Koszmary cyberbezpieczeństwa 

Tematyka zagrożeń cyberbezpieczeństwa i potencjalnych skutków cyberataków to materiał na prawdziwy horror. Jednakże w przeciwieństwie do historii grozy rodem z „Draculi” Brama Stokera, zagrożenia są realne i stanowią nie lada wyzwanie dla wielu organizacji.  

Jakie typy ataków najczęściej spędzają sen z powiek tych, którzy są odpowiedzialni za cyberbezpieczeństwo w podmiotach objętych regulacjami NIS2? Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) przyjrzała się bliżej tej kwestii. W ramach ankiety obejmującej 1080 respondentów zajmujących się profesjonalnie kwestiami cyberbezpieczeństwa w organizacjach reprezentujących wszystkie sektory (podsektory) kluczowe określone w załączniku I do dyrektywy NIS2, z 27 państw Unii Europejskiej, ENISA zadała pytanie, jakie zagrożenia cyberbezpieczeństwa budzą największe obawy w perspektywie nadchodzących 12. miesięcy. Jak wynika z raportu opublikowanego w grudniu 2025 r., ankietowani wskazywali następujące zagrożenia (zaczynając od największego koszmaru): 

•  ataki typu „ransomware”,
• ataki na łańcuchy dostaw,  
• phishing,  
• pojawienie się nieznanych dotąd zagrożeń (w tym związanych z użyciem AI),  
• naruszenia bezpieczeństwa danych chmurowych, kont użytkowników,  
• zagrożenia wewnętrzne,  
• podatności aplikacji mobilnych/webowych,  
• ataki na przemysłowe systemy sterowania (OT/ICS),
• niebezpieczne komponenty oprogramowania/infrastruktury,  
• błędy ludzkie,  
• ataki typu DoS.  

Skutki incydentu bezpieczeństwa mogą być nieodwracalne. Pod koniec lutego 2026 r. media ujawniły, że we Francji doszło do bezprecedensowego wycieku danych osobowych w służbie zdrowia: 

• według wstępnych informacji medialnych wyciek mógł dotyczyć aż 15 milionów pacjentów, w tym osób publicznie znanych (liczba poszkodowanych nie jest jednak potwierdzona),  
• źródłem wycieku był atak na dostawcę oprogramowania używanego przez lekarzy i podmioty z sektora ochrony zdrowia,  
• dostawca oprogramowania przyznał, że incydent został wykryty pod koniec 2025 r., dotyczył kont użytkowanych przez 1500 lekarzy i obejmował takie dane ich pacjentów, jak: imiona, nazwiska, płeć, datę urodzenia, telefon, adres, adres poczty elektronicznej, a także komentarze lekarzy dotyczące np. stanu zdrowia pacjentów, ich sytuacji osobistej.  

Już samo ujawnienia takich danych stanowi szczególnie dotkliwe zagrożenie, gdyż danych raz ujawnionych nie można skutecznie „odzyskać”. Mogą one zostać wykorzystane przez różnych oszustów, złodziei, a także obce wywiady lub organizacje terrorystyczne. 

Dla uniknięcia takich koszmarów ustawodawca krajowy i unijny wprowadzają nowe regulacje w obszarze bezpieczeństwa informacji, np. NIS2. Dla podmiotów objętych NIS2 – zarówno z sektora ochrony zdrowia, jak i z innych branż – kluczowe jest opracowanie i wdrożenie systemu zarządzania bezpieczeństwem informacji, który zapewnia m.in.: 

• szacowanie ryzyka wystąpienia incydentu i zarządzanie tym ryzykiem,  
• wdrożenie odpowiednich środków technicznych i organizacyjnych,  
• zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi,
• zarządzanie incydentami,
• stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi. 

Jednym z elementów procesu przystosowania organizacji do wymagań #NIS2 i #UKSC jest weryfikacja procedur istniejących w organizacji pod kątem wypełnienia obowiązków ustawowych oraz audyt luk, w czym wspomagają Jarosław Straś, Mikołaj Prochownik, Andrzej Broniewski, Przemysław Strzępek.