Gdy ktoś myśli o cyberatakach, zwykle widzi banki, duże firmy i globalne organizacje. Tymczasem administracja lokalna od kilku lat pojawia się w statystykach jako jedna z najczęściej atakowanych grup podmiotów. Nie dlatego, że przestępcy mają coś szczególnego do miast, gmin czy powiatów. Samorządy pracują na bardzo wrażliwych danych mieszkańców, mają rozbudowane środowiska IT, a jednocześnie zwykle działają z ograniczonymi zasobami. W raporcie BlackFog za 2025 pojawia się kilka przykładów amerykańskich miast sparaliżowanych przez ransomware. Dane pokrywają się z obserwacjami firm zajmujących się analizą incydentów: tam, gdzie mamy przestarzałą infrastrukturę, ograniczone budżety i małe zespoły IT, tam ryzyko rośnie.
Głośne incydenty z ostatnich miesięcy
Dobrym punktem wyjścia są sytuacje opisane w raportach o cyberatakach na sektor publiczny. W St. Paul’s city government doszło do zablokowania systemów i utraty dostępu do danych po ataku Interlock, co zostało szeroko opisane w analizie CM-Alliance. Podobne problemy miały jednostki miejskie i hrabstwa opisane przez BlackFog, w tym McKinney, Tarrant czy Montréal-Nord, gdzie atakujący wykradali dokumenty mieszkańców, a urzędy musiały zawieszać usługi online
W Polsce obserwujemy te same zjawiska. Najwyższa Izba Kontroli w swoim raporcie dotyczącym cyberbezpieczeństwa w samorządach podkreśla, że większość urzędów nie ma pełnej inwentaryzacji zasobów, brakuje im polityk backupowych, a dostęp użytkowników często nie jest ograniczany zgodnie z zasadą najmniejszych uprawnień. W praktyce oznacza to, że gdy dojdzie do phishingu albo atakujący wykorzystają lukę w usługach zdalnego dostępu, skutki są poważniejsze niż powinny.
W 2025 głośno było także o incydencie w gminie Wisznia, gdzie pracownik upublicznił dane mieszkańców. Podobna sytuacja dotyczyła wycieku danych z Urzędu Marszałkowskiego w Lublinie, gdzie ujawniono adresy, numery PESEL, a nawet wysokość pensji. To nie były ataki ransomware, ale pokazują typowe problemy: brak kontroli dostępu i brak świadomości, jak wyglądają przepływy danych w systemach urzędu.
Dlaczego środowiska samorządowe są tak podatne
Jeśli rozebrać typową sieć samorządową na części, to widać kilka powtarzających się wzorców:
Przestarzała infrastruktura
W wielu jednostkach działają systemy, które nie mają aktualizacji od lat. Część aplikacji jest krytyczna, ale opiera się na nieobsługiwanych wersjach Windowsa, starych bazach danych albo niestandardowych rozszerzeniach.
Brak segmentacji
Sieć często działa „w jednym worku”. Pracownik OPS-u ma logiczny dostęp do tej samej płaszczyzny sieciowej, z której korzysta urząd gminy. Jeśli ransomware trafi w jedną jednostkę, rozlewa się szybciej.
Zbyt szerokie uprawnienia
NIK wielokrotnie wskazuje, że użytkownicy mają uprawnienia administratorów lokalnych, a nawet domenowych. W praktyce oznacza to, że przejęcie jednego konta daje przestępcom startową pozycję jak w korporacji.
Słabe procesy backupowe
W wielu urzędach kopie bezpieczeństwa nie są odseparowane fizycznie i logicznie od środowiska produkcyjnego. Jeśli ransomware zaszyfruje serwer plików, trafia również w zasób, na którym trzymane są backupy.
Brak logowania MFA
Często urzędy nadal nie mają zaimplementowanego MFA dla kont swoich pracowników. Brak MFA pozwala na łatwiejsze przejęcie konta.
Typowy scenariusz wejścia atakujących
Najczęściej zaczyna się od phishingu. Według analiz incydentów publikowanych przez firmy zajmujące się reagowaniem, brak MFA na poczcie i panelach VPN otwiera drogę do przejęcia sesji. W wielu urzędach pracownicy używają jednego hasła do kilku systemów, co bardzo ułatwia ataki typu credential stuffing.
