ale też od przygotowania administratorów obiektów użyteczności publicznej, którzy zobowiązani są do prowadzenia ich wzmożonej kontroli, a także czujności obywateli.

Źródła:

• gov.pl;Trzeci stopień alarmowy (CHARLIE) na obszarach linii kolejowych zarządzanych przez PKP Polskie Linie Kolejowe S.A. i PKP Linia Hutnicza Szerokotorowa Sp. z o.o.
• gov.pl;Stopnie alarmowe BRAVO i BRAVO-CRP na terenie całego kraju wciąż obowiązują

---

POWAŻNY ATAK DDOS NA BLIK

W dniach 1 i 2 listopada nieznani hakerzy zaatakowali system BLIK, który jest odpowiedzialny za miliardy płatności każdego roku. To atak na infrastrukturę płatniczą całej Polski. Jeśli używasz BLIKA do płacenia w sklepach, wypłacania pieniędzy z bankomatów lub transferów online, powinieneś wiedzieć co się działo i co to oznacza dla ciebie. BLIK to standard płatności mobilnych, który pozwala ci zapłacić w sklepie stacjonarnym przy użyciu sześciocyfrowego kodu. Możesz też transferować pieniądze online i wypłacać z niektórych bankomatów. System obsługuje każdego roku 2,4 miliarda transakcji na kwotę ponad 347 miliardów złotych. Oznacza to, że BLIK przenosi praktycznie połowę pieniędzy, które się przemieszczają między Polakami.

Źródło: Designed by Freepik

Atak DDoS to skrót od Distributed Denial of Service. Brzmi skomplikowanie, ale chodzi o coś prostego. Haker tworzy sztuczny ruch internetowy z wielu różnych adresów IP i kieruje go na serwery BLIKA. Serwery są zalewane taką ilością fałszywych żądań, że nie mogą obsługiwać prawdziwych transakcji.

W przypadku BLIKA powoduje to, że system nie może generować kodów, pojawiają się błędy przy płatnościach zbliżeniowych i transfery zawieszają się na koncie. Dla ciebie oznacza to, że nie możesz zapłacić za kawę, nie możesz przelewać pieniędzy przyjaciołom i nie możesz wypłacić gotówki. Dla biznesu jest to jednoznaczne z utratą przychodów.

Pierwszy atak miał miejsce w sobotę 1 listopada około godziny szóstej rano. Operator BLIKA, czyli spółka Polski Standard Płatności, potwierdził o godzinie dziewiątej, że ma miejsce zewnętrzny atak DDoS. O godzinie 10:33 operator oznajmił, że problem jest rozwiązany. Od tego momentu BLIK znowu działał prawidłowo.

Drugi atak nastąpił w poniedziałek 2 listopada około godziny czternastej. Historia się powtórzyła.

Nikt nie wie, kto dokładnie przeprowadził ataki. Operator nie wskazał żadnego konkretnego napastnika. To co wiemy, to fakt, że ataki DDoS zdarzają się regularnie na systemach płatniczych. Minister cyfryzacji Krzysztof Gawkowski powiedział publicznie, że tego typu ataki są codzienną rzeczywistością. Mówił, że na szczęście w większości przypadków polskie służby je blokują, zanim zwykłe osoby odczują konsekwencje. Tym razem jednak nie udało się uniknąć problemu.

Operator BLIKA zapewnił, że osoby których transakcja została zatwierdzona a pieniądze zostały zablokowane powinny automatycznie otrzymać zwrot w ciągu 48 godzin. Ważne jest, że zawsze możesz wyjaśnić sytuację z bankiem. Banki mają dostęp do pełnych logów transakcji i mogą sprawdzić, co dokładnie się stało.

Fakt, że BLIK został zaatakowany nie oznacza, że twoje hasła bankowe wyciekły. Atak DDoS nie polega na kradzieży danych. Twoje dane osobowe, piny, hasła są bezpieczne.

Jednak wciąż powinieneś być ostrożny. W takich sytuacjach przestępcy wysyłają fałszywe wiadomości oferując "szybki zwrot" pieniędzy lub "pomoc w odzyskaniu złoży." Nigdy nie klikaj linków z nieznanych źródeł. Nigdy nie podawaj swoich danych logowania w wiadomościach przychodzących mailem lub SMS.

Jeśli BLIK się zawiesza, natychmiast wykorzystaj alternatywny sposób płatności. Użyj karty, transferu tradycyjnego, gotówki. Jeśli transakcja się zawiesza, nie klikaj przycisku zapłacenia wielokrotnie. To spowoduje, że transakcja zostaje powtórzona kilkanaście razy bez sukcesu.

Jeśli środki nie wrócą w ciągu dwóch dni, skontaktuj się z bankiem. Masz prawo do wyjaśnienia, gdzie podziały się twoje pieniądze.

Źródła:

• gazetaprawna.pl; Problemy z płatnościami BLIK. Operator potwierdza atak DDoS

---

KOLEJNY WYCIEK DANYCH - SUPERGROSZ

Pod koniec października hakerzy zaatakowali serwis Supergrosz, który oferuje pożyczki online. To nie był zwykły wyciek haseł. Nieuprawniona osoba lub grupa osób przełamała zabezpieczenia serwisu Supergrosz i dostała się do bazy danych zawierającej informacje klientów. Hakerzy stworzyli specjalny program, który pozwolił im na zdalny dostęp do systemu. Najprawdopodobniej był to czwartek, pierwszy listopada, kiedy cyberprzestępcy skopiowali wszystko, co im się podobało. Atak dotknął około dziesięciu tysięcy użytkowników. Teoretycznie skala wydaje się niewielka, to nie miliony osób, ale powagę problemu zrozumiemy dopiero znając szczegóły.

Źródło: Designed by Freepik

Przede wszystkim wyciekły numery PESEL, adres zamieszkania, adres do korespondencji, numer telefonu, stan cywilny, liczba dzieci. Do tego dochodzą dane zawodowe takie jak nazwa i adres pracodawcy, numer NIP firmy, numer telefonu do biura oraz informacja o branży. Ale to wciąż nie wszystko. Hakerzy mają również numery rachunków bankowych i wiedzą, jaki jest deklarowany dochód roczny. Mają nawet informacje z dowodu osobistego, takie jak numer dokumentu, data wydania i data ważności.

To wszystko jest powiązane, skoordynowane i pokazuje kompleksowy obraz życia finansowego, zawodowego i osobistego osób, których dane utracono. Kombinacja tylu różnych rodzajów danych tworzy idealną bazę do tzw. ataku spersonalizowanego.

O sprawie Supergrosz wiedzą najwyższe szczeble polskiego rządu i specjalistyczne zespoły ds. bezpieczeństwa. Minister cyfryzacji Krzysztof Gawkowski publicznie ogłosił incydent i nazwał sytuację bardzo poważną. Zaraz po jego wpisie do działania przystąpiły zespoły CSIRT KNF i CSIRT NASK. Powiadomiony został też Prezes Urzędu Ochrony Danych Osobowych. Spółka AIQLABS, która prowadzi serwis Supergrosz, przyznała publicznie, że wyciek miał miejsce.

Wyciek danych z serwisu pożyczkowego to nie jest anomalia. To symptom czasów, w których żyjemy. Cyberprzestępcy stają się coraz bardziej wyrafinowani. Atakują nie tylko wielkie korporacje, ale też polskie serwisy pożyczkowe, e‑commerce, strefę publiczną.

Wszyscy pracownicy administracji, którzy pracują z danymi osobowymi klientów, powinni zrozumieć, że bezpieczeństwo nie jest sprawą informatyka. To jest odpowiedzialność każdej osoby w organizacji. Nikt nie powinien mylić złożoności zagrożeń z niemożliwością ich zrozumienia. Bezpieczeństwo zaczyna się od edukacji.

Dla ciebie to oznacza, że powinieneś regularnie zmieniać hasła, włączać 2FA wszędzie, gdzie to możliwe, być ostrożny wobec wiadomości podejrzanego pochodzenia i nigdy nie klikać linków z nieznanych źródeł. Te zasady brzmią jak banał, ale to fundamenty, które mogą oszczędzić ci mnóstwa stresu.

Źródła:

• tvn24.pl; Kolejny atak hakerski. Wicepremier: sytuacja jest bardzo poważna

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

---

NARUSZENIE. KIEDY KONIECZNE POWIADOMIENIE. WAŻNY WYROK NSA

Jak podaje UODO „Naczelny Sąd Administracyjny potwierdził zarzuty Prezesa UODO do wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie związanego z karą w wysokości 159 176 zł, jaką Prezes UODO nałożył na sopockie Towarzystwo Ubezpieczeniowe Ergo Hestia SA za niezgłoszenie naruszenia ochrony danych osobowych i nie powiadomienie osoby nim dotkniętej. Sprawa trafi więc ponownie do rozpatrzenia przez WSA. Naruszenie dotyczyło wysyłki maila z niezaszyfrowanym załącznikiem z ofertą ubezpieczeniową, zawierającą dane osobowe (m.in. imię, nazwisko oraz numer PESEL) i informacje finansowe do niewłaściwej osoby.”

Grafika „uodo kara wyrok” Źródło: Designed by Freepik

NSA wskazał, jak należy interpretować obowiązek notyfikacji naruszenia wskazany w RODO (art. 34 ust. 1 w związku z art. 33 ust. 1):

• Pomimo zaistnienia naruszenia ochrony danych osobowych administrator nie musi dokonywać zgłoszenia, jeżeli jest mało prawdopodobne, by skutkowało ono ryzykiem naruszenia praw lub wolności osób fizycznych. Prawa i wolności należy rozumieć podobnie jak na gruncie przepisu art. 6 ust. 1 lit. f RODO. W konsekwencji obowiązek notyfikacyjny nie ma charakteru bezwzględnego.
• Oceny, czy występuje ryzyko naruszenia praw lub wolności człowieka, musi dokonać administrator. Ocena taka powinna być oparta na obiektywnych kryteriach (jak dotychczasowe doświadczenie związane z podobnymi sprawami, wiedza z zakresu bezpieczeństwa informacji) oraz na uwzględnieniu okoliczności samego naruszenia ochrony danych osobowych.
• Żeby nie trzeba było zgłaszać naruszenia do PUODO, musimy mówić o małym prawdopodobieństwie, ale nie samego naruszenia praw lub wolności osób fizycznych, lecz ryzyka takiego naruszenia. Powoduje to szerszy zakres obowiązku niż w przypadku, gdyby ocena dotyczyła prawdopodobieństwa wystąpienia naruszenia praw lub wolności.
• Nie jest konieczne, by wysokie ryzyko się zmaterializowało i by faktycznie doszło do naruszenia praw lub wolności. Dlatego nie ma znaczenia, czy ostatecznie ich naruszenie nastąpi. Wystarczy samo pojawienie się wysokiego ryzyka naruszenia.

Definicje i dobre praktyki.

Naruszenie ochrony danych osobowych to sytuacja, w której dochodzi do przypadkowego lub bezprawnego :

• zniszczenia, utraty, zmodyfikowania albo ujawnienia danych osobowych;
• dostępu do danych osobowych przez osobę nieuprawnioną.

Definicję znajdziesz w Rozporządzeniu (UE) 2016/679 – RODO (art. 4 pkt 12).

Podejmij działania bez zbędniej zwłoki.

Gdy nastąpi naruszenie, może to oznaczać ryzyko dla praw lub wolności osób, których dane dotyczą – np. kradzież tożsamości, utrata poufności, szkoda finansowa lub naruszenie dobrego imienia.
Reagując szybko:

• ograniczasz szkody dla tych osób;
• realizujesz obowiązki prawne jako administrator danych;
• pokazujesz, że administrujesz danymi odpowiedzialnie – co w administracji ma duże znaczenie wizerunkowe.

Jeśli zwlekasz, narażasz jednostkę na karę lub utratę zaufania.

Kiedy musisz zgłosić naruszenie do organu nadzorczego

Jeśli jako administrator danych stwierdzisz naruszenie, to:

• musisz podjąć analizę okoliczności zdarzenia – co się stało, jakie dane, ile osób, jakie mogą być skutki;
• jeśli z tej analizy wynika, że naruszenie „może skutkować ryzykiem dla praw lub wolności osób fizycznych”, to musisz zgłosić je do Urząd Ochrony Danych Osobowych (UODO) „bez zbędnej zwłoki” – w praktyce nie dłużej niż 72 godziny od momentu stwierdzenia naruszenia.
• jeśli uznasz, że po tej analizie ryzyko jest mało prawdopodobne, to zgłoszenie do UODO nie jest obowiązkowe, ale musisz wpisać zdarzenie do wewnętrznego rejestru naruszeń.

Przykład: W Twojej jednostce doszło do wycieku danych zdrowotnych pracownika (np. wrażliwe dane – „dane dotyczące zdrowia”). Taki typ danych sam w sobie wskazuje na wysokie ryzyko, więc musisz zgłosić naruszenie do UODO.

Inny przykład: Utrata dysku służbowego zawierającego dane pracowników, ale dane były w pełni zaszyfrowane i nie było możliwości odszyfrowania – po analizie stwierdziłeś, że ryzyko jest bardzo niskie. W takim przypadku zgłoszenia do UODO możesz nie dokonać, ale wpisujesz incydent do rejestru.

Co musi zawierać zgłoszenie do UODO

W zgłoszeniu musisz podać:

• charakter naruszenia – co się stało; jeśli możliwe, kategorie danych, przybliżoną liczbę osób, których dane dotyczą;
• dane kontaktowe – np. imię i nazwisko IOD-a lub innego punktu kontaktowego;
• przewidywane skutki naruszenia dla osób;
• opis działań podjętych lub planowanych przez Ciebie – co zrobiłeś, żeby zminimalizować szkody.

Jeśli nie masz wszystkich informacji w momencie zgłoszenia – możesz przesłać zgłoszenie wstępne, a resztę uzupełnić później, ale w terminie do 72 godzin.

Praktyczna wskazówka: Zadbaj, by Twoje procedury obsługi incydentu przewidywały szybkie zebranie tych danych – kto zgłosił, kiedy, jakie dane dotknięte, jakie osoby mogły mieć dostęp, jakie środki ochrony były zastosowane.

Kiedy trzeba zawiadomić osoby, których dane dotyczą

Osoby (np. uczniowie, pracownicy, klienci), których dane zostały naruszone, muszą być zawiadomione wtedy, gdy naruszenie „może powodować wysokie ryzyko dla praw lub wolności tych osób”.
Zawiadomienie powinno być napisane prostym językiem. W treści wskaż:

• co się stało;
• jakie dane zostały naruszone;
• jakie mogą być skutki;
• co robisz, by ograniczyć szkody;
• dane kontaktowe, gdzie można uzyskać więcej informacji.
  Jeśli natomiast dane zostały np. zaszyfrowane i ryzyko jest bardzo małe – zawiadomienie osób może nie być wymagane.

Przykład: W Twojej organizacji e-mailem wysłano listę z nr PESEL i adresami domowymi 50 pracowników do nieuprawnionej osoby. To jest wysokie ryzyko – należy zawiadomić te osoby.

Przykładowa procedura obsługi incydentu.

1. Natychmiast po wykryciu incydentu:

• zbierz początkowe informacje: co się stało, kiedy, jakie dane, ile osób;
• odizoluj źródło naruszenia (np. wyłącz dostęp, zmień hasła, zabezpiecz system).

2. Przeprowadź analizę ryzyka:

• jakie dane naruszono (np. wrażliwe dane, dane zwykłe);
• jaka jest liczba osób poszkodowanych;
• czy dane są zaszyfrowane lub w jakiś sposób zabezpieczone;
• czy możliwe są konsekwencje (kradzież tożsamości, szkoda finansowa, naruszenie dobrego imienia).
• złóż zgłoszenie do UODO za pomocą formularza elektronicznego.
• jeśli potrzebujesz więcej czasu na szczegółowe dane, wyślij zgłoszenie wstępne.
• ułóż prostą wiadomość (lub listę) z wyjaśnieniem;
• podaj informacje kontaktowe;
• doradź, co te osoby mogą zrobić same (np. zmiana hasła, czujność na podejrzane e-mail).

3. W ciągu maksymalnie 72 godzin od stwierdzenia naruszenia (jeśli ryzyko nie zostało wykluczone):

4. Zdecyduj i jeśli trzeba – zawiadom osoby, których dane dotyczą:

5. Prowadź rejestr naruszeń: wpisz każdy przypadek – nawet jeśli nie musiałeś zgłaszać. Rejestr powinien zawierać okoliczności zdarzenia, ocenę ryzyka i podjęte działania.
6. Zrewiduj procedury: po incydencie zweryfikuj, czy Twoje mechanizmy ochrony były wystarczające. Upewnij się, że masz plan wykrywania naruszeń i reagowania na nie.

Typowe błędy, które widuję i których Ty możesz uniknąć

• Brak lub opóźnione zgłoszenie do UODO – termin 72 godzin jest kluczowy.
• Ocena „ryzyko = niskie” bez uzasadnienia – jeżeli nie udokumentujesz decyzji, organ może uznać to za naruszenie przepisów.
• Zawiadomienie osób w sposób niewłaściwy – użycie trudnego języka, pominięcie informacji o tym, co mogą zrobić sami.
• Brak odizolowania incydentu – przysłowiowe „zasypanie sprawy” bez działań naprawczych.
• Nieprowadzenie rejestru naruszeń – co utrudnia wykazanie, że działasz zgodnie z zasadą rozliczalności.

Zastanów się teraz – czy Twoja jednostka ma procedurę zgłaszania naruszeń? Czy masz wzór rejestru incydentów? Czy każda osoba odpowiedzialna wie, co robić, gdy wykryje wyciek danych? Jeżeli nie – koniecznie to uzupełnij. Jeśli już masz – sprawdź, czy uwzględnia wszystkie powyższe kroki i wskazówki.

Źródła:

• uodo.gov.pl; Kiedy, przy naruszeniu, należy zawiadamiać osoby, których dane dotyczą? Ważny wyrok NSA
• uodo.gov.pl; Jakie naruszenia trzeba zgłosić Prezesowi UODO, a jakie nie wymagają zgłoszenia?

---

UODO REALIZUJE XVI EDYCJĘ PROGRAMU „TWOJE DANE – TWOJA SPRAWA” PRYWATNOŚĆ I SZTUCZNA INTELIGENCJA W EDUKACJI

Program „Twoje dane – Twoja sprawa” wystartował w nowej, szesnastej odsłonie. Głównym tematem tej edycji jest rola sztucznej inteligencji w edukacji i wpływ nowych technologii na prywatność uczniów. 22–23 października 2025 r. w siedzibie UODO odbyła się konferencja inauguracyjna programu. Wzięli w niej udział nauczyciele, dyrektorzy szkół, eksperci oraz przedstawiciele administracji. Program skierowany jest do szkół podstawowych, ponadpodstawowych oraz placówek doskonalenia nauczycieli.

Grafika „szkoła komputer” Źródło: Designed by Freepik

Co należy do priorytetów edycji XVI

W tej edycji UODO stawia na:

• zrozumienie, jak działają systemy sztucznej inteligencji oraz jakie mogą być ich konsekwencje dla prywatności uczniów i nauczycieli;
• naukę odpowiedzialnego korzystania z nowych technologii: wybieranie bezpiecznych aplikacji i rozwiązań cyfrowych;
• kształtowanie postaw uczniów i nauczycieli: prywatność nie jest przeszkodą, ale wartością, którą trzeba chronić;
• uwzględnienie wpływu AI nie tylko jako narzędzia, ale także jako środowiska życia cyfrowego młodych ludzi.

Dlaczego to ma znaczenie dla szkoły i nauczycieli

Jeśli jesteś nauczycielem lub pracujesz w szkole, ta edycja to okazja, by:

• włączyć temat ochrony danych i AI w codzienne działania dydaktyczne i wychowawcze – na lekcjach języka polskiego, matematyki czy wychowania fizycznego;
• zadbać o bezpieczeństwo systemów wykorzystywanych w placówce – np. rejestrów uczniów, aplikacji edukacyjnych – oraz o świadomość uczniów w tym zakresie;
• rozwijać w uczniach kompetencje, jak krytycznie korzystać z treści generowanych przez AI, jak rozpoznawać zagrożenia np. „deepfake”, profilowanie;
• współpracować z rodzicami, by razem budować kulturę cyfrowej odpowiedzialności – ponieważ dzieci spędzają coraz więcej czasu w Internecie, a szkoła może być przewodnikiem w tym obszarze.

