Atak phishingowy, złośliwy załącznik, przejęte konto albo fałszywa strona banku to nie są sytuacje, w których warto czekać do jutra. W takich momentach liczy się szybkie rozpoznanie incydentu, zachowanie dowodów i przekazanie sprawy do właściwego zespołu. W praktyce patrzę na to jak na procedurę ratunkową dla cyberincydentu: im mniej chaosu na starcie, tym większa szansa na ograniczenie szkody. Ten tekst pokazuje, czym zajmuje się CERT Polska, kiedy zgłoszenie ma sens, jak je przygotować i kiedy oprócz zgłoszenia potrzebna jest też policja.
Najważniejsze fakty o zgłaszaniu incydentów w Polsce
- To zespół działający w NASK, który reaguje na incydenty bezpieczeństwa komputerowego i wspiera analizę zagrożeń.
- Warto zgłaszać phishing, malware, włamania, DDoS oraz fałszywe strony i kampanie wyłudzające dane.
- Zgłoszenie najlepiej wysłać jak najszybciej, z dowodami: zrzutami ekranu, logami, linkami i dokładnym czasem zdarzenia.
- Reakcja techniczna to nie to samo co postępowanie karne, więc przy szkodzie finansowej lub kradzieży danych często potrzebna jest też policja.
- Dobrze przygotowane zgłoszenie przyspiesza analizę i ułatwia ochronę innych użytkowników oraz organizacji.
Jak działa CERT Polska i w czym realnie pomaga
CERT Polska to dziś CSIRT NASK, czyli zespół działający w strukturach NASK, powołany do reagowania na incydenty bezpieczeństwa komputerowego. Formalnie jest jednym z trzech krajowych zespołów CSIRT obok CSIRT GOV i CSIRT MON, a jego rola jest bardzo konkretna: zbierać informacje o zagrożeniach, analizować je, ostrzegać i wspierać reakcję tam, gdzie w grę wchodzi realne ryzyko dla danych, usług albo infrastruktury.
Ja widzę w tym przede wszystkim centrum koordynacji, a nie „helpdesk od wszystkiego”. Zespół przyjmuje zgłoszenia, bada próbki, publikuje ostrzeżenia, skanuje wybrane serwisy na prośbę instytucji i firm oraz pomaga porządkować wiedzę o kampaniach oszustw.
Podstawowa pomoc i porada są dostępne bez opłat, ale nie oznacza to pełnej obsługi administracyjnej czy przejęcia odpowiedzialności za bezpieczeństwo całej organizacji. To ważne rozróżnienie, bo wielu ludzi oczekuje od zespołu tego, co daje zewnętrzny dostawca usług bezpieczeństwa, a to nie jest ten model.
Skala pracy pokazuje, że nie jest to niszowa infolinia. W 2025 roku zespół obsłużył ponad 260 tys. incydentów, a w lutym 2026 r. zarejestrował 51,2 tys. zgłoszeń i 18,5 tys. incydentów. To tłumaczy, dlaczego liczy się precyzja w zgłoszeniu i dlaczego zespół nie prowadzi „na żywo” indywidualnego monitoringu każdej sprawy. Skoro wiadomo już, jak działa ten mechanizm, trzeba jeszcze umieć rozpoznać sytuacje, w których zgłoszenie ma sens.
Jakie zdarzenia warto zgłosić od razu
Nie każdy dziwny mail wymaga alarmu, ale są sytuacje, w których zwlekanie tylko pogarsza sprawę. W praktyce zgłosiłbym wszystko, co wygląda na próbę wyłudzenia danych, rozprzestrzenianie złośliwego oprogramowania, włamanie albo zakłócanie usługi.