Drugi wektor to luki w systemach zdalnych, np. VPN albo firewallach. Jeśli urząd korzysta ze starego firmware’u lub nie wykonuje aktualizacji, atakujący mogą przejąć panel administracyjny. Dalej idzie już szybko: pivot po sieci, skanowanie zasobów, enumeracja kont i w końcu wdrożenie ransomware lub exfiltracja danych.
Trzeci wariant to błędy ludzkie, czego przykłady mieliśmy w Polsce. Udostępnienie zasobów do internetu, źle ustawione uprawnienia dysków sieciowych albo błędne reguły firewalli prowadzą wprost do wycieku danych.
Skutki ataków
Samorząd nie działa jak firma, gdzie przestój kosztuje miliony. Tu problem jest inny: przestój unieruchamia mieszkańców. W opisanych incydentach urzędy przechodziły na pracę papierową, wyłączały BIP, przerywały wydawanie dowodów, nie mogły obsłużyć wniosków świadczeniowych. NIK zwraca uwagę, że wiele urzędów nie ma planów ciągłości działania i dopiero incydent zmusza je do opracowania czegokolwiek.
Do tego dochodzą koszty odtworzenia zasobów, informowania mieszkańców o wyciekach, możliwe kontrole UODO i straty wizerunkowe.
Minimalna strategia bezpieczeństwa dla gminy
Na poziomie technicznym minimalny zestaw powinien wyglądać tak:
Wdrożenie MFA
Konfiguracja MFA dla kont pracowników powinna być pierwszym działaniem. MFA powinno obowiązywać zarówno dla kont domenowych jak i serwisów www. Do tego celu można wykorzystać klucze sprzętowe FIDO, np. Yubikey.
EDR/XDR na stacjach roboczych i serwerach
Proste antywirusy nie zauważają nowoczesnych kampanii. Wdrożenie systemu XDR pomoże wykryć nowe, niestandardowe zagrożenia np. poprzez monitorowanie systemu plików.
Segmentacja sieci
Wydzielenie jednostek, odseparowanie serwerów krytycznych, postawienie barier logicznych.
Backup offline
Dwupoziomowe kopie zapasowe, przechowywane w sposób uniemożliwiający ich nadpisanie przez atakującego.
Szkolenia użytkowników i symulacje phishingowe
To nie banał, w administracji lokalnej ruch mailowy jest ogromny i filtruje się tam dziesiątki tysięcy wiadomości tygodniowo. Świadomość pracowników zmniejsza skuteczność phishingu.
Rekomendacje dla władz samorządowych
Samorządy pracują dziś w trudnym środowisku: ograniczone zasoby, rosnące oczekiwania mieszkańców i coraz bardziej zaawansowane grupy przestępcze. Ataki, o których czytamy w raportach i w mediach, nie są wyjątkami, ale powtarzającym się scenariuszem. Gmina, powiat czy urząd marszałkowski nie musi mieć wielkiego budżetu, żeby znacząco poprawić swoje bezpieczeństwo.
Z perspektywy decyzji zarządczych kluczowe są proste działania:
- Powierzenie odpowiedzialności jednemu stanowisku (nie „wszyscy w IT”).
- Wymuszenie MFA do wszystkich systemów pocztowych i zdalnych.
- Wdrożenie XDR na stacjach roboczych pracowników.
- Wprowadzenie planu ciągłości działania i jego testowania.
- Regularny przegląd zasobów i usług wystawionych do internetu.
Tyle wystarczy, żeby nie być najłatwiejszym celem.
| Źródła |
|---|
|
|
Twoja organizacja polega na IT bardziej niż się wydaje
Jeśli po tym artykule masz poczucie, że warto pogłębić temat lub przejrzeć konkretne konfiguracje, możesz omówić to z zespołem Cloudcomp.pl. Bez zobowiązań. Czasem taka rozmowa układa wiele rzeczy w głowie.
Porozmawiajmy