Praktyczne wskazówki

• Przeprowadź krótką lekcję na temat prywatności danych: np. „Co to są moje dane?”, „Dlaczego moje dane w Internecie mogą być zagrożone?”.
• Podczas korzystania z aplikacji edukacyjnych w szkole zapytaj uczniów: „Kto ma dostęp do danych, które wprowadzamy?”, „Czy aplikacja poprosiła o zgodę na przetwarzanie moich danych?”.
• Zorganizuj wspólnie z uczniami mały projekt: sprawdźcie trzy darmowe aplikacje edukacyjne i oceńcie je pod kątem prywatności – jakie dane aplikacja zbiera, czy można je usunąć, kto ma do nich dostęp.
• Z rodzicami zgódźcie się na zasadę: raz w semestrze omówcie wspólnie, jakie urządzenia dzieci używają poza szkołą i jakie zasady bezpieczeństwa obowiązują (np. hasła, prywatność w sieci, czas ekranowy).
• W szkolnym regulaminie lub procedurze IT uwzględnij punkt: „Wszelkie dane uczniów w systemach edukacyjnych powinny być chronione, dostęp ograniczony, publikacje wizerunku wymagają zgody opiekunów”.

Źródła:

• uodo.gov.pl; Prywatność i sztuczna inteligencja w edukacji – XVI edycja programu „Twoje dane – Twoja sprawa”
• uodo.gov.pl; Konferencja szkoleniowa – Prywatność i sztuczna inteligencja w edukacji

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

---

UDANY ATAK HAKERSKI NA ZAKŁAD BUDYNKÓW MIEJSKICH W CIESZYNIE

W poniedziałek 6 października hakerzy zaatakowali Zakład Budynków Miejskich w Cieszynie i całkowicie zablokowali serwery. Instytucja miejska straciła kontrolę nad swoją wewnętrzną bazą danych. Atak pokazał, jak łatwo można sparaliżować pracę publicznej jednostki. Kto będzie ponosił odpowiedzialność i jakie będą kary? Warto o tym pomyśleć przed incydentem i zabezpieczyć infrastrukturę krytyczną.

Źródło: Gemini

Hakerzy użyli złośliwego programu typu ransomware. To oprogramowanie, które szyfruje i blokuje pliki na komputerach i serwerach. Nie ma pewności, czy skopiowali dane, ale istnieje takie ryzyko. Mogli uzyskać dostęp do imion, nazwisk, adresów, numerów telefonów i e-maili. Czy administratorzy danych w jednostkach samorządu terytorialnego są gotowi na takie incydenty? Niech to zdarzenie będzie refleksją, którą przekujemy w bezpieczeństwo innych JST. Zachęcam do analizy ryzyka i aktualizacji polityki bezpieczeństwa informacji oraz instrukcji zarządzania systemem teleinformatycznym.

W przeciwieństwie do ostatniego ataku na Łotwę, tutaj chodziło o coś więcej niż tylko o zablokowanie strony. Tu zagrożone są pieniądze i tożsamość klientów ZBM. Jeśli przestępcy znają PESEL, mogą wziąć kredyt pozabankowy. Mogą też podszyć się pod klienta i podpisać umowę cywilną, na przykład najmu. Pomyśl jako pracownik administracji, ile od ciebie zależy. Musisz zrozumieć, że to ty jesteś pierwszą i najważniejszą barierą przed atakiem. Jeden nierozważny klik pozwala hakerom na dostęp do całej bazy danych instytucji. Bierz udział w szkoleniach i pilnuj procedur.

Osoby poszkodowane powinny działać natychmiast, aby ochronić się przed oszustwem. Po pierwsze, należy założyć konto w systemie informacji kredytowej. Dzięki temu natychmiast dostaniesz powiadomienie, gdy ktoś będzie chciał wziąć na ciebie pożyczkę. Po drugie, zachowaj szczególną ostrożność przy odbieraniu telefonów i e-maili od nieznajomych. Nie podawaj żadnych danych. Ignoruj wiadomości, które proszą o pilne wykonanie mikroprzelewu lub kliknięcie w link. Twoja czujność to najlepsza zapora. Zmień hasła do kluczowych cyber usług.

Źródła:

• cieszyn.news; Atak hakerski na bazę danych ZBM. Mogą zostać wykorzystane do dokonania przestępstw
• rmf24.pl; Hakerzy zaatakowali zakład w Cieszynie. Serwer zablokowany

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

---

ŁOTEWSKIE INSTYTUCJE PUBLICZNE ZAATAKOWANE PRZEZ HAKERÓW

W czwartek 2.10.2025 r. hakerzy uderzyli w serwery łotewskich instytucji. Sparaliżowali strony internetowe telewizji, kilku ministerstw oraz urzędu premiera. Przez ponad godzinę obywatele nie mogli korzystać z ważnych, publicznych usług. Atak miał tylko jeden cel: zablokować dostęp. Hakerzy nie ukradli żadnych poufnych danych. Tego typu incydenty bezpieczeństwa zachęcają kolejne grupy do podejmowania działań na szkodę instytucji publicznych w innych krajach. Czy kolejny atak będzie wycelowany w polską infrastrukturę?

Źródło: Gemini

Włamywacze zastosowali metodę, którą nazywamy DDoS. Wyobraź sobie, że tysiące ludzi jednocześnie próbuje wejść do jednych drzwi urzędu. Robi się tłok. Drzwi się blokują. Podobnie działa serwer. Przeładowany ogromną liczbą zapytań po prostu przestaje działać. Szefowa łotewskiego zespołu cybernetycznego powiedziała jasno: utrudnienie dostępu to jedyny cel hakerów. Twoje dane były bezpieczne.

Ten incydent to element większej wojny hybrydowej. Eksperci mówią, że ataki te są częścią działań prowadzonych przez grupy wspierane przez Rosję i Białoruś. Mają siać panikę i podważyć nasze zaufanie do państwa. Hakerzy uderzają, ponieważ Łotwa zdecydowanie wspiera walkę Ukrainy o wolność. Musisz zrozumieć, że twoja praca w administracji jest na pierwszej linii tego cyberkonfliktu.

Jak możesz się bronić? Po pierwsze, aktualizuj systemy. Jeśli widzisz komunikat o nowej wersji programu, zainstaluj ją bez zbędnej zwłoki. Stary program jest dla włamywacza jak otwarte drzwi do twojego biura. Po drugie, używaj silnych haseł. Twoje hasło musi mieć co najmniej 12 znaków. Używaj małych i wielkich liter, cyfr oraz symboli. Niech hasło "Lato2025!" zmieni się w coś trudniejszego do złamania, na przykład "J0wiszMaszWielkiOg0n!".

Instytucje wydają miliony na obronę serwerów. Cała ta obrona upada, gdy jeden pracownik popełni błąd. Na przykład, klikniesz w fałszywy link z wiadomości mailowej. Ten jeden mały błąd pozwala hakerom przejąć kontrolę nad twoim komputerem, który może stanowić wrota do dalszego ataku na infrastrukturę krytyczną twojej organizacji. Drugi scenariusz to tak zwane zombie, sprzęt staje się częścią armii komputerów zarządzanych przez hakerów bez twojej wiedzy. Twój służbowy komputer może zostać wykorzystany do kolejnego ataku DDoS na inną instytucję. Bądź świadomy każdej wiadomości, którą otwierasz. Działaj czujnie. Bezpieczeństwo organizacji, w której pracujesz zaczyna się od twojego pulpitu i poczty e-mail.

Źródła

• Polska Agencja Prasowa — „Łotwa ma problemy z hakerami. Atak na serwery instytucji publicznych”

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

---

UWAGA NA HAKERÓW – KRADNĄ PROFILE WHATSAPP

Pomysłowość cyberprzestępców jest nieograniczona. Nowa metoda przejmowania kont w aplikacji WhatsApp jest bardzo prosta i skuteczna. Skutkuje dodaniem zsynchronizowanego wystąpienia profilu WhatsApp na kolejnym urządzeniu i może być początkiem do znacznie większego planu dezinformacji na szeroką skalę. Sprawdź czy i ty nie dałeś się złapać.

Źródło: Widok zablokowanej strony przez CERT.PL

Jak działa mechanizm przejmowania profili? Z konta znajomego dostajemy wiadomości z prośbą o zagłosowanie na dziecko w konkursie fotograficznym lub artystycznym. Ta socjotechnika nie wzbudza podejrzeń, nie dotyczy pieniędzy, opiera się na wywołaniu potrzeby pomocy drugiej osobie. A skoro  nic nas nie kosztuje, to czemu nie pomóc koledze. Po kliknięciu w link otwiera się strona, która prosi o numer telefonu. Jest to dla nas zrozumiały mechanizm weryfikacji głosujących. Nie proszą nas o żaden blik czy hasło. W tym momencie wchodzimy w niebezpieczną fazę ataku. Gdy pojawi się komunikat „W celu weryfikacji połącz urządzenia”, warto się zastanowić, co to oznacza. Po kliknięciu powstaje zsynchronizowane wystąpienie profilu WhatsApp na kolejnym urządzeniu. Hakerzy uzyskują pełen dostęp do profilu ofiary, mają możliwość czytania i wysyłania wiadomości do wszystkich kontaktów. W taki sposób mogą budować zaufanie u kolejnych użytkowników do dalszej ekspansji.

Twoją czujność powinien zwróć komunikat od osoby, z którą dawano nie rozmawiałeś. Jeśli dostaniesz podobną wiadomość bez wcześniejszej rozmowy, sam odpytaj znajomego o szczegóły. Najbezpieczniej za pomocą innego kału komunikacyjnego. Takie postepowanie skutecznie ochroni Cię przed utratą konta na WhatApp. Sprawdź wiarygodność strony z konkursem. Jeśli nie jesteś pewny, nie podawaj numerów telefonu, haseł, kodów pin i tym podobnych. Nie zgadzaj się na „łączenie urządzeń” i nie instaluj dodatkowego oprogramowania, jeśli nie wiesz do czego służy. Aktualizuj systemy operacyjne w urządzeniach, korzystaj z oprogramowania antywirusowego, włącz weryfikacje dwuetapową, regularnie sprawdzaj aktywne sesje w ustawieniach aplikacji.

Co zrobić jeśli stwierdzisz naruszenie? Podejmij natychmiastowa reakcję, wyloguj się ze wszystkich kont. Zmień hasła, do WhatApp, poczty e-mail, kont bakowych i innych ważnych profili, które budują twoją cybertożsamość. Powiadom wszystkich znajomych o przejęciu konta, prosząc o zachowanie ostrożności i zgłaszanie podejrzanych wiadomości.

Jeśli doszło do poważnych skutków, należy zgłosić taki incydent do Centrum Cyberbezpieczeństwa CERT.pl, na policję oraz WhatsApp przez oficjalne kanały wsparcia. Dzięki takim zgłoszeniom niebezpieczne witryny są blokowane. Strona wykorzystywana w przytoczonej metodzie z fałszywym głosowaniem została skutecznie zneutralizowana i oznaczona (Rys.1). Niestety hakerzy w kilka chwil tworzą nowe portale na innych serwerach i kontynuują bezprawny proceder.

Źródła:

• CYBERDOT: "WhatsApp pod ostrzałem: Nowa metoda hakerów przygotowuje grunt pod dezinformację"

---

UODO WKRACZA NA NOWE TORY

UODO wkracza w nowy obszar, przejmuje nowe kompetencje wynikające z nowego rozporządzenia Data Governance Act (DGA). Nowe przepisy mają na celu stworzenie zaufanej infrastruktury wymiany danych oraz ułatwienie powtórnego wykorzystywania danych chronionych w sektorze publicznym. Ma to na celu zwiększenie dostępności danych przy zachowaniu bezpieczeństwa, poufności i zgodności z prawem, dzięki temu przyspieszy rozwój innowacji w europejskiej gospodarce opartej na danych. Zostanie utworzona nowa struktura – Europejska Rada ds. Innowacji w zakresie Danych – której zadaniem będzie m.in. doradzanie Komisji i wspieranie jej w zwiększaniu interoperacyjności usług pośrednictwa w zakresie danych oraz wydawanie wytycznych dotyczących sposobów ułatwiania rozwoju przestrzeni danych. Implementacja przepisów (DGA) sprawia, że UODO będzie zajmować się również danymi nieosobowymi, co stanowi istotną zmianę w dotychczasowej misji instytucji.

Źródło: Strona UODO

W tym celu powołano wyspecjalizowaną komórkę organizacyjną, której zadaniem będzie nadzorowanie procesów związanych z pośrednictwem danych oraz wspieranie idei altruizmu danych. Jak podkreślił prezes UODO, Mirosław Wróblewski, podczas panelu „Rynek zarządzania danymi w Polsce – wyzwania regulacyjne i możliwości rozwoju w perspektywie Data Governance Act” na XXXIV Forum Ekonomicznym w Karpaczu, wzrost podaży danych to szansa na stymulowanie i wspieranie gospodarki w dziedzinie innowacji opartej na informacji. UODO rozpoczął już działania informacyjno-edukacyjne, organizując m.in. pierwsze webinarium poświęcone tej tematyce, a w planach jest konferencja o charakterze naukowym.

Źródła:

• UODO [@UODOgov_pl], Treść posta, X
• Portal CyberPOLICY„Zatwierdzenie Aktu w sprawie zarządzania danymi (Data Governance Act)”

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

---

NOWA FUNKCJA W APLIKACJI MOBYWATEL - mSTŁUCZKA

Ministerstwo Cyfryzacji wprowadziło do aplikacji mObywatel nową funkcje ważną dla kierowców. Od 1 września 2025 r. działa nowa usługa mStłuczka. W kryzysowej sytuacji, z pomocą przychodzi aplikacja mObywatel, w której intuicyjnie zgłosisz kolizję drogową. Od teraz nie musisz wypełniać papierowych formularzy. Spisanie wspólnego oświadczenia o zdarzeniu drogowym jest prostsze, bo aplikacja pomaga przejść przez cały proces.

Od teraz w razie kolizji jako kierowcy:

• możecie zapomnieć o formularzach i długopisie – oświadczenie wygodnie spiszecie w mObywatelu,
• macie też pewność, że jest ono kompletne, a dane w nim zawarte są aktualne i bez błędów – automatyczne pobieranie danych z państwowych rejestrów wyklucza ryzyko pomyłek.
• Osoba poszkodowana ma też możliwość natychmiastowego zgłoszenia szkody do ubezpieczyciela – proces ten jest prosty i odbywa się w aplikacji.

Znajdziesz tą funkcję w zakładce „Usługi”, w kategorii „Kierowcy i pojazdy”- tam możesz rozpocząć proces spisania nowego oświadczenia o zdarzeniu drogowym.

Źródło: Strona mObywatel

Usługa ta pozwala nie tylko na spisanie nowego oświadczenia, ale daje też dostęp do spisanych już dokumentów – pojawią się one wtedy na ekranie głównym mStłuczki.

Oświadczenie o zdarzeniu drogowym w mStłuczce spiszecie, jeśli:

• macie aplikację mObywatel,
• kolizja dotyczy dwóch pojazdów zarejestrowanych w Polsce,
• ustalicie między sobą, kto jest sprawcą kolizji.

Gdy któraś ze stron nie ma aplikacji mObywatel, należy spisać tradycyjne oświadczenie.

Jak odbywa się wymiana informacji między uczestnikami zdarzenia, którzy korzystają z usługi mStłuczka? Szybko, łatwo i bezpiecznie poprzez:

• zeskanowanie kodu QR,
• przekazanie kodu numerycznego.

Źródła:

• Strona mObywatel: "mStłuczka już w aplikacji"

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

---

STOPNIE ALARMOWE BRAVO ORAZ BRAVO-CRP OBOWIĄZUJĄ DO 31 LISTOPADA

Przypominamy o realnym i ciągle narastającym zagrożeniu cybernetycznych ataków hararejskich na instytucje realizujące zadania publiczne W kwietniu 2025 roku Najwyższa Izba Kontroli opublikowała raport, który ujawnia, że aż 71% urzędów gmin i starostw powiatowych nie było przygotowanych na zapewnienie ciągłości działania systemów informatycznych w sytuacjach kryzysowych, takich jak ataki hakerskie.

Źródło:Strona Gov.pl

Prezes Rady Ministrów na podstawie art. 16 ust. 1 pkt 1 ustawy z dnia 10 czerwca 2016 roku o działaniach antyterrorystycznych (Dz. U. z 2025 r. poz. 194) podpisał Zarządzenia:

1. nr 43 z dnia 28 sierpnia 2025 roku w sprawie wprowadzenia drugiego stopnia alarmowego (2. stopień BRAVO) na całym terytorium Rzeczypospolitej Polskiej,
2. nr 44 z dnia 28 sierpnia 2025 roku w sprawie wprowadzenia drugiego stopnia alarmowego CRP (2. stopień BRAVO-CRP) na całym terytorium Rzeczypospolitej Polskiej,
3. nr 45 z dnia 28 sierpnia 2025 roku w sprawie wprowadzenia drugiego stopnia alarmowego (2. stopień BRAVO) wobec polskiej infrastruktury energetycznej mieszczącej się poza granicami Rzeczypospolitej Polskiej.

 

ZARZĄDZENIA OBOWIĄZUJĄ OD DNIA 1 WRZEŚNIA 2025 ROKU OD GODZ. 00:00, DO DNIA 30 LISTOPADA 2025 ROKU DO GODZ. 23:59.

 

ALFA-CRP oznacza, że należy wykonać następujące zadania:

• wprowadzić wzmożone monitorowanie stanu bezpieczeństwa systemów teleinformatycznych organów administracji publicznej lub systemów  teleinformatycznych wchodzących w skład infrastruktury krytycznej w szczególności wykorzystując zalecenia szefa Agencji Bezpieczeństwa Wewnętrznego lub komórek odpowiedzialnych za system reagowania zgodnie z właściwością oraz:
• monitorować i weryfikować, czy nie doszło do naruszenia bezpieczeństwa komunikacji elektronicznej,
• sprawdzać dostępność usług elektronicznych,
• dokonywać, w razie potrzeby, zmian w dostępie do systemów;
• poinformować personel instytucji o konieczności zachowania zwiększonej czujności w stosunku do stanów odbiegających od normy, w szczególności personel odpowiedzialny za bezpieczeństwo systemów;
• sprawdzić kanały łączności z innymi, właściwymi dla rodzaju stopnia alarmowego CRP, podmiotami biorącymi udział w reagowaniu kryzysowym, dokonać weryfikacji ustanowionych punktów kontaktowych z zespołami reagowania na incydenty bezpieczeństwa teleinformatycznego właściwymi dla rodzaju działania organizacji oraz ministrem właściwym do spraw informatyzacji;
• dokonać przeglądu stosowanych procedur oraz zadań związanych z wprowadzeniem stopni alarmowych CRP, w szczególności dokonać weryfikacji posiadanej kopii zapasowej systemów w stosunku do systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej oraz systemów kluczowych dla funkcjonowania organizacji oraz weryfikacji czasu wymaganego na przywrócenie poprawności funkcjonowania systemu;
• sprawdzić aktualny stan bezpieczeństwa systemów i ocenić wpływ zagrożenia na bezpieczeństwo teleinformatyczne na podstawie bieżących informacji i prognoz wydarzeń;
• informować na bieżąco o efektach przeprowadzanych działań zespoły reagowania na incydenty bezpieczeństwa teleinformatycznego właściwe dla rodzaju działania organizacji oraz współdziałające centra zarządzania kryzysowego, a także ministra właściwego do spraw informatyzacji.