| Zdarzenie | Co zwykle widać | Dlaczego warto zgłosić |
|---|---|---|
| Phishing i smishing | Fałszywy e-mail lub SMS, link do „logowania”, podszycie pod bank, urząd, kuriera albo operatora. | To najczęstsza droga do kradzieży danych i pieniędzy, a jedna kampania zwykle atakuje wiele osób naraz. |
| Złośliwe oprogramowanie | Podejrzany załącznik, nietypowy plik, szyfrowanie danych, blokada systemu, dziwne procesy w tle. | Im szybciej trafi do analizy, tym łatwiej ograniczyć rozprzestrzenianie i zrozumieć mechanizm ataku. |
| Próba włamania lub przejęcie konta | Obce logowania, zmienione hasła, przekierowania w poczcie, nowe reguły skrzynek, dziwna aktywność konta. | To może być początek dalszego nadużycia, wycieku danych albo oszustwa wobec twoich klientów czy współpracowników. |
| Atak DoS lub DDoS | Strona nie odpowiada, usługa działa skokowo, pojawia się gwałtowny wzrost ruchu. | To już nie tylko problem techniczny, ale też dostępności usługi, reputacji i czasem ciągłości działania firmy. |
| Fałszywa strona lub domena | Strona łudząco podobna do oryginału, ale z inną domeną, zbierająca loginy, dane albo płatności. | Takie kampanie warto szybko ograniczać, bo często są elementem większej serii oszustw. |
Warto pamiętać o granicy, którą łatwo przeoczyć: zwykła irytacja to jeszcze nie incydent, ale podszycie się pod markę, wyłudzanie loginów czy atak na dostępność usługi już tak. Gdy chodzi o hosty w domenie .pl, serwery podłączone do polskiego dostawcy albo usługi używane publicznie, zgłoszenie ma szczególny sens. Z takiej listy łatwiej przejść do tego, jakie dane przygotować, żeby analityk nie musiał zgadywać.
Jak przygotować zgłoszenie, żeby analityk nie musiał zgadywać
Najwięcej czasu traci się nie na samym zgłoszeniu, tylko na odtwarzaniu śladów po fakcie. Ja zawsze polecam jedną zasadę: najpierw zabezpiecz materiał dowodowy, dopiero potem porządkuj komunikację z zespołem reagowania.
Zapisz ślady, zanim znikną
Zrób zrzuty ekranu, zachowaj oryginalny e-mail lub SMS, skopiuj linki i zanotuj dokładny czas zdarzenia. Jeśli to możliwe, nie kasuj wiadomości, nie czyść historii i nie otwieraj podejrzanego pliku drugi raz. W przypadku malware przyda się też informacja, na jakim urządzeniu wszystko się wydarzyło i czy problem dotyczył jednego konta, czy całego środowiska.
Dodaj dane, które skracają analizę
- pełna treść wiadomości albo opis fałszywej strony,
- adres nadawcy, domena, numer telefonu lub nazwa aplikacji,
- dokładna data i godzina,
- adresy URL i nagłówki wiadomości, jeśli je masz,
- nazwy plików, skróty kontrolne lub inne ślady techniczne,
- krótki opis skutku: utrata dostępu, wyłudzenie, blokada usługi, podejrzenie infekcji.
Przeczytaj również: Klauzula informacyjna RODO - Jak napisać ją poprawnie i bez błędów?
Nie wycinaj kontekstu
Jeśli w materiale są dane osobowe, dane służbowe albo informacje prawnie chronione, oznacz je wprost zamiast je przypadkowo usuwać. Zbyt agresywne anonimizowanie często zabiera najważniejszy trop: datę, ciąg linków albo treść komunikatu, po której da się rozpoznać kampanię. W praktyce lepiej zostawić materiał kompletny i opisać, które elementy są wrażliwe, niż zrobić z dowodu sterylny, ale mało użyteczny obrazek.
Jeśli brakuje części informacji, wyślij to, co masz, zamiast czekać na idealny zestaw danych. Oficjalne zalecenia wskazują też, by zgłaszać możliwie szybko, najlepiej nie później niż w ciągu 24 godzin od wykrycia incydentu. Dopiero taki pakiet pozwala przejść od emocji do analizy, a to prowadzi do pytania, co dzieje się po drugiej stronie formularza.
Co dzieje się po wysłaniu zgłoszenia
Po wysłaniu formularza nie dzieje się nic „magicznego” z minuty na minutę i to akurat jest normalne. Zespół najpierw klasyfikuje zdarzenie, potem sprawdza, czy ma dość materiału, a dopiero później decyduje, czy potrzebne są dodatkowe pytania, przekazanie sprawy dalej albo publikacja ostrzeżenia.
- Incydent trafia do wstępnej analizy.
- Sprawa jest przypisywana do odpowiedniej kategorii zagrożenia.
- Jeśli brakuje danych, zespół prosi o uzupełnienie.
- Gdy to konieczne, sprawa może trafić do innego CSIRT-u w Polsce albo za granicą.
