Newsletter wydanie 25
Raport roczny CERT Polska
CERT Polska opublikował 3 kwietnia 2025 roku Raport roczny z działalności w 2024 roku, który przedstawia szczegółową analizę krajobrazu cyberbezpieczeństwa w Polsce. Dokument ten podsumowuje działania zespołu oraz najważniejsze zagrożenia, z jakimi mierzyli się użytkownicy polskiego Internetu w minionym roku., w tym m.in.:
Nowe kampanie phishingowe w 2024 roku
W 2024 roku zaobserwowano zarówno kontynuację znanych kampanii phishingowych, jak i pojawienie się nowych metod oszustw. Do najbardziej charakterystycznych należały:
- Oszustwo „na dziecko” przez WhatsApp – przestępcy podszywali się pod dzieci ofiar, informując o rzekomym zniszczeniu telefonu i prosząc o środki na nowy aparat. Często komunikacja odbywała się za pośrednictwem aplikacji WhatsApp, a oszuści stosowali różne techniki, by ominąć zabezpieczenia operatorów.
- Fałszywe wezwania na policję – cyberprzestępcy wysyłali wiadomości e-mail, podszywając się pod Komendanta Głównego Policji, oskarżając odbiorców o poważne przestępstwa i grożąc konsekwencjami prawnymi w przypadku braku reakcji. Celem było wyłudzenie pieniędzy pod pretekstem polubownego załatwienia sprawy.
- Naruszenie praw autorskich – nowa kampania polegała na wysyłaniu wiadomości informujących o rzekomym naruszeniu praw autorskich. Załączone pliki zawierały złośliwe oprogramowanie, które infekowało komputery ofiar po ich otwarciu.
Innowacyjne metody oszustw
Cyberprzestępcy w 2024 roku wykazali się również dużą kreatywnością poprzez:
- Kody QR w przestrzeni publicznej – oszuści umieszczali fałszywe mandaty za wycieraczkami samochodów lub naklejki na parkometrach z kodami QR, które prowadziły do stron wyłudzających dane płatnicze.
- Fałszywe weryfikacje CAPTCHA – atakujący wykorzystywali fałszywe formularze CAPTCHA, nakłaniając ofiary do wykonywania określonych kombinacji klawiszy, co prowadziło do uruchomienia złośliwego kodu na ich komputerach.
Które produkty były najbardziej podatne na ataki w 2024 roku?
W ww. raporcie rocznym CERT Polska za 2024 rok, znalazła się także szczegółowa analiza zgłoszeń dotyczących podatności w poszczególnych produktach. Szczególnie interesująca jest Tabela 2, zawierająca listę rozwiązań, których dotyczyło najwięcej wysyłanych przez CERT Polska powiadomień.
| Produkt | Liczba powiadomień |
| FortiOS | 3 070 |
| Really Simple Security | 1 693 |
| Zimbra | 778 |
| Cisco ASA | 647 |
| PAN-OS (Palo Alto) | 610 |
| QNAP | 561 |
| Microsoft Exchange | 395 |
| Zabbix | 365 |
| Webmin/Virtualmin | 340 |
| Ivanti | 339 |
Tabela 2 – Powiadomienia wysłane przez CERT Polska dotyczące podatności w poszczególnych produktach (RAPORT ROCZNY 2024 CERT Polska | Strona 24)
Co oznaczają te dane?
Liczby te reprezentują potwierdzone przypadki występowania znanych podatności w usługach lub urządzeniach, które zostały zidentyfikowane przez CERT Polska, m.in. za pomocą systemów automatycznego monitoringu i skanowania.
FortiOS, wykorzystywany m.in. w urządzeniach FortiGate, znalazł się na szczycie listy – co może wynikać zarówno z popularności tych rozwiązań w polskich instytucjach, jak i z kilku poważnych luk wykrywanych w 2024 roku (np. zdalne wykonanie kodu).
Na drugim miejscu znalazła się wtyczka Really Simple Security dla WordPressa, co pokazuje, jak często atakowane są również małe firmy i strony zbudowane na otwartych systemach CMS.
Produkty korporacyjne jak Zimbra, Exchange, Cisco ASA czy Ivanti nadal znajdują się na celowniku atakujących – podatności w tych systemach często umożliwiają przejęcie kont administratorów, eskalację uprawnień lub dostęp do skrzynek mailowych.
FortiOS – skuteczność wymaga dojrzałości operacyjnej
FortiOS – system operacyjny zarządzający urządzeniami Fortinet – to jedno z najczęściej wykorzystywanych rozwiązań bezpieczeństwa sieciowego w polskich organizacjach. Zgodnie z danymi zawartymi w raporcie CERT Polska za 2024 rok, FortiOS był najczęściej wskazywanym produktem w kontekście zgłoszeń podatności – odnotowano aż 3070 przypadków.