BRAVO-CRP oznacza, że należy wykonać zadania wymienione dla pierwszego stopnia alarmowego CRP oraz kontynuować lub sprawdzić wykonanie tych zadań, jeżeli wcześniej był wprowadzony stopień ALFA-CRP. Ponadto należy:

• zapewnić dostępność w trybie alarmowym personelu odpowiedzialnego za bezpieczeństwo systemów;
• wprowadzić całodobowe dyżury administratorów systemów kluczowych dla funkcjonowania organizacji oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów teleinformatycznych.

Czy w twojej jednostce realizuje się powyższe zadania?

Źródła:

• Strona RCB: „Przedłużenie obowiązywania stopni alarmowych do 30 listopada 2025 r.”

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

---

NARZĘDZIE DO ANALIZY KONT UŻYTKOWNIKÓW WINDOWS

Mając na uwadze rosnące zagrożenia cybernetyczne, jednym z kluczowych elementów ochrony infrastruktury IT jest regularna kontrola kont użytkowników. Szczegółowy opis tego wymagania zawarty jest w ISO/IEC 27001, NIST SP 800-53, RODO (GDPR), CIS Controls. Fałszywe konta lokalne lub domenowe utworzone przez hakerów mogą stanowić furtkę do dalszych ataków, eskalacji uprawnień i kradzieży danych. Dlatego cykliczne audyty kont są nie tylko dobrą praktyką, ale wręcz koniecznością. W połączeniu z odpowiednimi narzędziami, politykami i świadomością zagrożeń, pozwalają wykryć nieautoryzowane działania zanim dojdzie do poważnego incydentu. Warto wdrożyć procedury audytowe jako część codziennej administracji systemami Windows i Active Directory.

Źródło: opracowanie własne.

Aby sprawdzić konta lokalne w systemie Windows naciśnij przycisk Windows +R a następnie wpisz polecenie netplwiz. Natomiast do administracji użytkownikami i obiektami w Active Directory używa się narzędzi takich jak "Użytkownicy i komputery usługi Active Directory".

Kilka dobrych praktyk:

1. Regularne sprawdzaj konta

• Przeglądaj listę kont lokalnych i domenowych co najmniej raz w miesiącu.
• Weryfikuj, czy konta są zgodne z polityką firmy (np. brak kont bez właściciela).
• Usuwaj konta tymczasowe/testowe po zakończeniu ich użycia.

2. Monitoruj logi systemowe

• Włącz audytowanie zdarzeń związanych z tworzeniem kont i grup.
• Używaj narzędzi takich jak Event Viewer, PowerShell, Sysmon, SIEM (np. Splunk, Sentinel).

3. Wyszukuj podejrzane zdarzenia

• Identyfikatory zdarzeń w logach:

 

4. Sprawdzaj, które konta są uprzywilejowane

• Sprawdzaj członkostwo w grupach takich jak:

• Domain Admins
• Enterprise Admins
• Administrators

• Używaj zasady PoLP (Principle of Least Privilege) – tylko niezbędne uprawnienia.
• Hakerzy często tworzą konta z nazwami przypominającymi konta systemowe (np. Admin1, SupportSvc).

Porównaj listę kont z listą zatwierdzonych użytkowników.

Sprawdź daty utworzenia kont – nietypowe godziny mogą wskazywać na atak.

Monitoruj konta nieaktywne, ale z uprawnieniami.

---

NARZĘDZIE DO ANALIZY POŁĄCZEN W SYSTEMIE WINDOWS

Wyobraź sobie, że pracujesz w urzędzie i nagle komputer zaczyna działać wolniej. W sytuacji kiedy mamy podejrzenie, że w naszym komputerze z systemem Windows dzieje się coś niepożądanego zastanawiamy się jak to sprawdzić. Pierwsze co przychodzi nam do głowy, to uruchomić skanowanie antywirusowe, i to jest dobre działanie. W pewnych przypadkach skaner może pominąć zagrożenia. Dodatkową opcją może być manualna kontrola połączeń sieciowych, jakie nawiązuje nasz system operacyjny. Możemy zrobić to za pomocą linii komend CMD wpisując polecenie netstat, które służy do wyświetlania informacji o połączeniach sieciowych, portach, procesach, statystykach protokołów i tabelach routingu.

Źródło: opracowanie własne.

Powyższa komenda umożliwia sprawdzenie czy nasz komputer nie zawiera obiektów śledzących nas w sieci. Dostępne opcje pozwalają na filtrację i formatowanie wyświetlanych danych:

• -a (wszystkie): Wyświetla wszystkie aktywne gniazda i nasłuchujące porty. 
• -n (numeryczne): Wyświetla adresy IP i numery portów w formie numerycznej, zamiast rozwiązywać nazwy hostów i usług. 
• -r (routing): Wyświetla tabelę routingu. 
• -s (statystyki): Wyświetla szczegółowe statystyki dla poszczególnych protokołów sieciowych (np. IP, TCP, UDP). 
• -e (interfejsy): Wyświetla statystyki dotyczące interfejsów sieciowych, takie jak liczba wysłanych i otrzymanych bajtów, pakietów oraz błędy. 
• -p <protokół>: Wyświetla tylko połączenia dla określonego protokołu, np. -p TCP. 
• -o (PID): (W systemie Windows) Wyświetla identyfikator procesu (PID) powiązanego z każdym połączeniem. 
• -f (pełne nazwy DNS): (W systemie Windows) Wyświetla pełne nazwy domenowe dla adresów IP. 
• -b (nazwa pliku wykonywalnego): (W systemie Windows) Wyświetla nazwę pliku wykonywalnego procesu, który korzysta z połączenia. 
• -g (grupy multicast): (W systemach Linux) Wyświetla informacje o członkostwie w grupach multicast dla protokołów IPv4 i IPv6. 
• -i (interfejsy): (W systemach Linux) Wyświetla tabelę wszystkich interfejsów sieciowych

Jeśli nie bardzo potrafimy zinterpretować wyniki, możemy skorzystać z pomocy AI :)

---

INSTRUKCJA OD CERT POLSKA – JAK ZBUDOWAĆ CSIRT

Czy w samorządzie jest niezbędny wykwalifikowany zespół specjalistów odpowiedzialnych za ciągłe monitorowanie, wykrywanie, analizę i reagowanie na zagrożenia bezpieczeństwa informatycznego typu SOC lub CSIRT? Na to pytanie można odpowiedzieć dopiero po przeprowadzaniu szczegółowej analizy ryzyka. NIS2 nie wymusza w bezpośredni sposób posiadania takiej komórki w JST, ale wymaga wdrażania skutecznych mechanizmów monitorowania, zarządzania ryzykiem i reagowania na incydenty, co sprawia, że SOC jest najefektywniejszym sposobem na spełnienie tych wymogów. Kolejne pytanie brzmi, czy samorząd stać na zbudowanie takiego zespołu samodzielnie czy we współpracy z sąsiednimi gminami, a może z WOKISS? Taki zespół zmniejsza ryzyko przerw w usługach i podnosi poziom bezpieczeństwa danych, dodatkowo buduje profesjonalny wizerunek JST. Wokiss jako wieloletni integrator rozwiązań IT posiada odpowiednią kadrę i doświadczenie w realizacji podobnych projektów.

Źródło: Obraz Gerd Altmann z Pixabay

CERT Polska opublikował rekomendacje dla ustanawiania zespołów CSIRT z myślą o powstawaniu CSIRT-ów sektorowych zgodnie z projektem nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Rekomendacje kierowane są przede wszystkim do osób odpowiedzialnych za tworzenie zespołów cyberbezpieczeństwa w podmiotach krajowego systemu cyberbezpieczeństwa. W dokumencie zostały przedstawione praktyczne porady dotyczące organizacji i funkcjonowania zespołów CSIRT. Chodzi o to, by zespoły działały według podobnych zasad i mogły ze sobą współpracować. Jeśli zespół osiągnie podstawowy poziom dojrzałości według standardu ENISA, łatwiej poradzi sobie z incydentami i współpracą z innymi CSIRT-ami.

SCHEMAT IDEOWY CSIRT

1. CEL
   Zespół CSIRT ma reagować na incydenty związane z bezpieczeństwem komputerowym. Określ, co ma chronić. Na przykład: systemy płatności, dane mieszkańców, dostęp do poczty elektronicznej. Zdefiniuj, jakie podmioty będzie wspierał – czy tylko urząd, czy też szkoły, biblioteki, spółki komunalne itp..
2. MANDAT I ZASADY DZIAŁANIA
   Określ, co zespół może robić, a czego nie. Spisz to w prostym dokumencie. Pracownicy muszą wiedzieć, kiedy mają reagować, komu raportować i jakie decyzje mogą podejmować samodzielnie.
3. KADRA
   Wystarczą 2–3 osoby, które znają się na sieciach, systemach i potrafią szybko reagować. Zadbaj o ich szkolenia i umiejętność komunikacji.
4. NARZĘDZIA
   System do monitorowania sieci i analizy logów SIEM, EDR, XDR, NAC itp., Kolejny to dobrze działający system inwentaryzacji i monitorowania infrastruktury oraz łatwy w obsłudze system do obsługi zgłoszeń i komunikacji.
5. PROCESY
   Spisz proste scenariusze reagowania. Ustal, kiedy zgłaszasz sprawę wyżej – do kierownictwa, do prawnika, do mediów.
6. WSPOŁPRACA
   Nawiąż kontakt z zespołami CSIRT na poziomie krajowym. Dołącz do spotkań, grup dyskusyjnych, wymieniaj się doświadczeniami.
7. WIZERUNEK
   Publikuj informacje na stronie urzędu. Podaj kontakt, opisz, kiedy i jak można zgłaszać incydenty.

Rekomendacje zespołu CERT Polska dla ustanawiania zespołów CSIRT

PDF, 1,43 MB

Źródła:

•  cert.pl, „Rekomendacje dla ustanawiania zespołów CSIRT”

 

---

NOWY PROJEKT „CYFROWY UCZEŃ” – CO MUSISZ WIEDZIEĆ

Rząd opublikował 13 sierpnia 2025 r. projekt rozporządzenia dotyczący nowego programu „Cyfrowy Uczeń”. Jak donoszą portale informacyjne, program ruszy od 31 sierpnia 2025 r. i obejmie cztery lata szkolne – do 30 listopada 2029 r. Z budżetu państwa przeznaczono 260 mln zł. Samorządy muszą zagwarantować minimum 20 % wkładu własnego.

Źródło: Obraz Alexandra_Koch z Pixabay

Dotacje mogę trafić do:

• przedszkoli (również specjalnych i integracyjnych),
• placówek oświatowo-wychowawczych,
• poradni psychologiczno-pedagogicznych,
• młodzieżowych ośrodków wychowawczych i socjoterapii,
• młodzieżowych domów kultury,
• międzyszkolnych ośrodków sportowych,
• burs i domów wczasów dziecięcych,
• Ośrodka Rozwoju Edukacji i Centrum Informatycznego Edukacji

Program ma objąć:

• Obszar sprzętowy – zakup lub modernizacja sprzętu: komputery, laptopy, tablety, sprzęt VR/AR, roboty edukacyjne, monitory interaktywne, wyposażenie pracowni, sieci LAN, pomoce dla uczniów ze specjalnymi potrzebami.
• Obszar narzędziowy – oprogramowanie, licencje, materiały cyfrowe, przestrzeń w chmurze, usługi zdalnego zarządzania, materiały edukacyjne.
• Obszar szkoleniowy/metodyczny – choć szczegóły jeszcze się pojawią, jest to jasny znak, że program nie ograniczy się do sprzętu, ale wesprze nauczycieli i metody ich pracy.
• Obszar rozwoju usług cyfrowych dla edukacji – wsparcie dla Centrum Informatycznego Edukacji, w tym rozbudowa i utrzymanie np. ogólnodostępnego dziennika elektronicznego

Praktyczne wskazówki:

• Zidentyfikuj potrzeby placówki.
  Czego najbardziej brakuje w Twojej placówce: sprzętu czy umiejętności? Zastanów się, czy najbardziej przyda się sprzęt, szkolenia, czy może chmura albo oprogramowanie.
• Przygotuj wkład własny.
  To minimum 20 %.
• Zadbaj o kompetencje nauczycieli.
  Zaplanuj, kto i jakich szkoleń potrzebuje. Nowoczesne technologie działają tylko, gdy ktoś potrafi ich używać.

• Zacznij planować już teraz.
  Jakie efekty chcesz osiągnąć – bardziej kreatywną naukę, współpracę uczniów, lepszą dydaktykę? Jak to opisać we wniosku? Zacznij zbierać dane o stanie obecnym: ile mam komputerów, jakie oprogramowanie, jakie potrzeby. Pozwoli to skuteczniej wypełnić wniosek.

• Pomyśl o trwałości zmian.
  Co zrobisz, gdy program się skończy? Czy masz plan na utrzymanie i rozwój? Warto zastanowić się, jak będziecie dalej korzystać ze sprzętu po zakończeniu projektu. Czy macie strategię rozwoju cyfryzacji?

Źródła:

• Serwis samorządowy PAP: „MEN zapowiada uruchomienie programu „Cyfrowy Uczeń”. W puli 260 mln zł”

• Portal Oświatowy: „Program Cyfrowy Uczeń – dofinansowanie dla szkół i placówek oświatowych od 31 sierpnia 2025 r.”

---

CZY AI POMAGA HAKEROM?

Niestety AI pozwala przestępcom tworzyć bardzo realistyczne wiadomości, obrazy i głosy. Dzięki możliwości analizy bardzo dużej ilości danych i korelacji zależności oszuści mogą przygotować precyzyjne celowane ataki na wybrane instytucje w dotąd niespotykanej skali. Oszustwa stają się coraz bardziej wyrafinowane i trudniejsze do rozpoznania co powinno skłonić organizacje do opracowania nowych strategii ochrony.

Źródło Strona NASK

Nask przedstawia przykłady zastosowań sztucznej inteligencji przez hakerów:

• Automatyzacja ataków phishingowych: Boty AI mogą masowo rozsyłać wiadomości phishingowe, oceniać szanse na oszustwo i selekcjonować ofiary.
• Phishing głosowy (vishing): AI tworzy realistyczne fałszywe głosy, które są trudne do odróżnienia od prawdziwych rozmów telefonicznych, wymagając zaledwie kilku sekund próbki głosu.
• Manipulacje audiowizualne (deepfake): AI modyfikuje lub generuje materiały audiowizualne z wizerunkami znanych osób, by promować narzędzia lub zachęcać do kliknięć/pobierania.
• Tworzenie fałszywych tożsamości: AI generuje autentycznie wyglądające profile w mediach społecznościowych, w tym zdjęcia, posty i wirtualne grupy znajomych, zwiększając skuteczność oszustw socjotechnicznych.
• Automatyzacja interakcji: Chatboty AI prowadzą realistyczne rozmowy z ofiarami, by skłonić je do ujawnienia informacji lub wykonania działań.
• Personalizacja ataków: AI analizuje dane ofiar (np. z mediów społecznościowych) w celu tworzenia spersonalizowanych i trudniejszych do wykrycia wiadomości oraz scenariuszy ataków.

Źródła:

• NASK - „Sztuczna inteligencja a oszustwa internetowe”

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI

---

DZIEŃ BEZ TELEFONU

15 lipca obchodzimy Światowy Dzień Bez Telefonu Komórkowego. To doskonała okazja, aby na chłodno przyjrzeć się naszym nawykom związanym z używaniem smartfonów i innych urządzeń ekranowych. Warto zastanowić się, jaką rolę odgrywają one w naszym życiu.

Współczesne telefony to znacznie więcej niż tylko urządzenia do dzwonienia i wysyłania SMS-ów. Stały się przenośnymi komputerami, które są nieodłączną częścią naszej codzienności. Służą nam nie tylko do komunikacji, ale również jako portfel, narzędzie do uwierzytelniania tożsamości, nawigacja, aparat fotograficzny, encyklopedia, sklep, dziennik elektroniczny, sterownik inteligentnych domów, trener personalny, a także źródło rozrywki w postaci gier, filmów czy mediów społecznościowych.

Źródło Strona Gov.pl

Jak podaje Instytutu Cyfrowego Obywatelstwa i Fundacji Orange w raporcie „Higiena cyfrowa dorosłych” z kwietnia 2025r:

„Najwięcej osób używa telefonu od 1 do 3 godzin dziennie (w dniu pracy/uczenia się – 34,6%, w dniu wolnym – 34,2%) oraz od 3 do 5 godzin dziennie (w dniu pracy/uczenia się – 23,5%, w dniu wolnym –22,2%), ok. 18% badanych używa telefonu 5 godzin i więcej.”

Do czego używamy naszych smartfonów?

„Najwięcej badanych internautek i internautów codziennie wykorzystuje urządzenia ekranowe przede wszystkim do aktywności na portalach społecznościowych (60%), komunikacji z innymi (54,4%) oraz wyszukiwania informacji (43,8%). Co ok. trzecia osoba codziennie ogląda na ekranach filmy lub inne materiały wideo (35,1%) i słucha muzyki, podcastów czy audiobooków (33,1%), 30,8% używa urządzeń codziennie do pracy i uczenia się.”

Jak się z tym czujemy?

„Ponad połowa internautek i internautów (54,5%) oceniła, że na używaniu urządzeń ekranowych spędza dużo czasu („bardzo dużo” i „raczej dużo”). Przeciwnego zdania („raczej mało” i „bardzo mało”) było jedynie 10% z nich. Co trzeciej osobie trudno było dokonać takiej oceny”

Patrząc przez pryzmat powyższego, zachęcamy do

• aktywnego spędzania czasu z rodziną i przyjaciółmi,
• realizacji swojego hobby,
• spędzania czasu na aktywnościach fizycznych,
• autorozwoju poprzez czytanie tradycyjnych książek.

Źródła:

• Instytutu Cyfrowego Obywatelstwa i Fundacji Orange, „Higiena cyfrowa dorosłych” PDF, 6 MB

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI

---

TATO TO MÓJ NOWY NUMER - POMOCY

Jeśli dostaniesz wiadomość typu „Czesc tato, napisz do mnie na, W. hatsApp wa.me/+48722179856 telefon zepsuty.” lub „Tato możesz mi wysłać 600 zł? Zaraz oddam, tylko teraz nie mogę zadzwonić.” Weź głęboki oddech i zastanów się czy to może być prawda czy jest to atak hakera. Osobiście dostałem taką wiadomości w takcie podróży na wakacje a moje dzieci siedziały tuż za mną i nie używały telefonów. Jedno słowo w SMS-ie: „mamo” czy „tato” wystarczy, żeby uruchomić w nas spiralę strachu i chęć natychmiastowego działania. A oszuści idą jeszcze dalej. Często w wiadomościach, które wyglądają, jakby napisało je nasze dziecko, jest jeszcze jeden wyraz: „pomocy”.

Źródło Strona NASK

Cyberprzestępcy wykorzystują nasz lęk i troskę o bliskich. Wysyłają SMS-y czy wiadomości podszywając się pod dziecko lub wnuka. Piszą: „Tato, prześlij 600 zł, zaraz oddam, tylko teraz nie mogę zadzwonić”. Taka prośba łapie za serce i często tracimy zdrowy rozsądek.

Ataki odbywają się głównie w wakacje. Nasze pociechy często są na koloniach czy obozach i takie wiadomości mogą wydawać się prawdopodobne. Kontakt z dziećmi jest rzadszy i utrudniony, jesteśmy mniej czujni. Wiadomość przychodzi od nieznanego numeru, ma emocjonalny ton, często bez polskich znaków. To działa, bo reagujesz instynktownie, bez namysłu, w stresie o swoje dzieci. Emocje tłumią logiczne myślenie.

Oszuści wykorzystują sztuczną inteligencję aby podszywać się pod głos dzieci, dzwonią z płaczliwym tonem, opowiadają dramatyczne historie o wypadku. Na portalach społecznościowych atakują również przyjaciół: „Cześć, potrzebuję pilnie 200 zł, odezwę się jutro”.

