Rozwój społeczny i gospodarczy w coraz większym stopniu zależny jest od szybkiego i nieskrępowanego dostępu do informacji i technologii. Od sprawności i stabilności systemów teleinformatycznych zależy funkcjonowanie całego państwa. Jak przeciwdziałać atakom w cyberprzestrzeni? Jak chronić się przed zagrożeniami dla cyberbezpieczeństwa, w tym w dobie AI? O tym w rozmowie z dr. hab. Jerzym Surmą, prof. SGH, z Zakładu Technologii Informatycznych w Instytucie Informatyki i Gospodarki Cyfrowej Kolegium Analiz Ekonomicznych SGH.
Karolina Cygonek: Od wielu lat wzrasta liczba zagrożeń i incydentów bezpieczeństwa w cyberprzestrzeni. Każdy incydent to ryzyko naruszenia bezpieczeństwa obywateli, przejęcia danych osobowych, w tym medycznych, naruszenie prywatności, utraty pieniędzy. W jaki sposób temu skutecznie przeciwdziałać?
Jerzy Surma: To jest zagadnienie wielowymiarowe, bo mamy trzy poziomy odporności na cyberataki, na zagrożenia w cyberprzestrzeni. Pierwszy poziom to jest funkcjonowanie państwa. Drugi poziom to jest funkcjonowanie firm, organizacji. I trzeci poziom to jest poziom obywateli zanurzonych w cyfrowym świecie.
Na poziomie państwa, przynajmniej od strony przepisów i regulacji, jesteśmy dość dobrze zabezpieczeni w kontekście formalnym. Od kilku już lat obowiązuje ustawa o krajowym systemie cyberbezpieczeństwa, nawiązująca do regulacji Unii Europejskiej, w tym dyrektywy dotyczącej przeciwdziałania cyberprzestępczości i to w sektorach o wysokim stopniu krytyczności, jak energetyka, transport lotniczy, sektor bankowy, infrastruktura cyfrowa, operatorzy telekomunikacyjni itd. Zgodnie z tą ustawą system cyberbezpieczeństwa, zakładając poprawną implementację tej ustawy i dyrektyw unijnych, jest dobrze zabezpieczony od strony formalnej. Mamy bowiem trzy duże zespoły cyberbezpieczeństwa na poziomie państwa: Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT GOV) w ramach Państwowego Instytutu Badawczego NASK, sektor publiczny jest w kompetencjach Agencji Bezpieczeństwa Wewnętrznego, natomiast cała sfera militarna jest chroniona oczywiście w ramach Ministerstwa Obrony Narodowej.
Drugi to poziom firm, które powinny implementować, co zostało im narzucone w kontekście formalnym. I tu chciałbym w szczególny sposób podkreślić bezpieczeństwo w sektorze finansowym i rolę Komisji Nadzoru Finansowego (KNF), która wykonuje swoją pracę w tym obszarze w sposób ponadnormatywny.
No i w końcu poziom nas, obywateli. Warto tutaj powiedzieć o inicjatywach edukacyjnych i informacyjnych dla obywateli w zakresie cyberbezpieczeństwa w celu zwiększenia ich świadomości. Zorganizowane grupy przestępcze czy w ogóle przestępcy weszli w sferę cyberprzestrzeni ponad 10 lat temu i bardzo silnie wykorzystują głównie naszą niewiedzę. A zatem niezwykle istotny jest właśnie element bieżącego edukowania się w zakresie różnego rodzaju zagrożeń. I w tym kontekście polecam śledzenie mediów społecznościowych NASK-u czy KNF-u, żeby na bieżąco monitorować, jakie są wektory ataków, jakie są potencjalne zagrożenia. Na przykład w ostatnim czasie bardzo popularne są ataki związane z różnego rodzaju produktami inwestycyjnymi, niby promowanymi przez znane postacie życia publicznego. Tak więc bardzo istotna jest w tym kontekście edukacja, a także informowanie o zagrożeniach właściwych instytucji, a przez nie – innych obywateli. W przypadku próby naruszenia bezpieczeństwa (SMS, telefon czy mail) zawsze możemy poinformować o tym NASK. Mamy wtedy do czynienia z działaniem państwa obywatelskiego, gdzie nie tylko wykazujemy się wrażliwością na tego typu atak, ale właśnie poprzez poinformowanie NASK-u de facto informujemy innych ludzi na terenie Rzeczpospolitej o tym, że taka sytuacja może nastąpić. NASK swoimi kanałami może o takich naruszeniach poinformować na szerszą skalę i – co jest super ważne – w większości wypadków zastopować tego typu aktywność przestępczą.
