Miliardy na cyfryzację, a mObywatel wciąż pada. Dlaczego?

Ministerstwo Cyfryzacji może pochwalić się imponującymi liczbami: 4 mln złotych na wzmocnienie krajowego systemu cyberbezpieczeństwa w 2025 r., kolejne 271 mln na program Cyberbezpieczny Rząd, a do tego 350 mln złotych na modernizację administracji publicznej. Na papierze wygląda to jak cyfrowa rewolucja, w praktyce jednak przypomina raczej próbę gaszenia pożaru wiadrem wody.

Statystyki mówią same za siebie: w 2024 r. zgłoszono aż 627 339 potencjalnych incydentów cyberbezpieczeństwa - o 60 proc. więcej niż rok wcześniej. Z kolei rzeczywistych naruszeń było 111 660, co oznacza wzrost o 23 proc. rok do roku. Te liczby nie pozostawiają złudzeń - cyberwojna toczy się na pełnych obrotach, a polska cyfrowa twierdza przypomina bardziej dom z kart niż nowoczesną fortecę. Szczególnie niepokojący jest fakt, że liczba incydentów poważnych - mających wpływ na ciągłość działania instytucji - wzrosła o 57 proc., a w sektorze publicznym aż o 58 proc.

Czytaj też:

Atak na aplikację mObywatel w ostatnim dniu składania deklaracji podatkowych nie był przypadkowy. Hakerzy, prawdopodobnie powiązani z Rosją lub Białorusią, wybrali moment maksymalnego obciążenia systemu, by wywołać największy chaos. Masowy atak DDoS na System Rejestrów Państwowych rozpoczął się około godziny 9:00, paraliżując dostęp do kluczowych e-usług między 10:00 a 11:00.

Jeszcze bardziej bulwersującym przykładem zaniedbań w cyberbezpieczeństwie był kwietniowy wyciek danych z Internetowego Konta Pacjenta. Między 19 a 25 kwietnia krytyczna luka w zabezpieczeniach IKP pozwalała na nieautoryzowany dostęp do elektronicznej dokumentacji medycznej poprzez... ręczną modyfikację adresu URL w przeglądarce.

Jeden użytkownik zdołał w ten sposób uzyskać dostęp do dokumentacji medycznej czterech innych osób, w tym danych wrażliwych jak numery PESEL, adresy zamieszkania czy informacje o stanie zdrowia. Problem dotyczył wprawdzie tylko jednego szpitala, ale ujawnił fundamentalną słabość całego systemu – brak należytej weryfikacji uprawnień użytkowników.

Podczas konferencji KIKE 2025 minister Gawkowski z dumą prezentował plany cyfryzacji, mówiąc o Polsce jako o najbardziej atakowanym kraju w UE. To prawda - cyberprzestępcy rzeczywiście szczególnie upodobali sobie polską infrastrukturę krytyczną, atakując systemy transportowe, energetyczne, wodociągowe czy służby zdrowia. W pierwszym kwartale 2025 roku padł ofiarą ataków nawet system sprzedaży biletów kolejowych.

Paradoksalnie im więcej miliardów przeznaczamy na cyberbezpieczeństwo, tym więcej problemów napotykamy. Czy to nie przypomina sytuacji, w której kupujemy coraz droższe zamki do domu, ale zapominamy zamknąć okna? Polska wciąż nie zdołała implementować dyrektywy NIS2, mimo że termin minął już w październiku 2024 r. Ministerstwo Cyfryzacji wprawdzie intensywnie prowadzi prace nad nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa, ale w międzyczasie cyberprzestępcy nie czekają na polskie przepisy.

Trudno oprzeć się wrażeniu, że kolejne zapowiedzi wzmocnienia cyberbezpieczeństwa służą bardziej poprawie wizerunku rządu niż rzeczywistemu rozwiązaniu problemów. Gdy minister mówi o fundamencie zaufania do państwa, miliony obywateli pamiętają ostatnią awarię mObywatela lub doniesienia o wycieku danych medycznych.

Program Cyberbezpieczny Rząd ma zapewnić 350 milionów złotych na modernizację systemów, ale czy te pieniądze trafią tam, gdzie są naprawdę potrzebne? Czy kolejne miliony nie przepadną w biurokratycznym labiryncie, podczas gdy podstawowe błędy w zabezpieczeniach pozostaną nienaprawione?

Polska potrzebuje nie tylko większych budżetów na cyberbezpieczeństwo, ale przede wszystkim kompetentnego zarządzania już posiadanymi środkami. Bo co z tego, że zainwestujemy miliardy w najnowocześniejsze systemy obronne, jeśli nadal będziemy pozostawiać otwarte drzwi w postaci niewłaściwie skonfigurowanych serwerów czy braków w procedurach bezpieczeństwa?

Polska stoi przed cyberwojną, która toczy się 24 godziny na dobę, siedem dni w tygodniu. Nasi przeciwnicy - głównie grupy hakerskie powiązane z Rosją i Białorusią - nie przejmują się polskimi planami legislacyjnymi czy budżetowymi. Działają tu i teraz, wykorzystując każdą lukę w naszych systemach.

Żeby wygrać tę wojnę potrzebujemy nie tylko miliardów złotych, ale przede wszystkim rewolucji mentalnej. Cyberbezpieczeństwo nie może być dodatkiem do cyfryzacji - musi być jej fundamentem. Każda aplikacja, każdy system, każda usługa e-administracji musi być projektowana z myślą o bezpieczeństwie od pierwszego dnia.

Do tego czasu będziemy świadkami kolejnych awarii mObywatela, wycieków danych z IKP i ironicznych kontrastów między rządowymi deklaracjami a codzienną rzeczywistością polskiej cyberprzestrzeni. A miliardy na cyfryzację? Będą płynąć dalej - z różnym skutkiem.