Praktyczne zasady bezpieczeństwa

• Zawsze sprawdzaj prośby o pieniądze. Zadzwoń do dziecka przez znany numer.
• Zatrzymaj się na chwilę—nie reaguj impulsywnie.
• Ustal z bliskimi hasło bezpieczeństwa. Dzięki niemu rozpoznasz prawdziwą wiadomość.
• Jeśli ktoś zmienia numer i prosi o kod BLIK – wzbudza to podejrzenia.
• Zgłaszaj podejrzane SMS-y lub wiadomości do CERT Polska.

Źródła:

• NASK - „Gdy emocje stają się bronią”

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI

---

WAKACYJNY PHISHING

Beztroskie wakacje, plaża, woda, słońce to rozkojarzenie i czas zwiększonego ryzyka.  W czasie urlopu obniżamy czujność i jesteśmy bardziej podatni na działania socjotechniczne hakerów. Cyberprzestępcy starają się wykorzystać nasz dobry nastrój. Najczęściej korzystają z Facebooka, Instagrama i TikToka.

Źródło Strona NASK

Pojawiają się fałszywe konkursy, loterie „last minute” i oferty wakacyjne. Twórcy oszustw podszywają się pod znane firmy, biura podróży lub linie lotnicze. Jeśli bezmyślnie klikniesz w link to trafiasz na stronę udającą prawdziwą. Podajesz dane albo wykonujesz płatność. Oszuści wykorzystują je do kradzieży tożsamości i pieniędzy. Gdy stracisz dostęp do konta w mediach społecznościowych, oszuści mogą publikować w twoim imieniu. Mogą wyłudzać pieniądze od twoich znajomych.

Jak się chronić

Zastanów się, zanim klikniesz w atrakcyjną ofertę. Sprawdź dokładnie adres strony. Weryfikuj profile firmowe w mediach społecznościowych. Nigdy nie podawaj danych osobowych i finansowych w nieznanych miejscach. Ustaw uwierzytelnianie dwuskładnikowe, co utrudnia oszustom działanie.

Praktyczne wskazówki

• Przy każdej ofercie wakacyjnej sprawdź, czy rzeczywiście pochodzi od firmy, którą znasz.
• Nawet jeśli oferta wygląda genialnie, zweryfikuj ją na stronie producenta.
• Załóż uwierzytelnianie dwuskładnikowe w serwisach społecznościowych.
• Obserwuj swoje konta – jeśli ktoś się loguje z nietypowego miejsca, dostaniesz alert.

Źródła:

• NASK, „Phishing w trakcie wakacji”

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

---

FAŁSZYWE OFERTY PRACY ONLINE. NIE DAJ SIĘ OSZUKAĆ?

Ty lub ktoś z twoich bliskich szuka pracy online? Bądź czujny, nie daj się oszukać. Cyberprzestępcy tworzą profesjonalnie wyglądające ogłoszenia, wykorzystują nazwy znanych firm, a nawet przeprowadzają „rozmowy kwalifikacyjne”. Ich celem nie jest zatrudnienie cię, lecz wyłudzenie danych lub pieniędzy. Oszustwa z ofertami pracy w Internecie stają się coraz bardziej wyrafinowane i bardzo precyzyjnie przygotowane.

Źródło gemini.google.com

Jak działają oszuści?

Scenariusz polega na dostarczeniu Tobie wiadomość z atrakcyjną ofertą pracy przez komunikator, maila lub ogłoszenie w mediach społecznościowych. Praca wygląda na bardzo łatwą – na przykład lajkowanie postów, testowanie aplikacji czy proste wprowadzanie danych. Wynagrodzenie? Podejrzanie wysokie jak na zakres obowiązków.

Po pierwszym kontakcie oszust prosi o „opłatę rejestracyjną” albo sugeruje konieczność założenia konta bankowego w celu „weryfikacji”. Czasem chce zdjęcia twojego dowodu lub numeru karty. Jeśli przekażesz dane – pieniądze znikają z konta, a kontakt się urywa.

Jak rozpoznać fałszywą ofertę?

Zwróć uwagę na:

• Zbyt wysokie wynagrodzenie za prostą pracę.
• Brak konkretów: bez adresu firmy, bez NIPu, bez nazwiska rekrutera.
• Komunikacja wyłącznie przez WhatsApp, Telegram lub Facebook Messenger.
• Wymóg opłaty z góry lub przekazania zbyt wielu szczegółowych danych osobowych przed podpisaniem umowy.

Profesjonalny rekruter nie poprosi cię o pieniądze. Nie zażąda numeru karty ani skanu dowodu przez czat. Nie wyśle ci skróconego linku, który prowadzi do nieznanej strony.

Co możesz zrobić?

1. Zweryfikuj firmę – sprawdź, czy ma stronę internetową, wpis w KRS, czy istnieje w serwisach typu LinkedIn.
2. Nie klikaj skróconych linków – sprawdź, dokąd prowadzą (np. przez serwis unshorten.me).
3. Nie przesyłaj danych – dopóki nie masz pewności, że kontaktujesz się z legalnym pracodawcą.
4. Zgłoś próbę oszustwa – przez formularz na https://incydent.cert.pl lub SMS na numer 8080.
5. Użyj aplikacji mObywatel – nowa funkcja „Bezpiecznie w sieci” pozwala zgłaszać oszustwa szybko i skutecznie.

Twoje dane są warte więcej niż myślisz. Cyberprzestępcy mogą zaciągnąć pożyczkę na twoje nazwisko, założyć fikcyjną firmę lub użyć twojego wizerunku w kolejnym oszustwie. Fałszywe ogłoszenia to nie tylko stracony czas. To realne ryzyko finansowe i prawne.

Źródła:

• NASK, „Fałszywe oferty pracy online. Jak nie dać się oszukać? 
• Gov.pl, „Bezpiecznie w sieci”

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

---

NOWA FUNKCJA W APLIKACJI MOBYWATEL. SPRAWDŹ CZY DZIAŁA!

Ministerstwo Cyfryzacji wprowadziło do aplikacji mObywatel dwie praktyczne funkcje związane z dowodem osobistym. Od 24 czerwca 2025 r. w wersji 4.60 i nowszych możesz:

• sprawdzić status dowodu osobistego, czy jest aktywny, zawieszony lub unieważniony; usługę można zrealizować również z cudzym dokumentem wpisując serię i numer,
• zawiesić dowód do 14 dni (tylko swój),
• unieważnić dowód natychmiast, jeśli utraciłeś go lub został zniszczony (tylko swój).

Znajdziesz te funkcjonalności w zakładce „Sprawdź dowód”, gdzie wpisujesz numer i sprawdzasz status oraz w sekcji „Załatw sprawę” → „Dowód osobisty”- tam możesz zawiesić lub unieważnić dokument.

Źródło: opracowanie własne.

Jeśli zgubisz dowód i masz nadzieję, że go znajdziesz, możesz go zawiesić do 14 dni. Jeśli nie cofniesz zawieszenia, dowód zostanie automatycznie unieważniony. Jeśli dokument zniknął na dobre lub go zniszczono, wybierasz unieważnienie, będące procesem natychmiastowym i nieodwracalnym. Funkcje wymagają: e-dowodu z warstwą elektroniczną, aktywnego Profilu Zaufanego, konta ePUAP i dostępu do internetu - status dowodu działa także offline.

W kryzysowej sytuacji możesz natychmiast unieważnić dowód, w ten sposób szybciej zareagujesz na ryzyko. Oszczędzasz czas, nie musisz iść do urzędu ani dzwonić, cały proces jest bezpłatny i trwa tylko chwilę. Jako urzędnik lub osoba fizyczna przy podpisywaniu umowy lub weryfikacji tożsamości nie musisz żądać od klienta fizycznego dokumentu, sprawdzisz status dowodu od ręki w aplikacji.

Sprawdź czy Twoja placówka wprowadziła procedury, by korzystać z tych nowych opcji w mObywatelu. Czy masz wdrożony scenariusz weryfikacji dowodu szybko i elektronicznie?

Źródła:

• Gov.pl, "Nowości w mObywatelu. Szybkie zgłoszenie utraty dowodu osobistego i sprawdzanie jego ważności w aplikacji"

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi sztucznej inteligencji.

---

UŻYWASZ NIEWSPIERANYCH SYSTEMÓW OPERACYJNYCH? MOŻESZ DOSTAĆ KARĘ OD PUODO

Jak podaje UODO, skutecznie przeprowadzony atak hakerski na Gminny Ośrodek Pomocy Społecznej doprowadził do czasowej utraty danych 1500 osób. Incydent ujawnił szereg nieprawidłowości w zabezpieczeniach technicznych i organizacyjnych takich jak stosowanie niewspieranych systemów operacyjnych i brak wdrożonej zasady 3:2:1(1) w planowaniu kopii zapasowych.

 

Źródło chatgpt.com

Choć GOPS i Wójt zidentyfikowali w analizie ryzyko ataku ransomware, nie potraktowali go z należytą powagą. Stosowano system operacyjny, który już od dwóch lat nie był wspierany przez producenta, a kopie zapasowe – jedyny środek ochronny – przechowywano na tym samym dysku sieciowym, co dane produkcyjne, przez co również zostały zaszyfrowane podczas ataku.

Rodzi się pytanie, jaka była przyczyna takich zaniedbań? Czy był to brak środków na modernizacje serwerów i oprogramowania, czy niewyostrzające zasoby ludzkie? Niezależnie od przyczyny warto sprawdzić swoje systemy, czy są odpowiednio zabezpieczone, aby uniknąć kar finansowych i utraty wizerunku.

Prezes UODO nałożył karę 5 tys. zł na GOPS oraz 10 tys. zł na Wójta, podkreślając, że zgłoszenie naruszenia było spóźnione i niepełne. Co więcej, GOPS (administrator danych) nie sprawdzał, czy podmiot przetwarzający (Wójt) faktycznie stosuje bezpieczne praktyki – brak audytów. Taka kontrola mogła wcześniej wykryć uchybienia.

Przypominamy, że w październiku 2025 roku kończy się wsparcie dla Windows 10. Natomiast wsparcie dla Microsoft SQL Server przedstawiono w tabeli poniżej.

Lista	Data rozpoczęcia	Data zakończenia wsparcia podstawowego	Data zakończenia wsparcia rozszerzonego
SQL Server 2016	1 cze 2016	13 lip 2021	14 lip 2026
SQL Server 2017	29 wrz 2017	11 paź 2022	12 paź 2027
SQL Server 2019	4 lis 2019	28 lut 2025	8 sty 2030

Tabela 1. Wsparcie podstawowe i rozszerzone dala wybranych systemów Microsoft SQL Server.

Źródła:

• uodo.gov.pl, "Rzetelna analiza ryzyka i procedury kontrolne ustrzegłyby przed incydentem. Kara dla GOPS"

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI

---

PRZEDŁUŻENIE OBOWIĄZYWANIA STOPNI ALARMOWYCH DO 31 SIERPNIA 2025 R.

Przypominamy o realnym i ciągle narastającym zagrożeniu cybernetycznych ataków hakerskich na instytucje realizujące zadania publiczne. Prezes Rady Ministrów Donald Tusk podpisał zarządzenia przedłużające obowiązywanie stopni alarmowych: 2. stopnia BRAVO i 2. stopnia BRAVO-CRP na terenie całego kraju oraz 2. stopnia BRAVO wobec polskiej infrastruktury energetycznej mieszczącej się poza granicami Rzeczypospolitej Polskiej.

Źródło www.gov.pl

Stopnie alarmowe są przede wszystkim sygnałem dla służb, żeby były gotowe do działania.

BRAVO-CRP oznacza, że należy wykonać zadania wymienione dla pierwszego stopnia alarmowego CRP oraz kontynuować lub sprawdzić wykonanie tych zadań, jeżeli wcześniej był wprowadzony stopień ALFA-CRP. Ponadto należy:

• zapewnić dostępność w trybie alarmowym personelu odpowiedzialnego za bezpieczeństwo systemów;
• wprowadzić całodobowe dyżury administratorów systemów kluczowych dla funkcjonowania organizacji oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów teleinformatycznych.

Czy w twojej jednostce realizuje się powyższe zadania?

Źródła:

• Link do strony rządowej gov.pl

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI

---

CO TO JEST DORA I CZY JEST WAŻNA DLA SAMORZĄDÓW?

Od 17 stycznia 2025 obowiązuje unijne rozporządzenie DORA (Digital Operational Resilience Act), czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 roku w sprawie cyfrowej odporności operacyjnej sektora finansowego. Głównym celem aktu jest wzmocnienie bezpieczeństwa i ciągłości działania podmiotów świadczących usługi finansowe w kontekście zagrożeń cyfrowych. Choć regulacja dotyczy bezpośrednio sektora finansowego, jej wpływ wykracza poza banki, firmy ubezpieczeniowe czy instytucje płatnicze. Dotyczy również pośrednio jednostek samorządu terytorialnego – szczególnie tych, które współpracują z instytucjami finansowymi, przetwarzają dane finansowe mieszkańców lub korzystają z usług firm informatycznych powiązanych z tym sektorem.

Źródło: Copilot

DORA wprowadza jednolite zasady zarządzania ryzykiem ICT – czyli technologii informacyjno-komunikacyjnych. Reguluje sposób monitorowania incydentów, testowania odporności cyfrowej oraz zarządzania relacjami z dostawcami usług IT. Rozporządzenie nakłada obowiązek tworzenia skutecznych mechanizmów zapewniających ciągłość działania i szybkiego reagowania na zagrożenia w cyberprzestrzeni.

W związku z tym warto już teraz podjąć konkretne działania. Samorządy są objęte przepisami KRI, NIS2 czy RODO i również powinny przeanalizować ryzyka cyfrowe, zaktualizować plany ciągłości działania i zidentyfikować kluczowe systemy IT oraz krytycznych dostawców usług informatycznych. Istotne jest również wdrożenie skutecznych procedur zarządzania incydentami oraz regularne testowanie odporności cyfrowej. Nie można też zapominać o najważniejszym zasobie – ludziach. Podnoszenie świadomości pracowników w zakresie cyberbezpieczeństwa staje się dziś koniecznością, nie tylko dobrą praktyką. Dlatego warto zaplanować szkolenia.

---

ZNAKI WODNE W TEKSTACH GENEROWANYCH PRZEZ AI

Wspierasz się AI w codziennej pracy urzędnika? Uważaj!

Wszystko, co wprowadzasz do przestrzeni publicznej a powstało przy użyciu AI, zawiera ukryte znaki wodne. Są to niewidoczne znaki Unicode, takie jak Narrow No-Break Space, Zero Width Space, Zero Width Non-Joiner, Zero Width Joiner, umieszczane w treściach w celu oznaczenia ich pochodzenia. Dzięki nim specjalistyczne narzędzia mogą wykryć, czy dany tekst został wygenerowany przez maszynę.

Źródło: Copilot

AI czasem wstawia ukryte tagi tam, gdzie normalnie powinny znajdować się spacje czy znaki interpunkcyjne. Choć na pierwszy rzut oka tekst wygląda zwyczajnie, „niewidzialna ręka” zdradza jego pochodzenie. Jeśli chcesz, aby Twoje treści wyglądały jak napisane przez człowieka, musisz pozbyć się tych ukrytych elementów.

Wiele osób – uczniów, studentów, marketerów czy twórców treści – zależy na tym, aby sztuczna inteligencja nie była łatwa do rozpoznania. Usuwanie niewidocznych znaków pomaga obejść systemy wykrywające AI, co może być przydatne w publikacjach, pracach domowych czy materiałach reklamowych.

Jednak uwaga – robisz to na własne ryzyko. Zanim zaczniesz usuwać te znaki, sprawdź, czy jest to zgodne z zasadami organizacji, w której chcesz użyć tekstu. Nie chciałbyś przecież mieć później kłopotów, gdy ktoś to wykryje.

Możesz skorzystać z narzędzi online albo usunąć tagi ręcznie, edytując tekst. Wystarczy użyć edytora, który pozwala na wyświetlanie niewidocznych znaków, a następnie usunąć je pojedynczo, zwracając uwagę na miejsca, gdzie powinny znajdować się zwykłe spacje i znaki interpunkcyjne. To czasochłonne, ale pozwala zrozumieć mechanizm działania znaków wodnych.

Czy każdy tekst musi być wolny od takich śladów? Czasami warto pozostawić informację, że powstał przy pomocy AI. Zastanów się nad kwestią etyki i przejrzystości: czy rzeczywiście chcesz ukrywać fakt, że korzystałeś ze sztucznej inteligencji? W szkołach czy dokumentach czasem wymagane jest uczciwe przyznanie, skąd pochodzi tekst.

Technologia nieustannie się rozwija. Zarówno metody znakowania treści przez AI, jak i narzędzia do ich usuwania są ciągle ulepszane. Warto śledzić nowości, aby być na bieżąco.

Na koniec zastanów się nad konsekwencjami ukrywania źródła treści. Najważniejsza jest rzetelność i wiarygodność Twojej pracy. Autentyczność naprawdę się liczy – choć czasem łatwiej jest coś „przefiltrować”, prawda?

Źródła: 

• Link do portalu Nanokomputronik.pl/

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI

---

SKUTECZNE METODY KONTROLI RODZICIELSKIEJ W INTERNECIE

Temat skutecznej kontroli rodzicielskiej w sieci staje się coraz ważniejszy, zwłaszcza teraz, gdy cyfrowy świat wkracza w każdy zakamarek życia. Dzieciaki mają przecież niemal nieograniczony dostęp do smartfonów, tabletów czy komputerów. Jasne, internet to skarbnica wiedzy i rozrywki, ale też miejsce, gdzie łatwo natknąć się na rzeczy, które niekoniecznie są dla nich odpowiednie. I tu właśnie zaczyna się problem dla rodziców — jak zadbać o bezpieczeństwo swoich pociech. Autorzy raportu Nastolatki 3.0 z 2021 roku zwracają uwagę, że rodzice często nie zdają sobie sprawy, ile faktycznie czasu ich dzieci spędzają online, a dodatkowo często brakuje kontroli, zwłaszcza w nocy, kiedy niby powinien być spokój.

Źródło: Copilot

Kontrola rodzicielska to narzędzie, które pomaga filtrować to, co młody użytkownik widzi i robi w sieci. W wielu systemach operacyjnych można już znaleźć wbudowane funkcje ochrony, a na rynku roi się od różnych specjalnych aplikacji stworzonych właśnie do tego celu. Na przykład, mOchrona — projekt prowadzony przez NASK PIB — pozwala rodzicom w dość prosty sposób ustawić limity czasu korzystania z internetu czy też blokować dostęp do wybranych stron i aplikacji. Takie rozwiązania są naprawdę pomocne, choć oczywiście nie zastąpią zdrowego rozsądku i rozmowy z dzieckiem, ale o tym każdy chyba wie, prawda?

Funkcje oferowane przez aplikację mOchrona od NASK PIB:

• Konto rodzica – pozwala na wybór kategorii stron internetowych i aplikacji, do których dziecko nie powinno mieć dostępu.
• Domyślnie zablokowane kategorie witryn zawierających przemoc oraz treści powszechnie uznawane za nieodpowiednie dla dzieci (można to zmienić).
• Możliwość wysłania przez dziecko prośby o dostęp do zablokowanych treści.
• Raportowanie czasu spędzonego przez dziecko, np. w mediach społecznościowych.
• Przycisk S.O.S. – dziecko może zaalarmować opiekuna o treści, która budzi jego niepokój.

Skuteczna kontrola rodzicielska opiera się na połączeniu rozwiązań technicznych i szczerej rozmowy. Rodzice powinni edukować dzieci o zagrożeniach płynących z Internetu oraz pokazywać im, jak bezpiecznie korzystać z sieci. Narzędzia kontrolne wspierają budowanie świadomości cyfrowej i pomagają ustalić jasne reguły. Wdrożenie zabezpieczeń nie zastępuje dialogu z dzieckiem – wspólne ustalanie zasad sprzyja budowaniu zaufania i umożliwia szybką reakcję w razie wykrycia niepokojących sygnałów.