Nawiązał Pan do przepisów, które są ramami prawnymi i takim – powiedzmy – stanem idealnym. No, ale jednak dochodzi do naruszeń bezpieczeństwa w cyberprzestrzeni. Stąd moje pytanie, w jaki sposób im skutecznie przeciwdziałać na tym pierwszym poziomie państwa?
Oczywiście, wszelkie regulacje i przepisy opisują stan tego, jak sytuacja wyglądała historycznie. Kalejdoskop zagrożeń odzwierciedla przeszłość. Natomiast sytuacja jest bardzo dynamiczna, są coraz nowsze, coraz bardziej wyrafinowane wektory ataków. Cyberprzestępcy nie śpią, są bardzo aktywni. W przypadku Rzeczpospolitej mamy też do czynienia ze state actors, czyli po prostu z działaniami w cyberprzestrzeni na poziomie służb specjalnych państw nam niesprzyjających czy wręcz wrogich. I powiedziałbym, że właściwie mamy do czynienia z bardzo złożonym permanentnym procesem rozpoznawania zagrożeń i budowania odporności.
Jeżeli ataki odbywają się na poziomie państwowym i obcych służb, to wiadomo, że są w to angażowane dużo większe środki, i ludzkie, i finansowe.
Dokładnie tak. I te ataki są bardzo wyrafinowane. Coraz częściej wykorzystywane są w nich zaawansowane technologie sztucznej inteligencji.
Uprzedził Pan moje kolejne pytanie. Jakie widzi Pan największe zagrożenia właśnie dla cyberbezpieczeństwa w dobie rewolucji AI i na ile można im przeciwdziałać w czasach tak zawrotnego tempa rozwoju technologii? Z tego, co Pan mówi, wynikałoby, że cyberprzestępcy są tak jakby trzy kroki przed tym, co jest w stanie zrobić w tej sprawie państwo.
Kontekst sztucznej inteligencji przeplata się z cyberbezpieczeństwem i cyberprzestępczością. Mamy bowiem do czynienia z dwoma wymiarami AI: sztuczna inteligencja jako narzędzie wspierające cyberbezpieczeństwo i sztuczna inteligencja w rękach cyberprzestępców, na czym chciałbym się skupić.
Po pierwsze, należy mieć świadomość, że ten rewolucyjny rozwój sztucznej inteligencji w ostatnich latach powoduje, że nagle w rękach cyberprzestępców pojawiły się zupełnie nowe możliwości. I to zarówno na poziomie edukowania się w zakresie różnych wektorów ataków, jak i wykorzystywania tych narzędzi, np. generatywnej sztucznej inteligencji (GenAI) w kontekście generowania różnego rodzaju deepfake’ów. Te deepfake’i mogą być na poziomie klonowania głosu, klonowania obrazu czy klonowania sekwencji wideo. Takim, powiedziałbym niesamowicie wyrafinowanym przykładem tego typu ataków, jest wygenerowanie deepfake’a wideo z prezydentem Ukrainy Wołodymyrem Zełenskim w momencie, gdy Rosjanie są na przedmieściach Kijowa. W tym sfingowanym wideo Zełenski wygłasza niby orędzie do narodu, prosząc siły zbrojne i obywateli do poddania się rosyjskim agresorom.
Jeśli funkcjonujemy w cyfrowym świecie, jesteśmy w nim zanurzeni totalnie z naszymi smartfonami, laptopami, korzystamy z tych urządzeń na co dzień poprzez serwisy informacyjne, strony www, media społecznościowe i sztuczną inteligencję, to nie wyobrażam sobie takiego racjonalnego funkcjonowania bez rozpoznawania zagrożeń.
Natomiast jest też inny wymiar takich działań, o czym zapominamy. To znaczy systemy te są w dużej skali wykorzystywane w różnego rodzaju firmach, od małych firm do dużych korporacji. I należy pamiętać o tym, że na każdym etapie zarówno budowania, jak i eksploatacji tych systemów, systemy oparte na sztucznej inteligenci można atakować. I powiem szczerze, jest bardzo niska świadomość tego, że można zakłócać ich działanie, np. doprowadzać do manipulacji odpowiedziami. Czy też nawet możliwe są zupełnie trywialne ataki, jak atak na dostępność, blokowanie danych usług.