- Wnioski mogą zasilić ostrzeżenia, raporty i statystyki, a niekoniecznie osobistą korespondencję z każdą osobą zgłaszającą.
To ważne, bo brak natychmiastowej odpowiedzi nie oznacza automatycznie, że sprawa została zignorowana. Często oznacza po prostu, że przekazany materiał był wystarczający albo że incydent został przekazany dalej tam, gdzie można działać skuteczniej.
Z perspektywy ochrony danych to również bezpieczniejszy model niż publiczne rozsyłanie szczegółów: informacje ze zgłoszeń są zabezpieczane, a raporty mają charakter zbiorczy. To prowadzi do najważniejszego praktycznego pytania: kiedy trzeba włączyć także policję.
Kiedy włączyć policję, a kiedy wystarczy zespół incydentowy
Tu najłatwiej popełnić błąd. Ludzie zakładają, że wystarczy jeden kanał kontaktu, a w praktyce cyberincydent często wymaga dwóch równoległych ścieżek: technicznej i formalno-prawnej.
| Sytuacja | Co robię najpierw | Dlaczego |
|---|---|---|
| Fałszywy SMS lub e-mail bez szkody finansowej | Zgłaszam do zespołu incydentowego i blokuję dostęp, hasła oraz sesje. | Liczy się szybkie ograniczenie kampanii i ochrona innych użytkowników. |
| Wyłudzenie pieniędzy, przejęcie konta bankowego, kradzież danych | Kontaktuję się z bankiem, zgłaszam incydent techniczny i składam zawiadomienie do policji lub prokuratury. | Tu dochodzi szkoda i materiał do postępowania karnego, więc sama reakcja techniczna nie wystarczy. |
| Atak na stronę firmową, urząd albo usługę publiczną | Uruchamiam reakcję techniczną, administratora, hosting i zgłoszenie do zespołu reagowania. | Najpierw trzeba przywrócić usługę i zabezpieczyć ślady, a potem ustalić dalsze kroki formalne. |
| Ransomware w firmie lub instytucji | Odłączam zainfekowany segment, zgłaszam incydent i zabezpieczam materiał dla śledczych. | To zwykle jeden z tych przypadków, w których dowody znikają bardzo szybko, jeśli nikt ich nie zabezpieczy. |
| Włamanie do poczty lub wyciek danych osobowych | Zmiana haseł, MFA, analiza logów, zgłoszenie techniczne i często także zawiadomienie o przestępstwie. | Tu stawką jest nie tylko dostęp, ale też dalsze wykorzystanie danych przez osoby trzecie. |
Jeżeli doszło do kradzieży pieniędzy, przejęcia danych albo innej szkody, samo zgłoszenie techniczne zwykle nie zamyka sprawy. Wtedy potrzebne jest także zawiadomienie do organów ścigania, bo bez formalnego wniosku część spraw może w ogóle nie ruszyć w trybie procesowym. Innymi słowy: reakcja techniczna i postępowanie karne rozwiązują różne problemy, ale najlepiej działają razem. Jeśli chcesz ograniczyć chaos, zacznij jeszcze przed następnym incydentem.
Co zrobić przed kolejnym incydentem, żeby skrócić reakcję
Najlepszy moment na uporządkowanie procedury jest przed atakiem, nie po nim. W organizacji, a nawet w małej firmie czy domu, naprawdę robi różnicę kilka prostych nawyków.
- Włącz uwierzytelnianie wieloskładnikowe na poczcie, bankowości, panelach administracyjnych i kontach w chmurze.
- Trzymaj kopie zapasowe offline i testuj odtwarzanie, bo backup bez testu bywa tylko optymistycznym założeniem.
- Zapisz, kto odpowiada za zgłoszenie, kto zbiera logi i kto kontaktuje się z klientami lub użytkownikami.
- Nie trzymaj haseł w notatkach bez kontroli; lepiej używać menedżera haseł niż pamięci i przypadkowych plików.
- Ustal prosty szablon incydentu: czas, źródło, objaw, skutek, działania podjęte od razu.
Jeżeli miałbym zostawić jedną myśl, to tę: przy cyberincydencie nie wygrywa ten, kto działa najgłośniej, tylko ten, kto działa najczyściej. Zachowane dowody, szybkie zgłoszenie i jasny podział między zespołem technicznym, CERT-em oraz policją zwykle robią większą różnicę niż nerwowe kasowanie śladów i wielokrotne powtarzanie tych samych informacji.