Nowoczesne programy kontroli rodzicielskiej pozwalają na bieżąco monitorować aktywność online. Rodzic może sprawdzić, które strony odwiedza dziecko oraz ile czasu spędza przy urządzeniach. Systemy te oferują możliwość blokowania treści dotyczących przemocy, pornografii oraz innych nieodpowiednich materiałów. Łatwa konfiguracja oprogramowania sprawia, że zabezpieczenia można szybko wdrożyć na wszystkich urządzeniach używanych przez dziecko. Regularna aktualizacja ustawień oraz systematyczny monitoring to klucz do skutecznej ochrony młodych użytkowników sieci.

Źródła: 

1. Link prowadzący do rządowej stronie o kontroli rodzicielskiej 
2. Link prowadzący do Portalu Kwestiabezpieczeństwa.pl
3. Link prowadzący do strony pomocy firmy Home.pl

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

---

CZY WARTO PUBLIKOWAĆ ZDJĘCIA SWOICH DZIECI W INTERNECIE?

Rodzice codziennie stają przed wyborem, czy publikować zdjęcia swoich dzieci w Internecie. W dobie mediów społecznościowych łatwo podzielić się dowolną chwilą życia. Jednak każda publikacja pozostawia trwały ślad w cyfrowym świecie. Zdjęcia, które wydają się niewinne, mogą stać się częścią wizerunku dziecka na wiele lat.

Źródło: Pixabay

Opublikowane zdjęcie może trafić w ręce osób o nieuczciwych zamiarach. Cyberprzestępcy wykorzystują każdy dostępny fragment informacji. Wizerunek dziecka może zostać powiązany z danymi osobowymi, co zwiększa ryzyko kradzieży tożsamości. Taka sytuacja może mieć daleko idące konsekwencje – zarówno w sferze bezpieczeństwa, jak i codziennego komfortu życia.

Decyzja o publikacji zdjęć ma także aspekt psychologiczny. Dziecko, którego obraz zostaje rozprzestrzeniony w sieci, nie zawsze wyraża na to zgodę. Jego cyfrowa przeszłość może wpłynąć na przyszłość – kontakty, relacje i perspektywy zawodowe. Dziecko, niezależnie od wieku, zasługuje na przestrzeń, w której sam decyduje o ujawnianiu swojego wizerunku. Warto o tym pamiętać już od najmłodszych lat.

Nowe zjawisko, zwane sharentingiem, pokazuje rosnącą tendencję rodziców do dzielenia się zdjęciami swoich pociech. Chwilowe emocje często przesłaniają długoterminowe ryzyko. Niekontrolowany dostęp do zdjęć może stać się przyczyną hejtu, cyberprzemocy czy nawet kontaktów z osobami o niewłaściwych zamiarach. Rodzice powinni zdawać sobie sprawę, że raz opublikowane zdjęcie nie znika z Internetu.

W praktyce warto ograniczyć publikację zdjęć do najbezpieczniejszych ujęć. Rodzice powinni sprawdzić ustawienia prywatności na profilach społecznościowych. Decydując się na publikację, lepiej unikać zdjęć, które ujawniają zbyt wiele informacji o miejscu zamieszkania czy codziennych zwyczajach. Dobrą praktyką jest także konsultacja z dzieckiem – jeśli ma już świadomość, warto zapytać, czy czuje się komfortowo z danym zdjęciem w sieci.

Eksperci z zakresu cyberbezpieczeństwa i psychologii podkreślają, że ochrona danych dziecka to inwestycja w jego przyszłość. Każda, nawet pozornie niewinna publikacja, wymaga odpowiedzialnej oceny ryzyka. Dbając o prywatność, rodzice chronią nie tylko bezpieczeństwo fizyczne, ale też emocjonalne dziecka. Odpowiedzialne podejście może uchronić przed przykrymi konsekwencjami wynikającymi z nieprzemyślanych decyzji.

Decyzja o publikacji zdjęć dziecka w Internecie musi być głęboko przemyślana. Rodzice powinni łączyć emocje z rozwagą. Warto korzystać z dostępnych narzędzi ochrony prywatności i pamiętać o długofalowych skutkach. Bezpieczeństwo oraz dobrostan dziecka muszą być zawsze na pierwszym miejscu. W ten sposób można cieszyć się wspomnieniami, nie narażając przyszłości najmłodszych na nieprzewidziane zagrożenia.

Źródła:

1. Link do wpisu na portalu Niebezpiecznik.pl
2. Link do artykułu na portalu TVNSTYLE
3. Link do artykułu na portalu Mamotoja.pl
4. Link do artykułu na stronie Fundacja.orange.pl

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

---

NASTOLETNI MÓZG W MEDIACH SPOŁECZNOŚCIOWYCH: JAK LAJKI KSZTAŁTUJĄ DECYZJE I EMOCJE MŁODYCH LUDZI

Nastoletni mózg to struktura niezwykle wrażliwa na bodźce cyfrowe. Media społecznościowe wnikają w codzienne życie młodych ludzi. Lajki pełnią tu kluczową rolę. Każdy pozytywny sygnał wysyłany w sieci wywołuje silne emocje. Badania naukowe pokazują, że mózg nastolatka reaguje na nie tak, jak na bliskie relacje czy nagrody. Funkcjonalny rezonans magnetyczny jednoznacznie obrazuje, jak aktywny staje się układ nagrody przy odbiorze lajków.

Źródło: Copilot

W eksperymencie przeprowadzonym przez naukowców z UCLA mierzono aktywność mózgu nastolatków podczas przeglądania zdjęć w stylu Instagrama. Uczestnicy widzieli zdjęcia z umieszczoną przy nich liczbą lajków. Wyniki pokazały, że im więcej polubień, tym silniejsza reakcja mózgu. Zaskakujące było to, że reakcje przy własnych zdjęciach były równie silne jak przy bardzo pozytywnych wydarzeniach w życiu. Takie odkrycia wskazują, że lajki wpływają na decyzje i emocje młodych ludzi, kształtując ich postrzeganie własnej wartości.

Lajki stają się znakiem akceptacji. Młodzi użytkownicy zaczynają postrzegać swoją tożsamość przez pryzmat popularności w sieci. Każdy brak lajków może odbić się negatywnie na samoocenie. W efekcie nastolatkowie coraz częściej szukają w mediach potwierdzenia swojej wartości. Tego rodzaju mechanizmy mogą prowadzić do uzależnienia od mediów społecznościowych i wzmacniać presję społeczną.

Ważne jest, aby rodzice, nauczyciele i opiekunowie rozmawiali z młodzieżą o skutkach takiego podejścia. Warto wyjaśniać, że liczba lajków nie definiuje osoby. Dobrą praktyką jest ustalanie zasad korzystania z mediów. Przykładowo, można wprowadzić ograniczenia czasowe czy wspólnie ustalać zasady publikacji. Takie działania pomagają wypracować zdrowe nawyki i chronić emocjonalny dobrostan młodych ludzi.

Kolejnym aspektem jest edukacja cyfrowa. Młodzież musi uczyć się krytycznego oceniania treści publikowanych w sieci. Znalezienie równowagi między światem online a realnym staje się kluczem do ochrony zdrowia psychicznego. Wsparcie dorosłych umożliwia lepsze radzenie sobie z presją i stresem wywołanym przez negatywny feedback. Przykładami mogą być wspólne warsztaty lub szkolenia dotyczące cyfrowej higieny, które uczą odpowiedzialnego korzystania z technologii.

Media społecznościowe kształtują nie tylko emocje, ale i decyzje. Młodzi ludzie angażują się w działania, które ich zdaniem będą miały szansę zdobyć więcej lajków. Taka logika często prowadzi do nieprzemyślanych wyborów. Dlatego tak istotna jest rozmowa o wartościach i autentyczności. Warto podkreślić, że wiarygodność i umiejętność krytycznego spojrzenia na informacje mają większe znaczenie niż chwilowa popularność.

Źródła: 

1. Link do artykułu opublikowanego na portalu NASK 
2. Link do strony na portalu Highlab.pl
3. Link do artykułu opublikowanego na Issuu.com

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

---

BLOKUJ DOSTĘP DO SZKODLIWYCH TREŚCI W ŁATWY I BEZPŁATNY SPOSOSÓB

W dzisiejszych czasach Internet jest nieodłączną częścią życia. Korzystamy z niego zarówno w pracy, jak i w domu. Niestety, sieć kryje wiele zagrożeń. Szkodliwe treści, phishing, malware oraz nieodpowiednie materiały mogą w każdej chwili zaszkodzić Twojemu komputerowi lub naruszyć prywatność. Dlatego tak ważne jest stosowanie filtracji treści, która chroni użytkowników i zwiększa bezpieczeństwo korzystania z sieci.

Źródło: Copilot

Filtrowanie opiera się na analizowaniu adresów URL. System skanuje ścieżki i nazwy stron, decydując o ich bezpieczeństwie na poziomie DNS (Domain Name Server). Zmiana ustawień adresów DNS urządzenia lub routera pozwala na automatyczne odrzucanie zapytań do szkodliwych domen. Metoda ta jest prosta, szybka i często dostępna bezpłatnie, można ją z powodzeniem implementować w jednostkach samorządu terytorialnego.

Dzięki filtracji DNS można skutecznie zapobiec otwieraniu niebezpiecznych witryn. Takie rozwiązanie minimalizuje ryzyko ataku, gdyż zanim urządzenie nawiąże połączenie, zapytanie do serwera DNS jest weryfikowane i w przypadku wykrycia zagrożenia automatycznie blokowane. To prosty krok, który znacząco zwiększa ogólne bezpieczeństwo sieci.

W praktyce wystarczy zmienić ustawienia DNS w swoim komputerze lub routerze. Filtrowanie działa na poziomie sieci, chroniąc wszystkie podłączone urządzenia: komputery, smartfony, tablety czy smart TV. Bezpłatne usługi, takie jak OpenDNS FamilyShield, CleanBrowsing, Cloudflare DNS czy Family DNS, oferują gotowe usługi przeznaczone do filtrowania szkodliwych i niebezpiecznych treści. Użytkownik może w ciągu kilku minut skonfigurować urządzenie, by blokowało nieodpowiednie witryny. Taka zmiana nie obciąża systemu i nie wymaga inwestycji finansowych.

Kolejnym przykładem rozwiązania jest BrowserWall DNS. Usługa ta jest dedykowana zarówno dla firm, jak i użytkowników domowych, którzy chcą chronić swoje dane. BrowserWall DNS wykorzystuje inteligentny algorytm, by wykrywać i blokować strony phishingowe i złośliwe oprogramowanie. To dodatkowa warstwa obrony, która może być stosowana obok tradycyjnych programów antywirusowych.

Filtrowanie treści jest szczególnie ważne, gdy w sieci przebywają również dzieci, dotyczy to szkół przedszkoli, domów kultury czy bibliotek. Opiekunowie mogą dzięki temu ograniczyć dostęp swoich podopiecznych do stron z nieodpowiednimi treściami. Wprowadzenie prostych ustawień ochronnych w domu lub placówkach oświatowych pomaga uniknąć przypadkowego zetknięcia się z materiałami, które mogą być szkodliwe lub zawierać treści pornograficzne. Warto również pamiętać o edukacji i rozmowie o zagrożeniach, aby sposób korzystania z Internetu był świadomy i bezpieczny.

Ochrona przed niepożądanymi treściami wpływa także na produktywność w miejscu pracy. Pracownicy, korzystając z sieci, nie tracą czasu na strony, które nie mają związku z obowiązkami służbowymi. W rezultacie poprawia się wydajność, a jednocześnie zmniejsza ryzyko wprowadzenia do systemu wirusów lub malware.

Źródła: 

1. Link do strona na portalu Kapitanhack.pl
2. Link do strony na portalu Beti-ogarnia.pl 
3. Link do strony na portalu Prebytes.com

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

---

CZY WIEMY, CO TO JEST DEZINFORMACJA?

Dezinformacja to celowe i konsekwentnie prowadzone działania, które mają wprowadzić w błąd, wywołać określony efekt, na przykład zmienić postrzeganie rzeczywistości, skłonić do podjęcia jakiejś decyzji lub zaniechania działania. Dezinformacja jest często mylona z fake newsami, ale w przeciwieństwie do nich nie jest przypadkowym działaniem, lecz zaplanowaną i konsekwentnie prowadzoną operacją informacyjną. Często chodzi o emocje, o podważenie zaufania. W świecie Internetu ta plaga rozprzestrzenia się jak pożar w lesie, zwłaszcza w mediach społecznościowych.

Obraz WOKANDAPIX z Pixabay

Dlaczego to takie istotne dla samorządowców? 

Dezinformacja niszczy zaufanie mieszkańców, wprowadza chaos w wybory i może wywołać niepokoje społeczne. Wyobraźmy sobie fałszywe doniesienia o migracji, pandemii czy wojnie. Samorządowcy to strażnicy kontaktu z obywatelami i muszą być gotowi na te wyzwania!

Zauważmy, jak emocje grają pierwsze skrzypce! Dezinformacja chwyta nas za serce, wykorzystując nasze uczucia, by zmanipulować następnie myśli. Jak często dajemy się wciągnąć w tą grę? Każdorazowe przekazywanie niesprawdzonych wiadomości powoduje szerzenie fałszywych wiadomości. Klikanie laików czy komentowanie sprawia, że taka informacja jest lepiej oceniania przez algorytmy w przeglądarkach i wyżej pozycjonowana.

Jak odróżnić fałsz od prawdy?

Sprawdzaj źródło, czy to naprawdę wiarygodne i rzetelne miejsce informacji? Szukaj oficjalnych adresów (.gov.pl, .eu) i zweryfikowanych kont w mediach społecznościowych. Jeśli informacja wydaje się podejrzana, sprawdź ją w co najmniej trzech niezależnych źródłach. Korzystaj z baz danych urzędów centralnych lub serwisów fact-checkingowych (np. Ośrodek Analizy Dezinformacji).

Praktyczne wskazówki.

Organizuj szkolenia i warsztaty dla pracowników i mieszkańców. Przeprowadzaj kampanie informacyjne dla mieszkańców, aby umieli dostrzegać fałszywe informacje. Kto nie da się nabrać? Naucz zespoły, jak korzystać z narzędzi typu „Fact-checking” czy Kodeksu Dobrych Praktyk NASK. Pracownicy opierający się na faktach unikają błędów, np. w planowaniu budżetu lub reagowaniu na kryzysy.

Stwórz przejrzyste zasady, jak radzić sobie z fałszywkami w publicznym obiegu. Samorządy, które szybko dementują fake newsy, budują zaufanie mieszkańców. Gdy pojawi się dezinformacja, działaj szybko, stwórz protokół/procedurę reakcji. Zbierz zespół ds. komunikacji, przeanalizuj skalę problemu i opublikuj sprostowanie na oficjalnych kanałach (strona, social media).

Dezinformacja może prowadzić do realnych zagrożeń, np. paniki podczas klęsk żywiołowych. Dostęp do rzetelnych informacji umożliwia skuteczniejsze zarządzanie. Regularnie dziel się z mieszkańcami wieściami o działaniach samorządu. Niezwłocznie koryguj fałszywe informacje i buduj zaufanie! Połącz siły z innymi jednostkami samorządowymi. Wymieniaj doświadczenia i dziel się dobrymi praktykami! Razem możemy więcej!

Zgłaszaj kłamstwa! Użyj dostępnych narzędzi, aby wykryć dezinformację. Wypełnij formularz kontaktowy, na przykład w NASK. Twoja reakcja ma znaczenie!

Źródła:

1. Link do magazynu NASK
2. Link do portalu Cyberprofilatyka.pl
3. Link do rządowej bazy wiedzy
4. Link do portalu Nflo.pl

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

---

KOLEJNY URZĄD PADŁ OFIARĄ RANSOMWARE!

W ostatnich dniach Starostwo Powiatowe w Piszu padło ofiarą ataku ransomware. Incydent ten uwypukla rosnące zagrożenie cyberatakami na instytucje publiczne w Polsce¹.

Designed by Freepik

Przebieg ataku

18 marca 2025 roku Starostwo Powiatowe w Piszu poinformowało o ataku hakerskim na swoje systemy informatyczne oraz systemy Powiatowego Zespołu Ekonomiczno-Administracyjnego Szkół i Placówek w Piszu. W wyniku ataku obsługa klientów została znacznie utrudniona, a w niektórych przypadkach stała się niemożliwa. Wydział Komunikacji funkcjonował bez zakłóceń dzięki wykorzystaniu zewnętrznych platform².

Potencjalne skutki

Choć na chwilę obecną nie potwierdzono wycieku danych, nie można wykluczyć takiej możliwości. Starostwo przetwarza szeroki zakres informacji, w tym dane osobowe mieszkańców, informacje o nieruchomościach, rejestry pojazdów czy pozwolenia na budowę. Ewentualny wyciek mógłby narazić obywateli na kradzież tożsamości lub inne nadużycia.

Reakcja i zalecenia

W odpowiedzi na incydent, Starostwo zaleciło mieszkańcom zastrzeżenie numeru PESEL poprzez banki lub aplikację mObywatel. Należy jednak zauważyć, że obecnie zastrzeżenie PESEL jest możliwe wyłącznie przez stronę gov.pl lub w aplikacji mObywatel.

Rosnące zagrożenie w Polsce

Ataki ransomware stają się coraz częstsze w Polsce. Według raportu ESET, w II połowie 2024 roku liczba takich ataków wzrosła o 37% w porównaniu z pierwszą połową roku, co plasuje Polskę na 7. miejscu na świecie pod względem liczby ataków ransomware.

Praktyczne wskazówki

Aby zabezpieczyć się przed atakami ransomware, instytucje publiczne powinny:

• Regularnie aktualizować oprogramowanie: Zapewnienie, że wszystkie systemy są na bieżąco z najnowszymi łatkami bezpieczeństwa.
• Wykonywać regularne kopie zapasowe: Przechowywanie ich w odseparowanych od sieci lokalnej miejscach, co umożliwi szybkie przywrócenie danych po ewentualnym ataku.
• Szkolenie pracowników: Podnoszenie świadomości na temat zagrożeń i nauka rozpoznawania potencjalnie niebezpiecznych wiadomości czy załączników.
• Segmentacja sieci: Ograniczenie dostępu do krytycznych zasobów tylko do niezbędnych użytkowników i systemów.

Atak na Starostwo Powiatowe w Piszu jest kolejnym sygnałem ostrzegawczym dla instytucji publicznych w Polsce. W obliczu rosnącego zagrożenia cyberatakami, konieczne jest wdrożenie skutecznych środków ochrony i reagowania na incydenty, aby zapewnić bezpieczeństwo danych obywateli.

Źródła:

1. Link do strony Sekurak.pl
2. Link do strony RadioOlsztyn.pl
3. Link do strony 300gospodarka.pl

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

---

CZY TO KOLEJNY WYCIEK DANYCH? CZY FAKENEWS?

W ostatnich dniach pojawiły się doniesienia o rzekomym wycieku danych klientów Empiku. Na jednym z forów cyberprzestępczych zaoferowano na sprzedaż bazę danych zawierającą informacje o 24 milionach użytkowników. Próbka tej bazy zawierała takie dane jak imię, nazwisko, adres e-mail, numer telefonu oraz informacje o zamówieniach¹.

Obraz Gordon Johnson z Pixabay

Empik natychmiast zareagował na te doniesienia, rozpoczynając wewnętrzne dochodzenie we współpracy z zespołem CERT. W oficjalnym komunikacie firma poinformowała, że nie doszło do wycieku danych z ich systemów, a oferowana baza jest fałszywa. Według Empiku, dane w tej bazie zostały sfabrykowane na podstawie wcześniejszych wycieków z innych firm oraz publicznie dostępnych informacji².

Dodatkowe analizy przeprowadzone przez serwis Zaufana Trzecia Strona potwierdziły, że próbka danych wyglądała wiarygodnie, ale dokładne badanie wykazało, że pochodzi ona z wcześniejszych wycieków z innych firm³.