Taki wynik nie musi świadczyć o niskiej jakości samej technologii. FortiOS to rozwiązanie klasy enterprise, szeroko stosowane zarówno w sektorze publicznym, jak i prywatnym. Wysoka liczba zgłoszeń może wynikać przede wszystkim z jego dużej obecności na rynku, a także transparentności producenta w zakresie raportowania luk bezpieczeństwa.
To jednak tylko jedna strona medalu. Druga to realna gotowość organizacji do utrzymania takiego systemu w bezpiecznym stanie – co oznacza konieczność regularnego wdrażania aktualizacji, bieżącego monitorowania i dobrze ułożonych procesów operacyjnych.
Popularność to także odpowiedzialność
Systemy tak powszechnie wykorzystywane jak FortiOS stają się naturalnym celem dla cyberprzestępców. W połączeniu z szybko rozwijającym się środowiskiem podatności, organizacje korzystające z tego typu rozwiązań muszą działać błyskawicznie – aktualizować, monitorować, reagować.
Liczy się proces, kto i w jaki sposób zarządza systemem oraz czy organizacja dysponuje zasobami, które pozwalają reagować w czasie rzeczywistym.
W stronę proaktywnych modeli bezpieczeństwa
Coraz częściej można zauważyć przesunięcie akcentów w architekturach bezpieczeństwa – od klasycznej, brzegowej ochrony ku modelom opartym na prewencji, kontekście zachowań użytkowników oraz ochronie danych u źródła. To podejście pozwala wyprzedzać zagrożenia, a nie tylko na nie reagować. W wielu przypadkach zmniejsza ono także presję związaną z szybkim łataniem podatności typu zero-day.
Systemy, które wspierają administratorów w codziennym podejmowaniu decyzji (np. poprzez mechanizmy polityk, klasyfikację danych czy analizę kontekstową), okazują się szczególnie wartościowe tam, gdzie zespoły operacyjne nie są rozbudowane, a czas reakcji ma kluczowe znaczenie.
Cyberatak na systemy PO. Przypadek jednostkowy czy element szerszej strategii?
W ostatnich dniach doszło do poważnego cyberataku na systemy informatyczne Platformy Obywatelskiej. Zainfekowano komputery pracowników biura i sztabu wyborczego, co mogło skutkować przejęciem kontroli nad urządzeniami, kradzieżą danych i próbą manipulacji przekazem. Służby wskazują, że za atakiem mogą stać grupy powiązane ze wschodnimi służbami specjalnymi.
Rosnące zagrożenie dla procesów demokratycznych
Cyberataki na podmioty polityczne i administrację publiczną stają się coraz częstsze i coraz bardziej zaawansowane. Nie chodzi już tylko o zakłócanie działania systemów – ataki często mają na celu wpływanie na opinię publiczną, destabilizowanie procesów demokratycznych, a nawet wywoływanie dezinformacji. Przypadek PO to tylko jedno z ogniw szerszego łańcucha incydentów, które mają miejsce na całym świecie.
Dlaczego prewencja jest kluczowa?
Współczesne zagrożenia są trudne do wykrycia na czas, a ich skutki często stają się widoczne dopiero po fakcie. Dlatego ochrona przed cyberatakami musi opierać się przede wszystkim na działaniach prewencyjnych, takich jak:
- stosowanie wieloskładnikowego uwierzytelniania
- ciągłe monitorowanie aktywności użytkowników i systemów pod kątem nietypowych zachowań,
- szyfrowanie danych wrażliwych – zarówno w spoczynku, jak i w trakcie przesyłania,
- aktualizowanie oprogramowania i systemów operacyjnych, które często są pierwszym celem atakujących,
- edukacja użytkowników, szczególnie w zakresie rozpoznawania prób phishingu, socjotechniki i innych technik manipulacji.
Skuteczna ochrona nie opiera się wyłącznie na technologii. Kluczowa jest także kultura organizacyjna, w której bezpieczeństwo traktowane jest jako wspólna odpowiedzialność – nie tylko działu IT, ale wszystkich pracowników. Regularne szkolenia, jasne procedury reagowania i kanały zgłaszania podejrzanych zdarzeń powinny być standardem w każdej instytucji.
Incydent, który dotknął PO, nie powinien być traktowany jako sytuacja wyjątkowa – raczej jako kolejne ostrzeżenie, że infrastruktura informatyczna organizacji politycznych, instytucji publicznych i firm prywatnych musi być stale weryfikowana i wzmacniana. W czasach, gdy ataki są często elementem strategii państwowej, cyberbezpieczeństwo staje się integralną częścią bezpieczeństwa narodowego.