I jeśli mamy jednocześnie sytuację, że firmy uzależniają swoje procesy biznesowe od wykorzystania takich systemów, to co wtedy?
To wtedy mamy do czynienia z niesamowicie złożonym zagadnieniem bezpieczeństwa w kontekście korzystania z tych systemów, budowania różnego rodzaju strategii obronnych. I tu już mówimy o zarządzaniu ryzykiem operacyjnym firmy, gdzie nagle się okazuje, że to jest niezwykle sensytywny moment, relatywnie słabo rozpoznany. Na temat hakowania sztucznej inteligencji napisałem książkę pod tym samym tytułem.
Jakie dostrzega Pan główne zagrożenia dla cyberbezpieczeństwa w Polsce w tym roku? Jakie ataki były najczęściej spotykane na przestrzeni ostatnich dwóch, trzech lat? I jakie sektory gospodarki są szczególnie narażone na te cyberzagrożenia?
Mamy dwa konteksty tego Pani pytania. Jeden kontekst jest fundamentalny – to są operacje prowadzone od wielu lat na terenie Rzeczpospolitej przez Federację Rosyjską, ale też przez Koreę Północną. Mamy tu do czynienia ze state actors, o czym mówiłem wcześniej. Po drugie, ataki te przeprowadzane są w kontekście funkcjonowania naszego sektora obronnego i finansowego zarówno prywatnego, jak i publicznego.
Wskazują na to zarówno raporty roczne NASK-u, jak i ABW, które przygotowują zestawienie najpopularniejszych wektorów ataków. I tutaj niestety obawiam się bardzo czarnych scenariuszy ingerencji w naszą wewnętrzną politykę przez Federację Rosyjską zarówno w sferze, nazwijmy to, działań ukrytych, jak i wprost ingerencji w nasze demokratyczne procesy na poziomie dezinformacji czy czegoś, co byśmy mogli nazwać wojną informacyjną. Rosjanie te rzeczy wykonują od lat, mają olbrzymią wiedzę i doświadczenie w tym zakresie.
Drugi bardzo istotny element, na który chcę zwrócić uwagę, to zanurzenie nas, obywateli, i naszych firm w cyfrowym świecie. Pojawia się naturalna aktywność przestępców, zorganizowanych grup przestępczych, dla których ataki są relatywnie proste do wykonania. Przy czym występuje tu bardzo duża asymetria: relatywnie niski koszt działania względem potencjalnych zysków. I co najważniejsze z punktu funkcjonowania grup przestępczych, relatywnie trudne ujęcie sprawcy. Ten proces jest bardzo wydłużony, trudno udowadnia się tego typu zderzenia, a więc jest to na pewno olbrzymie wyzwanie dla policji i prokuratury.
Podzielił Pan te ataki na sektor prywatny i sektor publiczny, a jeśli miałby Pan powiedzieć które branże są szczególnie narażone? Wymienił Pan sektor obronny i finansowy. Ostatnio był duży atak na firmę prywatną, która zajmuje się badaniami medycznymi, wykradziono setki tysięcy danych pacjentów. Jakie Pan widzi jeszcze sektory najbardziej narażone na te ataki?
Jeśli mówimy o aktywnościach na poziomie state actors, to zwykle mamy do czynienia z uderzeniem w infrastrukturę krytyczną: energetykę, telekomunikację, bankowość, służbę zdrowia. I paradoksalnie częściej nawet większy wolumen tych ataków jest przypuszczany właśnie na tę sferę dostarczania krytycznych usług dla ludności, bo to w tle generuje olbrzymie zagrożenia wewnętrzne.
Panikę ludzi, paraliż państwa.
Dokładnie tak. Natomiast jeśli mówimy o aktywnościach grup przestępczych, to one oczywiście idą śladem tego, gdzie mają największą rentowność z tego typu aktywności. W sposób naturalny sektor bankowy jest takim obszarem, gdzie przestępcy działają głównie na poziomie nas, klientów, a nie bezpośrednio banków, bo banki są twierdzami cyberbezpieczeństwa. Natomiast każdy z nas jest narażony na różnego rodzaju socjotechniki i relatywnie łatwe poddanie się różnego rodzaju oszustom.