W świetle tych informacji, obecnie nie ma dowodów na to, że doszło do rzeczywistego wycieku danych klientów Empiku. Niemniej jednak, zawsze warto zachować czujność. Zaleca się regularną zmianę haseł, unikanie używania tych samych haseł w różnych serwisach oraz włączenie dwuskładnikowego uwierzytelniania tam, gdzie to możliwe. Pamiętajmy również, aby być ostrożnym wobec podejrzanych wiadomości e-mail czy SMS-ów, które mogą być próbą wyłudzenia danych.

Źródła:

1. Link do strony Money.pl
2. Link do strony Sekurak.pl
3. Link do strony ZaufanaTrzeciaStrona.pl

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

---

STOPNIE ALARMOWE BRAVO ORAZ BRAVO-CRP OBOWIĄZUJĄ DO 31 MAJA

Przypominamy o realnym i ciągle narastającym zagrożeniu cybernetycznych ataków hararejskich na instytucje realizujące zadania publiczne. 8 marca szpital MSWiA w Krakowie został sparaliżowane przez hakerów.  Zgodnie z zarządzeniem Prezesa Rady Ministrów, na terytorium całego kraju do 31 maja, do godz. 23.59, obowiązują drugie stopnie alarmowe BRAVO oraz BRAVO-CRP.

Obraz Clker-Free-Vector-Images z Pixabay

Prezes Rady Ministrów na podstawie Ustawy z 10 czerwca 2016 r. o działaniach antyterrorystycznych (Dz.U. z 2024 r. poz. 92 i 1248), podpisał Zarządzenia nr 134, 135 i 136, wprowadzające:

• drugi stopień alarmowy CRP (2. stopień BRAVO-CRP) na całym terytorium Rzeczypospolitej Polskiej,
• drugi stopień alarmowy (2. stopień BRAVO) na całym terytorium Rzeczypospolitej Polskiej,
• drugi stopień alarmowy BRAVO (2. stopień BRAVO) wobec polskiej infrastruktury energetycznej, mieszczącej się poza granicami Rzeczypospolitej Polskiej.

ALFA-CRP oznacza, że należy wykonać następujące zadania:

• wprowadzić wzmożone monitorowanie stanu bezpieczeństwa systemów teleinformatycznych organów administracji publicznej lub systemów  teleinformatycznych wchodzących w skład infrastruktury krytycznej w szczególności wykorzystując zalecenia szefa Agencji Bezpieczeństwa Wewnętrznego lub komórek odpowiedzialnych za system reagowania zgodnie z właściwością oraz:
• monitorować i weryfikować, czy nie doszło do naruszenia bezpieczeństwa komunikacji elektronicznej,
• sprawdzać dostępność usług elektronicznych,
• dokonywać, w razie potrzeby, zmian w dostępie do systemów;
• poinformować personel instytucji o konieczności zachowania zwiększonej czujności w stosunku do stanów odbiegających od normy, w szczególności personel odpowiedzialny za bezpieczeństwo systemów;
• sprawdzić kanały łączności z innymi, właściwymi dla rodzaju stopnia alarmowego CRP, podmiotami biorącymi udział w reagowaniu kryzysowym, dokonać weryfikacji ustanowionych punktów kontaktowych z zespołami reagowania na incydenty bezpieczeństwa teleinformatycznego właściwymi dla rodzaju działania organizacji oraz ministrem właściwym do spraw informatyzacji;
• dokonać przeglądu stosownych procedur oraz zadań związanych z wprowadzeniem stopni alarmowych CRP, w szczególności dokonać weryfikacji posiadanej kopii zapasowej systemów w stosunku do systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej oraz systemów kluczowych dla funkcjonowania organizacji oraz weryfikacji czasu wymaganego na przywrócenie poprawności funkcjonowania systemu;
• sprawdzić aktualny stan bezpieczeństwa systemów i ocenić wpływ zagrożenia na bezpieczeństwo teleinformatyczne na podstawie bieżących informacji i prognoz wydarzeń;
• informować na bieżąco o efektach przeprowadzanych działań zespoły reagowania na incydenty bezpieczeństwa teleinformatycznego właściwe dla rodzaju działania organizacji oraz współdziałające centra zarządzania kryzysowego, a także ministra właściwego do spraw informatyzacji.

BRAVO-CRP oznacza, że należy wykonać zadania wymienione dla pierwszego stopnia alarmowego CRP oraz kontynuować lub sprawdzić wykonanie tych zadań, jeżeli wcześniej był wprowadzony stopień ALFA-CRP. Ponadto należy:

• zapewnić dostępność w trybie alarmowym personelu odpowiedzialnego za bezpieczeństwo systemów;
• wprowadzić całodobowe dyżury administratorów systemów kluczowych dla funkcjonowania organizacji oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów teleinformatycznych.

 

Czy w twojej jednostce realizuje się powyższe zadania?

 

Źródło:

Strona internetowa Gov.pl

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

---

POWAŻNY ATAK HAKERSKI NA SZPITAL

W sobotę, 8 marca 2025 roku, Szpital MSWiA w Krakowie padł ofiarą poważnego ataku hakerskiego. Cyberprzestępcy sparaliżowali systemy informatyczne placówki, co zmusiło personel do przejścia na tryb pracy analogowej. W wyniku tego incydentu szpital musiał wstrzymać przyjęcia nowych pacjentów, a karetki kierowano do innych placówek.

Obraz Gerd Altmann z Pixabay

Minister cyfryzacji Krzysztof Gawkowski poinformował, że atak dotknął systemów wykorzystywanych zarówno przez lekarzy, jak i administrację szpitala. Natychmiast podjęto działania mające na celu neutralizację zagrożenia oraz identyfikację sprawców. Wdrożono procedury awaryjne, aby zapewnić ciągłość opieki nad pacjentami.

Wojewoda małopolski Krzysztof Klęczar zapewnił, że życie pacjentów ani przez chwilę nie było zagrożone. Dzięki szybkiej akcji informacyjnej między kierownictwem szpitala a dyspozytornią medyczną, pacjentów skierowano do okolicznych szpitali.

Atak miał charakter ransomware, co oznacza, że hakerzy zaszyfrowali dane szpitala, prawdopodobnie w celu wymuszenia okupu. Współczesne gangi ransomware często stosują strategię podwójnego okupu: najpierw żądają pieniędzy za odszyfrowanie danych, a następnie grożą ujawnieniem wykradzionych informacji, jeśli nie otrzymają kolejnej zapłaty.

Dane medyczne są jednymi z najbardziej wrażliwych informacji. Ich ujawnienie może narazić pacjentów na dodatkowy stres i potencjalne problemy. Dlatego tak ważne jest, aby placówki medyczne regularnie tworzyły kopie zapasowe swoich systemów oraz stosowały zaawansowane zabezpieczenia.

Czy Twoja instytucja jest odpowiednio zabezpieczona przed tego typu zagrożeniami? Czy regularnie tworzysz kopie zapasowe i przechowujesz je w bezpiecznym miejscu? Pamiętaj, że cyberprzestępcy nie mają skrupułów i mogą zaatakować w najmniej oczekiwanym momencie.

Źródła:

• Strona TVN24 na temat ataku
• Materiał ze strony Niebezpiecznika
• Artykuł ze strony Gazety Krakowskiej
• News umieszczony na stronie Poradnik Zdrowie

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

---

UWAGA - ATAKI NA PRZEMYSŁOWE SYSTEMY STEROWANIA

Przemysłowe systemy sterowania (ICS/OT) odgrywają kluczową rolę w funkcjonowaniu infrastruktury krytycznej, takiej jak energetyka, wodociągi czy transport. Niestety, w ostatnim czasie obserwuje się wzrost liczby ataków na te systemy, co może prowadzić do poważnych zakłóceń w świadczeniu podstawowych usług.

Źródło: Oficjalna strona rządowa

Pełnomocnik Rządu do spraw Cyberbezpieczeństwa, Krzysztof Gawkowski, poinformował o nasilających się atakach na przemysłowe systemy sterowania dostępne z internetu. Często za tymi działaniami stoją aktywiści pragnący zwrócić uwagę mediów na swoje działania. Niestety, niektóre z tych ataków miały realny wpływ na funkcjonowanie systemów, co odczuli odbiorcy usług. Więcej na komunikat.

Przykłady incydentów

W Polsce odnotowano przypadki, gdzie atakujący wykorzystali połączenia urządzeń poprzez sieci komórkowe do przeprowadzenia ataków na systemy przemysłowe. Takie działania mogą prowadzić do zakłóceń w dostawach energii, wody czy usług transportowych, co bezpośrednio wpływa na codzienne życie obywateli.

Jak możesz chronić swoje systemy?

Aby zabezpieczyć przemysłowe systemy sterowania przed potencjalnymi atakami, warto rozważyć następujące kroki:

• Segmentacja sieci: Oddziel systemy ICS/OT od sieci biurowych i publicznych, minimalizując ryzyko nieautoryzowanego dostępu.
• Monitorowanie ruchu sieciowego: Regularnie analizuj ruch w sieci pod kątem nietypowych aktywności, które mogą wskazywać na próby ataku.
• Aktualizacje i łatki: Upewnij się, że wszystkie urządzenia i oprogramowanie są na bieżąco aktualizowane, aby eliminować znane luki bezpieczeństwa.
• Szkolenia dla personelu: Edukacja pracowników w zakresie cyberbezpieczeństwa zwiększa świadomość zagrożeń i pomaga w szybkiej identyfikacji potencjalnych incydentów.

Twoja rola w cyberbezpieczeństwie

Czy zastanawiałeś się, jak dobrze zabezpieczone są systemy w twojej organizacji? Czy wprowadziłeś odpowiednie środki ochrony, aby przeciwdziałać potencjalnym atakom? Pamiętaj, że proaktywne działania mogą zapobiec poważnym konsekwencjom dla ciebie i twoich klientów.

Źródła:

• Komunikat Pełnomocnika Rządu do spraw Cyberbezpieczeństwa ws. ataków na przemysłowe systemy sterowania
• Cyberbezpieczeństwo infrastruktury krytycznej - Platforma Przemysłu Przyszłości
• Przewodnik w zakresie bezpieczeństwa systemów sterowania przemysłowego

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi sztucznej inteligencji.

---

PLLUM POLSKA SI W SŁUŻBIE ADMINISTRACJI

Polska administracja publiczna intensywnie wdraża rozwiązania oparte na sztucznej inteligencji (AI), aby usprawnić obsługę obywateli i zwiększyć efektywność urzędów. Kluczowym elementem tych działań jest opracowanie polskiego modelu językowego PLLuM, który ma wspierać zarówno administrację, jak i sektor biznesowy.

Źródło: opracowanie własne, widok strony głównej pllum.org.pl

PLLuM (Polish Large Language Model) to zaawansowany model AI stworzony przez polskich specjalistów z dziedziny IT i lingwistyki. Jego głównym celem jest przetwarzanie i generowanie tekstów w języku polskim, co ułatwia komunikację między obywatelami a urzędami. Model ten został zbudowany na bazie ponad 100 miliardów słów, co pozwala mu precyzyjnie rozumieć i odpowiadać na zapytania w języku polskim. Ministerstwo Cyfryzacji udostępniło PLLuM publicznie, umożliwiając jego wykorzystanie w różnych sektorach. Więcej na stronie Projektu.

Ministerstwo Cyfryzacji planuje wdrożenie PLLuM do aplikacji mObywatel, co pozwoli obywatelom korzystać z inteligentnego asystenta AI w codziennych sprawach urzędowych. Dzięki temu użytkownicy będą mogli szybko uzyskać odpowiedzi na pytania dotyczące usług publicznych czy procedur administracyjnych. Wicepremier i minister cyfryzacji Krzysztof Gawkowski podkreślił, że PLLuM został stworzony z myślą o administracji, firmach oraz naukowcach, a każdy obywatel będzie mógł skorzystać z tego narzędzia poprzez czatbota.

Wdrożenie AI w administracji publicznej przynosi liczne korzyści. Automatyzacja procesów pozwala na szybsze i bardziej efektywne załatwianie spraw urzędowych, redukując obciążenie pracowników i skracając czas oczekiwania dla obywateli. Przykładem może być wykorzystanie chatbotów do udzielania odpowiedzi na najczęściej zadawane pytania, co odciąża infolinie i przyspiesza obsługę. Ponadto, AI może wspierać analizę dużych zbiorów danych, co pomaga w podejmowaniu lepszych decyzji administracyjnych.

Mimo licznych zalet, wdrażanie AI w sektorze publicznym wiąże się z wyzwaniami. Kluczowe jest zapewnienie odpowiedniej jakości danych oraz standardów zarządzania nimi, aby modele AI działały skutecznie. Ponadto, istotne jest budowanie zaufania wśród obywateli i pracowników administracji do nowych technologii. Jak wynika z badań, jedynie 15% prezesów firm w Polsce ufa AI jako wsparciu dla przedsiębiorstw, co pokazuje potrzebę edukacji i promocji korzyści płynących z AI.

Źródła:

• Polska buduje własną sztuczną inteligencję – PLLuM gotowy do działania

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi sztucznej inteligencji.

---

CHIŃSKA AI DEEPSEEK: INNOWACJA CZY ZAGROŻENIE?

DeepSeek, chiński model sztucznej inteligencji, szybko zdobył popularność, stając się najczęściej pobieraną aplikacją w Apple App Store. Jego twórca, Liang Wenfeng, zyskał status bohatera narodowego w Chinach. Jednak sukces ten wywołał kontrowersje na arenie międzynarodowej.

Zdjęcie dodane przez Matheus Bertelli: link do źródła

Obawy o Bezpieczeństwo i Prywatność

Włochy, Tajwan i Australia zakazały używania DeepSeek w instytucjach rządowych, powołując się na obawy dotyczące cenzury i nielegalnego gromadzenia danych użytkowników. Testy wykazały, że DeepSeek może być podatny na manipulacje, umożliwiając dostęp do niebezpiecznych informacji, takich jak instrukcje tworzenia broni biologicznej.

Twoje Bezpieczeństwo w Świecie AI

Czy zastanawiałeś się, jakie aplikacje AI instalujesz na swoich urządzeniach? Czy wiesz, skąd pochodzą i jakie dane zbierają? W dobie globalnej rywalizacji technologicznej ważne jest, abyś świadomie podchodził do wyboru narzędzi, z których korzystasz. Dbaj o swoje bezpieczeństwo i prywatność, zwracając uwagę na pochodzenie i reputację aplikacji AI.

Reakcje Polityczne i Prawne

W Stanach Zjednoczonych senator Josh Hawley zaproponował ustawę przewidującą kary do 20 lat więzienia i grzywny do 1 mln dolarów za korzystanie z chińskich technologii AI, w tym DeepSeek. To pokazuje rosnące napięcia między USA a Chinami w dziedzinie technologii.

Wpływ na Rynek Technologiczny

Pojawienie się DeepSeek wywołało zawirowania na rynku technologicznym. Akcje firm takich jak Nvidia doświadczyły znaczących spadków wartości, co wskazuje na obawy inwestorów dotyczące chińskiej konkurencji w sektorze AI.

Źródła:

• Business Insider Polska – Chiński DeepSeek pokonuje gigantów AI za ułamek kosztów
• The Wall Street Journal – China’s DeepSeek AI Found to Share Dangerous Information
• Business Insider Polska – DeepSeek: Nawet 20 lat więzienia za używanie chińskiej AI
• The Wall Street Journal – Six Takeaways From a Monumental Week for AI

---

Uzupełnienie:

Już po opublikowaniu niniejszego wpisu, Urządu Ochrony Danych Osobowych przedstawił stanowisko w sprawie korzystania z DeepSeek'a. Czytamy w nim m. in.: "Biorąc pod uwagę wstępne ustalenia związane z informacjami dostarczonymi przez dostawcę w jego polityce prywatności, Prezes UODO zaleca daleko idącą ostrożność w korzystaniu z aplikacji oraz innych usług oferowanych w ramach DeepSeek. Z informacji w niej zawartych wynika m.in., że dane użytkowników mogą być przechowywane na serwerach zlokalizowanych w Chinach. Należy przypomnieć, że Chiny nie należą do państw, wobec których Komisja Europejska wydała decyzję stwierdzającą odpowiedni stopień ochrony, a zgodnie z obowiązującymi przepisami rząd chiński posiada szerokie uprawnienia związane z dostępem do danych osobowych bez gwarancji ochrony przewidzianej w europejskim porządku prawnym."

Link do pełnej treści stanowiska.

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi sztucznej inteligencji.

---

NIELEGALNY HANDEL DANYMI OSOBOWYMI - mDOWÓD ZA 20 ZŁ

Oszustwa związane z fałszywymi mDowodami stają się coraz bardziej powszechne. W internecie można znaleźć oferty sprzedaży podrabianych dokumentów już za 20 zł. Oszuści tworzą aplikacje, które wyglądają niemal identycznie jak mObywatel, a użytkownicy wykorzystują je do kupowania alkoholu, papierosów i innych produktów wymagających pełnoletności.

Ministerstwo Cyfryzacji ostrzega przed tym procederem i przypomina, że posługiwanie się fałszywym dokumentem to przestępstwo. Warto wiedzieć, jak zweryfikować autentyczność mDowodu, aby nie paść ofiarą oszustwa.

Aby zweryfikować autentyczność mDowodu w aplikacji mObywatel, skorzystaj z funkcji kodu QR. Osoba przedstawiająca mDowód generuje kod QR w swojej aplikacji. Ty, jako weryfikujący, skanujesz ten kod za pomocą własnej aplikacji mObywatel lub dedykowanego narzędzia dostępnego na stronie weryfikator.mobywatel.gov.pl. System automatycznie potwierdza autentyczność dokumentu, eliminując ryzyko błędów ludzkich.

Kolejnym zabezpieczeniem jest ruchome tło, które zmienia się po przechyleniu telefonu. Fałszywe aplikacje zazwyczaj nie odwzorowują tego efektu, co jest łatwym sposobem na ich rozpoznanie. Warto również zwrócić uwagę na jakość grafiki – podróbki często mają niewyraźne elementy lub błędy językowe.

Jeśli masz wątpliwości co do autentyczności dokumentu, poproś o okazanie fizycznego dowodu osobistego lub sprawdź dane w systemie, jeśli masz do niego dostęp. Czy wiesz, że korzystanie z nieautoryzowanych aplikacji może narazić Cię na ryzyko kradzieży danych? Dbaj o swoje bezpieczeństwo, używając tylko oficjalnych źródeł i metod weryfikacji – oficjalny mObywatel jest dostępny wyłącznie w Google Play i App Store.

Regularne aktualizowanie aplikacji mObywatel zapewnia dostęp do najnowszych funkcji bezpieczeństwa. Upewnij się, że zarówno Ty, jak i osoba przedstawiająca mDowód, korzystacie z najnowszej wersji aplikacji.

Aby lepiej zrozumieć proces weryfikacji mDowodu za pomocą kodu QR, możesz obejrzeć film instruktażowy.

Czy zastanawiałeś się, jakie konsekwencje może mieć używanie fałszywego dowodu? Posługiwanie się takim dokumentem jest nielegalne i grozi poważnymi sankcjami prawnymi. Warto również pamiętać, że fałszywe aplikacje mogą zawierać złośliwe oprogramowanie. Oszuście mogą również zbierać dane użytkowników fałszywych aplikacji, co może prowadzić do kradzieży tożsamości.

Jeśli masz wątpliwości co do autentyczności dokumentu, skonsultuj się z odpowiednimi służbami.

Jakie dane są na sprzedaż?

Oprócz fałszywych dowodów, na czarnym rynku dostępne są:

• Skan dowodu osobistego lub selfie z dokumentem – od kilkudziesięciu do kilkuset złotych.
• Zhakowane konta na Facebooku – około 75 USD.
• Sklonowane karty płatnicze z PIN-em – około 15 USD.

Skąd pochodzą te dane?

Dane trafiają na czarny rynek z różnych źródeł:

• Wycieki z firm i instytucji.
• Ataki hakerskie.
• Nielegalna sprzedaż przez pracowników mających dostęp do danych.

Jakie są konsekwencje prawne?

Nielegalne udostępnianie danych osobowych grozi poważnymi sankcjami:

• Wysokie grzywny.
• Odpowiedzialność karna, w tym kara pozbawienia wolności.
• Odszkodowania dla poszkodowanych.

Jak się chronić?

Aby chronić swoje dane:

• Nie udostępniaj ich bez potrzeby.
• Sprawdzaj, komu i w jakim celu je przekazujesz.
• Używaj silnych haseł i regularnie je zmieniaj.
• Aktualizuj oprogramowanie i korzystaj z programów antywirusowych.
• Unikaj podejrzanych linków i ofert.

Źródła:

1. Fakt.pl - Fałszywe mDowody za 20 zł
2. Gov.pl - Jak działa, jak jest chroniony i jak sprawdzić autentyczność mDowodu
3. ITHardware.pl - Oszuści podrabiają mDowody
4. YouTube - Weryfikacja mDowodu w aplikacji mObywatel 2.0

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi sztucznej inteligencji.

---

MOBILNE APLIKACJA W SŁUŻBIE ADMINISTRACJI

W styczniu 2025 roku Ministerstwo Finansów oraz Krajowa Administracja Skarbowa (KAS) wprowadziły nową aplikację mobilną e-Urząd Skarbowy, dostępną na smartfony z systemami Android i iOS. Dzięki niej użytkownicy mogą w prosty i bezpieczny sposób załatwiać sprawy podatkowe bez konieczności wizyty w urzędzie.

Aplikacja e-Urząd Skarbowy umożliwia m.in. składanie deklaracji podatkowych, uzyskiwanie zaświadczeń oraz zarządzanie e-Korespondencją. W pierwszej fazie wdrożenia skupiono się na usługach dla osób fizycznych, jednak w planach jest rozszerzenie funkcjonalności o dostęp do kont organizacji oraz wprowadzenie nowych usług.

Integracja z aplikacją mObywatel 2.0 pozwala na jeszcze łatwiejsze korzystanie z e-usług administracji publicznej. Użytkownicy mogą logować się za pomocą profilu zaufanego, e-dowodu, bankowości elektronicznej czy aplikacji mObywatel, co zapewnia szybki i bezpieczny dostęp do potrzebnych funkcji. Więcej na gov.pl

Aplikacja dostępna jest w języku polskim, angielskim oraz ukraińskim, co zwiększa jej dostępność dla różnych grup użytkowników. Można ją pobrać bezpłatnie w sklepach Google Play oraz App Store.

Wprowadzenie aplikacji e-Urząd Skarbowy to istotny krok w kierunku cyfryzacji usług publicznych w Polsce. Dzięki niej obywatele mają możliwość załatwiania spraw urzędowych w dogodnym dla siebie czasie i miejscu, co zwiększa komfort i efektywność komunikacji z administracją skarbową.

Podobne rozwiązania mogłyby zostać wdrożone przez jednostki samorządu terytorialnego, oferując mieszkańcom jeszcze większy komfort w załatwianiu spraw urzędowych. Przykładowe aplikacje webowe, które mogłyby zostać wdrożone na poziomie lokalnym, to:

• e-Podatki – aplikacja pozwalająca na podgląd aktualnych decyzji podatkowych i płacenie rat on-line.
• e-Pojazdy – aplikacja pozwalająca na podgląd zobowiązań dotyczących podatku od środków transportowych i opłacania go on-line.
• e-Odpady – aplikacja pozwalająca na podgląd zobowiązań za odpady komunalne i regulowanie opłat on-line.
• e-Droga – aplikacja pozwalająca na zgłaszanie usterek w infrastrukturze miejskiej (np. dziury w drogach, awarie oświetlenia) oraz śledzenie statusu ich naprawy.
• e-Ekologia – aplikacja pozwalająca na zgłaszanie zagrożeń ekologicznych takich jak zbyt intensywne zadymienie, palenie odpadów w przydomowych ogniskach itp…
• e-Oświata – platforma dla rodziców i uczniów, gdzie można składać wnioski o przyjęcie do przedszkola czy szkoły, sprawdzać wyniki egzaminów i opłacać obiady.
• e-Kultura i Sport – aplikacja do rezerwacji miejsc na wydarzenia kulturalne i sportowe organizowane przez jednostki samorządowe. Rezerwacja biletów do kina czy na basen.
• e-Transport Publiczny – rozwiązanie umożliwiające zakup biletów komunikacji miejskiej, śledzenie rozkładów jazdy w czasie rzeczywistym i zgłaszanie sugestii dotyczących transportu.

Takie aplikacje mogłyby znacząco usprawnić komunikację między mieszkańcami a urzędami, zmniejszając biurokrację i pozwalając na szybsze załatwienie formalności bez wychodzenia z domu.

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi sztucznej inteligencji.

---

NOWA FALA E-MAIL PODSZYWAJĄCA SIĘ POD KAS

W ostatnim czasie pojawiły się doniesienia o nowej fali oszustw, w których przestępcy podszywają się pod Krajową Administrację Skarbową (KAS). Ostrzeżenia przed tym procederem wydały zarówno Ministerstwo Finansów, jak i KAS, zwracając uwagę na fałszywe e-maile rozsyłane przez oszustów. W wiadomościach tych informują oni o rzekomych powiadomieniach wydanych przez urząd skarbowy, zachęcając odbiorców do kliknięcia w niebezpieczne linki. Więcej przeczytasz na gov.pl

Zdjęcie dodane przez Tima Miroshnichenko: link do źródła

Mechanizm oszustwa polega na wysyłaniu e-maili, które na pierwszy rzut oka wyglądają na oficjalną korespondencję z urzędu skarbowego. W treści wiadomości znajduje się informacja o powiadomieniu dotyczącym podatnika oraz sugestia, by kliknąć w załączony link w celu zapoznania się z jego treścią. Po kliknięciu odbiorca jest przekierowywany na fałszywą stronę, gdzie pojawia się komunikat o konieczności aktualizacji oprogramowania do odczytu plików PDF. W rzeczywistości jest to próba wyłudzenia danych osobowych lub zainstalowania złośliwego oprogramowania na urządzeniu użytkownika.

Ministerstwo Finansów podkreśla, że urzędy skarbowe nie wysyłają tego typu powiadomień drogą elektroniczną, zwłaszcza z prośbą o kliknięcie w linki czy instalację oprogramowania. Zaleca się zachowanie szczególnej ostrożności przy otrzymywaniu nieoczekiwanych wiadomości e-mail, zwłaszcza tych zawierających załączniki lub linki. W przypadku wątpliwości co do autentyczności otrzymanej korespondencji, warto skontaktować się bezpośrednio z urzędem skarbowym lub sprawdzić oficjalne komunikaty na stronach rządowych.

Aby uchronić się przed tego typu oszustwami, eksperci zalecają:

• Nie klikać w linki ani nie pobierać załączników z nieznanych źródeł.
• Sprawdzać adres e-mail nadawcy pod kątem podejrzanych domen.
• Aktualizować oprogramowanie zabezpieczające na swoich urządzeniach.
• Korzystać z dwuskładnikowego uwierzytelniania tam, gdzie to możliwe.

W przypadku podejrzenia, że padliśmy ofiarą oszustwa, należy niezwłocznie skontaktować się z odpowiednimi służbami oraz poinformować bank, jeśli mogło dojść do wycieku danych finansowych. Pamiętajmy, że cyberprzestępcy stale modyfikują swoje metody działania, dlatego kluczowe jest zachowanie czujności i edukowanie się w zakresie cyberbezpieczeństwa.

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi sztucznej inteligencji.

---

ATAK RANSOMWARE NA EUROCERT

Kilka dni temu pisaliśmy o poważnym ataku hackerskim na Słowacji, w nocy z 11 na 12 stycznia Polska firma EuroCert, specjalizująca się w dostarczaniu kwalifikowanych usług zaufania, padła ofiarą poważnego ataku ransomware. Incydent ten doprowadził do naruszenia poufności oraz dostępności danych osobowych klientów, kontrahentów i pracowników spółki.

Zdjęcie dodane przez Antoni Shkraba: link do źródła

W wyniku ataku cyberprzestępcy uzyskali dostęp do szerokiego zakresu informacji, w tym imion, nazwisk, numerów PESEL, serii i numerów dowodów osobistych, danych kontaktowych, haseł oraz wizerunków osób, które korzystały z usług zdalnej weryfikacji tożsamości. Choć nie ma pewności, czy wszystkie te dane zostały wykradzione, istnieje takie prawdopodobieństwo. Więcej w oświadczeniu Eurocert

Po wykryciu incydentu EuroCert niezwłocznie podjął działania mające na celu minimalizację skutków ataku. Firma poinformowała o zdarzeniu odpowiednie organy, w tym Policję oraz CERT Polska, a także zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych, wskazując na wysokie ryzyko naruszenia praw osób fizycznych.

W odpowiedzi na zaistniałą sytuację, Pełnomocnik Rządu do spraw Cyberbezpieczeństwa, Krzysztof Gawkowski, wydał zalecenia mające na celu zminimalizowanie skutków ataku oraz zapobieżenie dalszym zagrożeniom. Rekomendacje te obejmują m.in. przegląd infrastruktury IT w celu analizy przetwarzanych danych, zablokowanie zdalnego dostępu oraz powiązań z infrastrukturą EuroCert, a także zmianę poświadczeń do wszystkich kont i systemów związanych z firmą oraz wdrożenie dwuskładnikowego uwierzytelniania.

Atak na EuroCert jest kolejnym przypomnieniem o rosnącym zagrożeniu ze strony cyberprzestępców, którzy coraz częściej kierują swoje działania w stronę firm świadczących kluczowe usługi zaufania. Incydent ten podkreśla potrzebę ciągłego doskonalenia zabezpieczeń oraz edukacji w zakresie cyberbezpieczeństwa, aby skutecznie chronić wrażliwe dane przed nieuprawnionym dostępem i potencjalnymi nadużyciami.

Należy pamiętać, że hakerzy coraz częściej atakują jednostki samorządu terytorialnego. Grupa RansomHub podejrzewana o powyższy napad, jest odpowiedzialna za ataki na m.in. Powiatowy Urząd Pracy w Policach czy Starostwo Powiatowe w Jędrzejowie.

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi sztucznej inteligencji.

---

NIESPOTYKANY PARALIŻ REJESTRÓW PAŃSTWOWYCH NA SŁOWACJI

W pierwszych dniach stycznia 2025 roku Słowacja stała się celem jednego z najpoważniejszych cyberataków w swojej historii. Atak ten sparaliżował funkcjonowanie Urzędu Geodezji, Kartografii i Katastru, uniemożliwiając dostęp do kluczowych danych dotyczących ewidencji gruntów i budynków. Skutki tego incydentu są odczuwalne w wielu sektorach, w tym w bankowości, budownictwie oraz administracji publicznej.

Problemy rozpoczęły się w niedzielę, kiedy to systemy katastralne przestały działać. Początkowo władze sugerowały, że przyczyną są problemy techniczne lub konieczność przeprowadzenia prac konserwacyjnych. Dopiero po kilku dniach, w czwartek, Ministerstwo Spraw Wewnętrznych oficjalnie potwierdziło, że doszło do cyberataku. Według dostępnych informacji, atak został przeprowadzony z zagranicy, a sprawcy zażądali okupu w wysokości co najmniej miliona dolarów.

Paraliż systemu katastralnego miał poważne konsekwencje dla obywateli i instytucji. Banki napotkały trudności w procesie udzielania kredytów hipotecznych z powodu braku dostępu do aktualnych danych o nieruchomościach. Władze lokalne nie były w stanie wydawać pozwoleń na budowę ani kart parkingowych, co wpłynęło na codzienne funkcjonowanie wielu osób. Sytuacja ta wywołała niepokój wśród obywateli, zwłaszcza w kontekście bezpieczeństwa ich danych oraz praw własności.

W odpowiedzi na te obawy, przedstawiciele rządu, w tym minister rolnictwa Richard Takáč oraz minister spraw wewnętrznych Matúš Šutaj Eštok, zapewnili, że dane nie zostały utracone ani zmodyfikowane. Podkreślili, że regularnie tworzone kopie zapasowe pozwolą na pełne odtworzenie systemu. Zapewnili również, że obywatele nie muszą obawiać się utraty swoich nieruchomości czy wycieku wrażliwych informacji.

Jak podaje gazeta.pl „Były prezes urzędu Ján Mrva zdradził w wywiadzie, że "z biura zwolniono ekspertów IT, a pracownicy mają komputery z 2008 roku".

Incydent na Słowacji stanowi ostrzeżenie dla innych krajów, w tym Polski, o konieczności stałego monitorowania i wzmacniania systemów informatycznych. W dobie cyfryzacji, gdzie coraz więcej usług publicznych i prywatnych opiera się na technologiach informatycznych, odporność na cyberataki staje się kluczowym elementem bezpieczeństwa narodowego.

Podsumowując, atak na słowacki system katastralny uwidocznił kruchość współczesnych infrastruktur cyfrowych wobec zaawansowanych zagrożeń cybernetycznych. Jest to wyraźny sygnał dla rządów i instytucji na całym świecie o konieczności inwestowania w cyberbezpieczeństwo oraz rozwijania strategii obronnych, które pozwolą skutecznie przeciwdziałać tego rodzaju incydentom w przyszłości.

Więcej na stronie internetowej Gazety

---

Z NOWYM ROKIEM ZAPOZNAJ SIĘ Z POLITYKA BEZPIECZEŃSTWA W TWOJEJ JEDNOSTCE

W polskiej administracji publicznej odpowiedzialność za przestrzeganie polityk ochrony informacji oraz wymagań systemów bezpieczeństwa informacji spoczywa na pracownikach samorządowych. W ostatnich latach kilka incydentów, takich jak atak ransomware na Urząd Gminy Nowiny, ujawnia powagę tej kwestii. W grudniu 2021 roku złośliwe oprogramowanie zaszyfrowało serwer urzędu, co doprowadziło do wycieku danych osobowych pracowników. Tego rodzaju sytuacje pokazują, jak istotne jest przestrzeganie wewnętrznych polityk bezpieczeństwa. Również Ministerstwo Cyfryzacji doświadczyło naruszenia danych, gdy pracownik omyłkowo przesłał wrażliwe informacje o wynagrodzeniach do niewłaściwego adresata. Takie błędy mogą prowadzić do poważnych konsekwencji prawnych i finansowych, co podkreśla konieczność szkolenia personelu w zakresie cyberbezpieczeństwa. W odpowiedzi na te zagrożenia wprowadzono dodatkowe środki zabezpieczające. Atak na Urząd Gminy Pawłowice to kolejny przykład, który ilustruje trudności, przed którymi stają samorządy. Ograniczone zasoby i infrastruktura informatyczna czynią je łatwym celem dla hakerów.

W tym kontekście, z nowym rokiem zachęcamy wszystkich pracowników administracji do szczegółowego zapoznania się z obowiązującymi politykami bezpieczeństwa w jednostkach. Takie działanie przyczynia się do wzrostu kompetencji pracowników oraz poprawia bezpieczeństwo przetwarzanych danych. Wzrost świadomości zagrożeń, znajomość procedur, obowiązków i odpowiedzialności za bezpieczeństwo informacji jest kluczowe dla ochrony danych mieszkańców oraz sprawnego funkcjonowania lokalnej administracji.

Źródło: Obraz Shaun z Pixabay

---

OSTRZEŻENIE MICROSOFT DLA 400 MILIONÓW UŻYTKOWNIKÓW WINDOWS 10 - CO ROBIĆ?

Microsoft ogłosił, że 14 października 2025 roku zakończy wsparcie dla systemu Windows 10. W związku z tym firma zachęca użytkowników do przejścia na Windows 11, pod warunkiem spełnienia określonych wymagań sprzętowych. Kluczowym elementem jest obecność modułu TPM 2.0 (Trusted Platform Module w wersji 2.0), który odpowiada za zaawansowane funkcje zabezpieczeń, takie jak ochrona danych i tożsamości. Większość komputerów wyprodukowanych w ciągu ostatnich pięciu lat posiada ten moduł, jednak starsze urządzenia mogą go nie mieć.

Źródło: Obraz efes z Pixabay

Microsoft ostrzega przed próbami instalacji Windows 11 na niekompatybilnym sprzęcie, zwłaszcza bez modułu TPM 2.0. Takie działania mogą prowadzić do poważnych problemów, w tym trwałego uszkodzenia komputera. Firma podkreśla, że urządzenia niespełniające wymagań sprzętowych nie będą objęte wsparciem technicznym ani gwarancją producenta w przypadku problemów wynikających z niekompatybilności.

Aby sprawdzić, czy Twój komputer spełnia wymagania dla Windows 11, warto skorzystać z narzędzia PC Health Check, które oceni zgodność urządzenia z nowym systemem. Jeśli komputer nie spełnia tych wymagań, zaleca się kontynuowanie pracy na Windows 10 do czasu zakończenia jego wsparcia lub rozważenie zakupu nowego urządzenia zgodnego z Windows 11. Pamiętaj, że próby obejścia wymagań sprzętowych mogą narazić Cię na utratę danych oraz problemy z bezpieczeństwem i stabilnością systemu.

Instrukcja - jak używać programu PC Health Check

Więcej szczegółów można znaleźć:

• Artykuł nr 1;
• Artykuł nr 2

---

NOWE ZAGROŻENIA W KOMUNIKATORACH WHATSAPP, MESSENGER I SIGNAL

Ostatnio FBI wystosowało ostrzeżenie skierowane do użytkowników popularnych komunikatorów internetowych, takich jak WhatsApp, Messenger i Signal. Chociaż aplikacje te są cenione za swoje zaawansowane mechanizmy szyfrowania i ochrony prywatności, okazuje się, że nie są one w pełni odporne na nowe metody ataków cybernetycznych. Zgodnie z informacjami przekazanymi przez FBI, problem tkwi nie tylko w samej technologii, ale także w nieodpowiednich praktykach bezpieczeństwa stosowanych przez użytkowników.

Źródło: Public Domain Collections (Picryl)

Szyfrowanie end-to-end, które chroni treść wiadomości przed przechwyceniem przez osoby trzecie, pozostaje fundamentem bezpieczeństwa tych aplikacji. Jednakże, jak podkreślają eksperci, zagrożenia mogą wynikać z innych aspektów funkcjonowania komunikatorów. Jednym z głównych problemów jest przechowywanie danych lokalnie na urządzeniach mobilnych lub w chmurze. Nawet jeśli treści są szyfrowane, dane zapisane w kopiach zapasowych mogą być podatne na ataki, gdy nie są odpowiednio zabezpieczone.

FBI zaleca użytkownikom kilka podstawowych kroków, które mogą zwiększyć ich bezpieczeństwo. Przede wszystkim ważne jest regularne aktualizowanie aplikacji do najnowszych wersji. Aktualizacje te często zawierają łatki usuwające luki w zabezpieczeniach. Kolejną kluczową rekomendacją jest włączenie uwierzytelniania dwuskładnikowego, co utrudnia nieautoryzowany dostęp do konta, nawet jeśli hasło zostanie skradzione. Użytkownicy powinni również zwrócić uwagę na swoje nawyki związane z hasłami – unikać używania tych samych kombinacji w różnych serwisach i dbać o to, by były one odpowiednio złożone.

Problem bezpieczeństwa nie dotyczy jednak wyłącznie indywidualnych użytkowników. Coraz więcej cyberprzestępców wykorzystuje złożone metody ataków, które często omijają tradycyjne mechanizmy ochronne. Skala tego zjawiska jest alarmująca – liczba incydentów związanych z włamaniem na konta w komunikatorach znacząco wzrosła w ostatnich miesiącach. Co więcej, cyberprzestępcy coraz częściej korzystają z socjotechniki, by nakłonić użytkowników do ujawnienia wrażliwych informacji.

W obliczu tych wyzwań FBI podkreśla znaczenie edukacji w zakresie bezpieczeństwa cyfrowego. Użytkownicy powinni być świadomi potencjalnych zagrożeń i wiedzieć, jakie kroki mogą podjąć, by chronić swoje dane. Pamiętajmy, że nasze bezpieczeństwo w sieci zależy w dużej mierze od nas samych i od tego, jak świadomie korzystamy z dostępnych narzędzi komunikacyjnych.