Grupy przestępcze często stosują ataki, które powodują wymuszenia okupu od ofiary. W takim przypadku atakowane są branże, które wcale nie muszą być jakoś specjalnie intratne, natomiast są na tyle sensytywne, że przestępcy spodziewają się zapłacenia okupu poprzez szantaż. Dwa, trzy lata temu w Polsce miały miejsce duże ataki na kancelarie prawne, czyli wręcz mini firmy, które mają w swoim posiadaniu dane wrażliwe. Dochodziło do sparaliżowania funkcjonowania takich firm poprzez ataki typu ransomware, czyli zaszyfrowanie danych. Wówczas nagle pojawiły się firmy oferujące odszyfrowanie danych za odpowiednią opłatą. To są klasyczne scenariusze działań przestępczych.
Trochę mówił już Pan o tych instytucjach odpowiedzialnych za monitorowanie i reagowanie na cyberzagrożenia. Czy mógłby Pan opowiedzieć o inicjatywach wspólnego reagowania na cyberataki?
To jest bardzo dobre pytanie. Może powiem, jak to wygląda na poziomie krajowym, gdzie sytuacja jest pozytywna. Jeśli chodzi bowiem o dojrzałość w zakresie obrony przed cyberatakami, to bezwzględnie sektor bankowy jest chyba najbardziej dojrzały i najbardziej zaawansowany. W ramach KNF działa taki CSIRT w sektorze finansowym (banki i firmy ubezpieczeniowe). Następuje np. wymiana informacji pomiędzy instytucjami finansowymi w zakresie chociażby podejmowania wspólnych działań. Grupy przestępcze zwykle tym samym wektorem ataku, np. atakami typu DDoS na dostępność, są w stanie zaatakować równolegle kilka dużych banków. I wtedy koordynacja, która nie jest naturalna dla instytucji normalnie konkurujących na rynku, poprzez właśnie tę strukturę KNF-u zostaje zapewniona. To jest bardzo dobry przykład kooperacji, inicjowanej przez ten organ państwowy. Mamy do czynienia z knowledge sharing, wspólnymi aktywnościami i uświadomieniem, że walczymy z jednym wrogiem.
Mówi Pan, że sektor finansowy, sektor bankowy jest dość dobrze zabezpieczony. Jakie jeszcze branże w Polsce inwestują najwięcej w rozwiązania z zakresu cyberbezpieczeństwa?
Jest to na pewno telekomunikacja i energetyka. Bardzo dużą aktywność w tej sferze – wymuszoną w pozytywnym tego słowa znaczeniu przez ustawę – widać w sektorze ochrony zdrowia. Jednocześnie olbrzymie wyzwanie stoi przed tym sektorem, który jest bardzo rozdrobniony, jeśli chodzi o systemy teleinformatyczne. Taką absolutną forpocztą w Polsce jest branża finansowa, telekomunikacyjna i energetyczna. Nie mówię o naszym bezpieczeństwie w kontekście militarnym. Mamy przecież Wojsko Obrony Cyberprzestrzeni, z którego na pewno możemy być dumni, ale jest to sfera aktywności poza racjonalną próbą opisania ze względu na brak danych.
Wspominał Pan już o zawrotnym tempie rozwoju technologii, w tym rewolucji sztucznej inteligencji. Niedawno SGH z firmą Google uruchomiła program „Umiejętności Jutra: AI”. Było bardzo duże zainteresowanie tym programem ze strony przedsiębiorców, którzy są przecież zagrożeni atakami w cyberprzestrzeni. Jak oni mają reagować na te rosnące zagrożenia? Bo z jednej strony, muszą uczyć się sztucznej inteligencji, wdrażać ją, zmieniać swoją technologię, inaczej przestaną być konkurencyjni. A z drugiej strony, mamy rosnące zagrożenia w cyberprzestrzeni.
To jest bardzo ważny wątek, bo poprzez takie narzędzia, jak AI można atakować. W ogóle te narzędzia z definicji mogą być już zainfekowane: na poziomie zbiorów treningowych, które były wykorzystywane, na poziomie uczenia tych systemów, a nawet w trakcie korzystania z nich. Zagrożeń mamy zatem całe spektrum w kontekście użytkowania tych systemów. Z jednej strony, rozumiem zainteresowanie firm, przedsiębiorców tego typu technologiami, to jest zupełnie naturalne. Natomiast jest bardzo niska świadomość, niemalże zerowa, zagrożeń związanych z użytkowaniem tych systemów.