Więcej informacji:

• Link do pierwszego artykułu,
• Link do drugiego artykułu

---

CZY MASZ JUŻ ADRES DO E-DORĘCZEŃ?

W związku z ustawą z dnia 18 listopada 2020 r. o doręczeniach elektronicznych i późniejszymi zmianami w okresie przejściowym do końca 2025 r., podmiot publiczny będzie kierował korespondencję do podmiotu niebędącego podmiotem publicznym na adres do doręczeń elektronicznych – jeżeli odbiorca taki adres posiada. Jeżeli odbiorca nie posiada e-adresu, korespondencja będzie mogła być kierowana w dotychczasowy sposób.

W związku z powyższym od 1.01.2025 r. należy uruchomić skrzynkę do e-doręczeń oraz opracować najlepszy model wysyłki, opisać procedury, wdrożyć i przeszkolić pracowników.

Jak założyć adres i skrzynkę do e-Doręczeń?

Link do artykułu

Jak korzystać z e-Doręczeń?

Z e-Doręczeń będzie można korzystać przez:

• skrzynkę e-Doręczeń na mObywatel.gov.pl i edoreczenia.gov.pl,
• skrzynkę na Koncie Przedsiębiorcy na biznes.gov.pl,
• system kancelaryjny EZD zintegrowany z e-Doręczeniami,
• aplikacje firm dostarczających usługę e-Doręczeń.

Kto płaci za wysyłkę dokumentów przez e-Doręczenia?

Bezpłatna jest korespondencja:

• od obywateli i firm do podmiotów publicznych,
• pomiędzy podmiotami publicznymi.

Podmioty publiczne będą płacić za wysyłkę dokumentów do obywateli, firm i innych instytucji niepublicznych.

Obywatele i firmy będą ponosić koszty korespondencji, jeżeli nie będzie w niej uczestniczyć podmiot publiczny, czyli np. między firmami czy między firmą a osobą fizyczną.

Wysyłka wiadomości z wykorzystaniem usług PURDE I PUH jest płatna, cennik opublikowała Poczta Polska.

Usługa	Cena (netto)	Cena (brutto)	List polecony z potwierdzeniem odbioru (ekonomiczny, krajowy, format S)	Oszczędność przy wysyłce 1 szt.	Oszczędność przy wysyłce 100 tys. sztuk
PURDE	5,30 zł	6,52 zł	11,80 zł	5,28 zł	528 000,00 zł
PUH	8,35 zł	10,27 zł	11,80 zł	1,53 zł	152 950,00 zł

 

Najczęściej zadawane pytania:

Link do materiału

---

CZY WARTO UŻYWAĆ PENDRIVE W ADMINISTRACJI?

Pamięci USB są bardzo wygodne w codziennym użytkowaniu, małe, pojemne, łatwo można na nich przenosić pliki między urządzeniami. Jednak ich niewłaściwe zabezpieczenie niesie poważne ryzyko, zwłaszcza w organizacjach, które muszą przestrzegać norm bezpieczeństwa, takich jak ISO 27001 czy przepisy Krajowych Ram Interoperacyjności (KRI).

Największym zagrożeniem jest możliwość utraty danych i brak kontroli dostępu. Jeśli pamięć USB zostanie zgubiona lub skradziona, a nie jest zabezpieczona, każda osoba, która ją znajdzie, może odczytać zawartość. Wrażliwe informacje, takie jak dane osobowe, raporty czy informacje chronione, mogą wpaść w niepowołane ręce. Wiąże się to z utratą wizerunku i zaufania do instytucji. Co więcej, nieautoryzowane urządzenia USB mogą być nośnikami złośliwego oprogramowania, które po podłączeniu do komputera infekuje system i rozprzestrzenia się po całej sieci organizacji.

Zarówno ISO 27001, jak i KRI wymagają wdrożenia środków technicznych i organizacyjnych, które chronią dane przed nieautoryzowanym dostępem. Niezabezpieczone nośniki są więc nie tylko niebezpieczne, ale mogą również narazić firmę na odpowiedzialność prawną.

Jak można uniknąć takich sytuacji? Najprostszym rozwiązaniem jest szyfrowanie danych na pamięciach USB – np. za pomocą narzędzi oferujących szyfrowanie AES-256. To sprawia, że bez hasła dostęp do plików jest niemożliwy. Warto również korzystać z systemów DLP (Data Loss Prevention), które monitorują ruch danych w firmie i blokują kopiowanie wrażliwych informacji na niezaufane urządzenia. Kolejnym krokiem jest ograniczenie możliwości podłączania nieautoryzowanych pamięci przez blokadę portów USB na komputerach służbowych. Nie można też zapominać o edukacji pracowników. Jasne zasady użytkowania pamięci USB, szkolenia z zakresu cyberbezpieczeństwa oraz regularne przypominanie o zagrożeniach pomagają uniknąć wielu problemów.

Zachęcam do lektury o kuratorze sadowym, który zgubił w Zgierzu niezaszyfrowanego pendrive’a z danymi osobowymi 400 osób: link do artykułu

---

CZY WIESZ JAK CHRONIĆ SWOJE KATY PŁATNICZE?

W okresie przedświątecznej gorączki zakupów nie tylko prezenty, ale również bezpieczeństwo naszych kart płatniczych powinno być priorytetem. To czas, kiedy łatwo o chwilę nieuwagi, która może kosztować nas utratę pieniędzy. Jak podaje Związek Banków Polskich, właśnie w tym okresie najczęściej dochodzi do zastrzegania kart płatniczych, co jest skutkiem zagubień, pozostawienia kart w sklepach lub nawet kradzieży.

 

Źródło: zastrzegam.pl

Pierwszym krokiem do zabezpieczenia karty jest jej podpisanie zaraz po otrzymaniu. Podpis nie tylko pozwala na identyfikację właściciela, ale także zwiększa poziom bezpieczeństwa w razie zgubienia. Warto także regularnie sprawdzać, czy mamy przy sobie wszystkie karty, zwłaszcza w okresie wzmożonych zakupów. Przechowywanie numeru rachunku karty oraz PIN-u w bezpiecznym miejscu to kolejny kluczowy element. Najlepiej zapamiętać numer PIN, a wszelkie zapiski zniszczyć, aby nie wpadły w niepowołane ręce.

Jednym z najważniejszych nawyków jest ochrona danych swojej karty oraz rachunku bankowego. Nigdy nie udostępniaj tych informacji osobom trzecim i nie podawaj ich przez telefon czy e-mail, nawet jeśli ktoś podaje się za przedstawiciela banku. Warto również niszczyć kopie potwierdzeń transakcji, na których mogą znajdować się dane naszej karty. To drobny, ale skuteczny sposób, aby nie stały się one łupem oszustów.

Przykładem, który obrazuje, jak łatwo można stracić pieniądze, jest sytuacja pani Anny, która podczas świątecznych zakupów w galerii handlowej zgubiła portfel z kartą płatniczą. Zanim zdążyła zareagować, ktoś użył jej karty do kilku transakcji zbliżeniowych na małe kwoty, które nie wymagały podania PIN-u. Dzięki szybkiej interwencji udało się zablokować dalsze operacje, ale utraconych pieniędzy nie udało się odzyskać. Ten przypadek pokazuje, jak ważne jest szybkie zastrzeżenie karty w razie jej utraty.

Jeśli dojdzie do zgubienia lub kradzieży karty, należy działać szybko. W bankach można to zrobić na kilka sposobów. Możesz zadzwonić na infolinię, wybierając odpowiednią opcję w automatycznym teleserwisie, lub samodzielnie zastrzec kartę, logując się do serwisu transakcyjnego. W aplikacji mobilnej proces ten jest równie prosty i intuicyjny. Dla osób, które nie mają pod ręką danych kontaktowych do swojego banku, Związek Banków Polskich uruchomił jednolity system, dostępny pod numerem (+48) 828 828 828 lub zastrzegam.pl. To uniwersalne rozwiązanie pozwala zastrzec kartę z dowolnego miejsca na świecie, o każdej porze dnia i nocy.

Warto pamiętać, że ochrona karty płatniczej to nie tylko kwestia technicznych rozwiązań, ale również codziennych nawyków. Zachowując ostrożność i reagując szybko na każdą podejrzaną sytuację, możemy cieszyć się spokojem podczas świątecznych zakupów i uniknąć niepotrzebnych problemów.

---

CZY BEZPIECZNIE KUPUJESZ ŚWIĄTECZNE PREZENTY?

W okresie przedświątecznej gorączki zakupów warto zwrócić szczególną uwagę na bezpieczeństwo – zarówno podczas zakupów online, jak i w sklepach stacjonarnych. Cyberprzestępcy oraz oszuści stacjonarni często wykorzystują nasz pośpiech i nieuwagę, dlatego warto znać kilka zasad, które pomogą ci chronić swoje dane oraz pieniądze.

Źródło: Obraz Preis_King z Pixabay

Podczas zakupów w sieci kluczowe jest korzystanie z zaufanych stron internetowych. Kupuj wyłącznie w sklepach, które mają dobre opinie i sprawdzoną reputację. Upewnij się, że adres strony rozpoczyna się od „https”, co oznacza, że połączenie jest szyfrowane, a dane bezpieczne. Ważne jest także unikanie publicznych sieci Wi-Fi, szczególnie podczas logowania się do sklepu czy dokonywania transakcji. Jeśli musisz korzystać z publicznego internetu, rozważ użycie VPN-u, który dodatkowo zabezpieczy twoje dane.

Silne i unikalne hasła to kolejny krok do bezpieczeństwa. Każdy sklep lub serwis powinien mieć swoje własne hasło, a do ich przechowywania możesz użyć menedżera haseł. Uważaj też na oferty, które wydają się „zbyt dobre, by były prawdziwe” – często są to oszustwa lub phishing, który ma na celu wyłudzenie twoich danych. Zawsze weryfikuj metody płatności i wybieraj te bezpieczne, jak BLIK czy systemy pośredniczące, takie jak PayPal. Nigdy nie podawaj danych swojej karty kredytowej na niesprawdzonych stronach internetowych. Nie zapominaj również o aktualizowaniu oprogramowania na swoim komputerze czy telefonie – system operacyjny, przeglądarka i antywirus powinny być zawsze aktualne, by chronić cię przed najnowszymi zagrożeniami.

Przykładem sytuacji, w której ktoś padł ofiarą oszustwa, jest historia pana Marka, który przed świętami postanowił kupić elektronikę w promocyjnej cenie na mało znanej stronie internetowej. Oferta była wyjątkowo atrakcyjna, a sklep obiecywał błyskawiczną dostawę. Pan Marek dokonał płatności kartą kredytową, ale towar nigdy nie dotarł, a po kilku dniach zauważył dodatkowe, nieautoryzowane transakcje na swoim koncie. Okazało się, że strona była fałszywa, a dane karty zostały przejęte przez oszustów. Na szczęście bank zablokował dalsze operacje, ale odzyskanie pieniędzy zajęło kilka tygodni. Ten przypadek pokazuje, jak ważne jest dokładne sprawdzanie sklepów internetowych i korzystanie z bezpiecznych metod płatności. Sprawdź czy w zakładce kontakt jest numer telefonu, adres fizyczny, który możesz sprawdzić w internetowych mapach itp.. Czy strona ma politykę prywatności lub inne regulaminy, z których wynikają twoje prawa.

Podczas zakupów stacjonarnych równie ważne jest zachowanie ostrożności. Chroń dane swojej karty płatniczej, korzystając z etui blokującego RFID, co uniemożliwi nieautoryzowane odczytanie danych. Przy korzystaniu z terminali płatniczych osłaniaj klawiaturę podczas wpisywania PIN-u i upewnij się, że terminal nie posiada podejrzanych elementów, które mogłyby być skimmerem. Warto też rozważyć ustawienie niskiego limitu na transakcje zbliżeniowe lub wyłączenie tej funkcji, jeśli nie korzystasz z niej regularnie. Regularne monitorowanie stanu konta bankowego pozwoli ci szybko wychwycić nieautoryzowane transakcje i zareagować, zanim szkody staną się poważniejsze.

Pamiętaj, że w okresie świątecznym sklepy bywają zatłoczone, co sprzyja kradzieżom kieszonkowym. Trzymaj portfel w bezpiecznym miejscu, najlepiej w wewnętrznej kieszeni kurtki lub torby, aby utrudnić potencjalnym złodziejom dostęp do twoich pieniędzy.

Podstawą bezpieczeństwa podczas zakupów, niezależnie od ich formy, jest zdrowy rozsądek i zachowanie ostrożności. Dbaj o swoje dane, pieniądze i nie daj się ponieść zakupowej gorączce bez zachowania odpowiednich środków ostrożności.

---

UWAGA NA FAŁSZYWE SMS OD ORANGE I E-MAIL Z PKO

CERT Orange ostrzega, że w ostatnich dniach nasiliły się działania oszustów podszywających się pod firmę ORANGE. Wysyłają oni fałszywe SMS-y, zachęcając do aktywacji konta, co ma na celu wyłudzenie danych osobowych.

Treść SMS-ów wykrytych przez CERT Orange Polska, które wysyłali przestępcy, to:

„Twoje konto Orange czeka na aktywacje. Postepuj zgodnie z instrukcjami, aby je aktywowac i ponownie korzystac z naszych uslug. Dziekujemy! urlz[.]fr/t6c1”

„Twoje konto Orange jest gotowe do aktywacji. Prosimy o wykonanie instrukcji, aby aktywowac konto i ponownie korzystac z naszych uslug. Dziekujemy! urlz[.]fr/t4WD”

Warto pamiętać, że prawdziwe wiadomości od Orange Polska zawsze pochodzą od nadawcy „Orange” lub „ORANGE”, a nie z przypadkowych numerów.

Jak się chronić? Sprawdź numer telefonu nadawcy. Unikaj klikania w linki z podejrzanych wiadomości, dokładnie sprawdzaj adresy stron, na których się logujesz. Jeśli masz wątpliwości co do otrzymanego SMS-a, prześlij go na numer 8080 do CERT POLSKA, aby został zweryfikowany.

Szczegółowe informacje znajdziesz na stronie internetowej CERT Orange.

Link do strony CERT Orange

 

Dodatkowo, oszuści rozsyłają fałszywe e-maile, podszywając się pod bank PKO BP. Wiadomości te zawierają załączniki z niebezpiecznym malware udającym potwierdzenie płatności. Po otwarciu takiego pliku instaluje się wirus Quasar RAT, który działa jak keylogger, ma dostęp do systemu plików i kradnie dane uwierzytelniające z przeglądarek oraz aplikacji.

Aby uniknąć zagrożenia, sprawdzaj nadawcę wiadomości, oceniaj wiarygodność jej treści i nie otwieraj podejrzanych załączników ani linków.

Więcej informacji na ten temat znajduje się na stronie internetowej banku PKO BP.

Link do strony PKO BP

---

KARA DLA ZHP OD PREZESA UODO

Chorągiew Stołeczna Związku Harcerstwa Polskiego została ukarana przez Prezesa Urzędu Ochrony Danych Osobowych (UODO) grzywną w wysokości 24 555 zł za naruszenie zasad ochrony danych osobowych. Powodem było zagubienie laptopa z wrażliwymi informacjami, takimi jak dane kontaktowe, numery PESEL, adresy, informacje finansowe i zdrowotne. Laptop nie był odpowiednio zabezpieczony, co wskazało na braki w analizie ryzyka oraz niedostateczne środki ochrony, w tym brak szyfrowania. UODO podkreślił, że administratorzy danych muszą nieustannie oceniać skuteczność zabezpieczeń, a nie ograniczać się do ich jednorazowego wdrożenia. Chorągiew ma trzy miesiące na poprawę procedur. Incydent uwidocznił znaczenie ciągłego testowania i dostosowywania środków ochrony danych do zmieniających się zagrożeń, zwłaszcza podczas ich transportu. Administrator powinien regularnie testować, mierzyć i oceniać skuteczność środków ochrony danych.

Więcej na stronie Prezesa UODO

Zachęcamy do przeprowadzenia diagnozy stanu zabezpieczeń w Państwa jednostkach. Szyfrowanie dysków można zrealizować bez ponoszenia dodatkowych kosztów. Jeżeli mamy systemy operacyjne w wersji profesjonal możemy za pomocą narzędzia BitLocker zaszyfrować dyski oraz pamięć USB.

---

PHISHING W SMS

Ponownie zwracamy uwagę na zagrożenia, z którymi możemy się spotkać podczas korzystania z Internetu na komputerach osobistych i smartfonach. Cyberprzestępcy stale szukają nowych metod na przechwytywanie naszych danych, w tym dostępu do kont bankowych, a jednym z najczęstszych narzędzi, które do tego wykorzystują, są e-maile. Piszemy o tym regularnie, by zwiększyć świadomość i pomóc w uniknięciu takich sytuacji.

Obecnie jednak warto także zwrócić uwagę na wiadomości SMS – to kolejny, coraz popularniejszy kanał wykorzystywany przez oszustów. W ostatnim czasie pojawiła się nowa fala tego typu ataków, a przestępcy wykorzystują SMS-y, które zazwyczaj informują o nieodebranej przesyłce kurierskiej lub pocztowej. Tego typu wiadomości najczęściej zawierają link, który prowadzi do fałszywej strony, imitującej wygląd strony kuriera, a jej celem jest wyłudzenie danych logowania i hasła.

Zwracamy uwagę na to, że jeśli nie oczekujemy na żadną przesyłkę, powinniśmy po prostu zignorować taką wiadomość, nie klikać w link i najlepiej ją usunąć. W sytuacji, kiedy rzeczywiście czekamy na paczkę, radzimy wejść na stronę internetową firmy kurierskiej bezpośrednio – nie korzystając z żadnych podejrzanych linków – i sprawdzić status przesyłki, wpisując numer przesyłki w dedykowanej wyszukiwarce na stronie.

Prosimy o zachowanie szczególnej ostrożności podczas korzystania z Internetu. Jedno nieostrożne kliknięcie może mieć poważne konsekwencje, dlatego warto działać z rozwagą i unikać podejrzanych wiadomości.

 

---

NIE DAJ SIĘ ZŁOWIĆ!

Chcielibyśmy poinformować, że ostatnio zauważono zwiększoną aktywność cyberprzestępców oraz więcej przypadków prób wyłudzenia danych (tzw. phishing) zarówno wobec urzędów, jak i osób prywatnych.

W takich fałszywych wiadomościach często można zauważyć literówki i nietypowe tytuły, np.: „Bardzo wazne Odpowiedz teraz", „Twoje konto przejmuja hakerzy. Musisz podjac dzialania.", „Pilnie ureguluj zobowiązania", „Koszty sądowe do zapłacenia w postepowaniu”. Adresy nadawców często podszywają się pod znane instytucje, np. pko@pkobp.nl, egov.pl

Treść tych wiadomości bywa zastraszająca – cyberprzestępcy informują o rzekomym dostępie do urządzenia odbiorcy, kompromitujących materiałach lub kontaktach bliskich. Mogą zawierać też fałszywe faktury. Wszystko to ma na celu wyłudzenie pieniędzy lub danych logowania, czasem do bankowości internetowej. Pobranie załącznika może zaszyfrować pliki na komputerze i skutkować żądaniem okupu

Jak postępować w przypadku podejrzanej wiadomości:

• Dokładnie sprawdź, czy adres nadawcy jest prawdziwy i wiarygodny.
• Analizuj treść pod kątem autentyczności.
• Traktuj podejrzane e-maile jako SPAM.
• Nie odpowiadaj na takie wiadomości.
• Nie otwieraj załączników ani linków zawartych w wiadomości.

Jeśli masz wątpliwości co do autentyczności wiadomości, zgłoś ją do zespołu CERT Polska (działającego przy NASK) na stronie https://cert.pl/. Na stronie CERT znajdziesz przydatne wskazówki na temat bezpiecznego korzystania z Internetu – zachęcamy do zapoznania się z nimi.

---