Pan uświadamia studentów o tych zagrożeniach na swoich zajęciach. W SGH prowadzi Pan wykłady z cyberbezpieczeństwa dla kierunku Big Data.
Wykład ten w jednej trzeciej w sposób absolutnie świadomy jest poświęcony bezpieczeństwu systemów maszynowego uczenia i sztucznej inteligencji. Właśnie żeby nasi absolwenci, przynajmniej na kierunku Big Data, mieli bardzo dużą świadomość zagrożeń i wiedzę na temat tego, jak te systemy można atakować. Jeśli wiemy, jak można je atakować, to będziemy potrafili budować różnego rodzaju polityki bezpieczeństwa.
Zapory, systemy zabezpieczeń.
Tak. Wkraczamy tu w zupełnie nowy obszar. Tak naprawdę bezpieczeństwo systemów sztucznej inteligencji się dopiero rodzi. Jest to obszar moich zainteresowań naukowych, ale osobiście jestem przerażony tym, z jaką łatwością te systemy można atakować. Muszę stwierdzić, że na poziomie regulacji to my jeszcze niczego nie mamy tak naprawdę. Niby wydźwięk tej tematyki pojawił się w unijnym akcie o sztucznej inteligencji (AI act), ale dotyczy on trochę innej sfery.
Jakby Pan mógł na koniec podsumować: czy jesteśmy wystarczająco przygotowani na cyberwojnę lub poważne cyberataki?
To jest trudne pytanie. My tak naprawdę tego nie wiemy, zwłaszcza, że dotykamy takiej tematyki, która jest objęta ustawą o ochronie informacji niejawnej.
Czyli wracamy do mojego pierwszego pytania, które Panu zadałam, a Panu ciężko było na nie odpowiedzieć: na ile Pan ocenia poziom cyberbezpieczeństwa naszego kraju.
I ja na nie Pani nie odpowiem. Natomiast możemy zakończyć rozmowę taką konstatacją, a raczej rekomendacją dla zwykłego obywatela czy studenta: jeśli funkcjonujemy w cyfrowym świecie, jesteśmy w nim zanurzeni totalnie z naszymi smartfonami, laptopami, korzystamy z tych urządzeń na co dzień poprzez serwisy informacyjne, strony www, media społecznościowe i sztuczną inteligencję, to nie wyobrażam sobie racjonalnego funkcjonowania bez rozpoznawania zagrożeń. Kłania się więc nauka i bycie na bieżąco z różnymi wektorami ataków.
Na koniec chciałbym jeszcze rekomendować zdrowy rozsądek, krytyczne myślenie i pewną wstrzemięźliwość, swego rodzaju higienę cyfrową. Powinniśmy zachować dużą nieufność w kontekście serwowanych treści. Jeśli możemy nie korzystać z systemów cyfrowych, jeśli nie jest to uzasadnione naszą pracą, szkołą, innymi obowiązkami, to należy bezwzględnie tonować to nasze uwikłanie w świat cyfrowy.
Dziękuję za tę pasjonującą rozmowę.
Polskie firmy na drugim miejscu w UE pod względem liczby cyberataków
Prawie co trzecia polska firma doświadczyła incydentu cyberbezpieczeństwa w 2024 r., co stanowi drugi najwyższy odsetek w Unii Europejskiej – wynika z raportu opublikowanego w kwietniu 2025 r. przez Eurostat. Według raportu „Cyfryzacja w Europie” 32% firm w Polsce doświadczyło w zeszłym roku zakłóceń, takich jak przerwy w świadczeniu usług, utrata danych lub wycieki poufnych informacji. Więcej incydentów zgłosiły tylko fińskie firmy, których ucierpiało 42%. Na trzecim miejscu po Polsce znalazła się Malta ze wskaźnikiem 29%. Średnia w UE wyniosła 22%, przy czym najniższy odsetek odnotowano w Austrii, Słowenii, Bułgarii i Słowacji – po 12%. Pomimo zagrożeń tylko 83% polskich firm wdrożyło co najmniej jeden środek ochrony cyberbezpieczeństwa, co plasuje się poniżej średniej UE wynoszącej 93%. Badania Eurostatu opierały się na ankietach przeprowadzonych wśród 157 000 firm w UE zatrudniających co najmniej 10 osób, a także jednoosobowych działalności gospodarczych.
Źródło: Digitalisation in Europe – 2025 edition – Interactive publications – Eurostat
