Ataki komputerowe to sposób na zarabianie pieniędzy oraz osiąganie celów politycznych i wojskowych. Współczesne wojny toczą się w cyberprzestrzeni — mówi dr Joanna Świątkowska, która została sekretarz generalną European Cyber Security Organisation.
„Newsweek”: Gratuluję awansu. To był dzień triumfu czy raczej poczucia, że teraz trzeba się zmierzyć z wyzwaniami, o których mało kto mówi głośno?
Dr Joanna Świątkowska: I jedno, i drugie. Objęcie sterów najważniejszej europejskiej federacji prywatno-publicznej zajmującej się cyberbezpieczeństwem to olbrzymi zaszczyt. Ale poczucie dumy miesza się z olbrzymią odpowiedzialnością. Cyberbezpieczeństwo skupia jak w soczewce wszystko to, z czym mierzy się dziś Europa: jest tu konieczność przeciwdziałania zagrożeniom, także powiązanym z trudną sytuacją geopolityczną; są wyzwania ekonomiczne, związane m.in. z cyfryzacją i konkurencyjnością; rywalizacja technologiczna i miejsce Europy w tym wyścigu, a także konsekwencje rozwoju nowych technologii.
Cyberbezpieczeństwem zajmuje się pani od ponad 16 lat. Co było dla pani najtwardszą lekcją w tej dziedzinie?
— Najbardziej utkwił mi w pamięci atak Stuxnet ujawniony w 2010 r. Był to wyrafinowany cyberatak wymierzony w irański program nuklearny. Konsekwencją było uszkodzenie niemal 1000 wirówek do wzbogacania uranu, co opóźniło irański program atomowy. Świat przekonał się, że ataki cyfrowe mogą dokonywać szkód także w obszarze infrastruktury krytycznej. Myślę, że od tego momentu zmieniło się myślenie o roli cyberbezpieczeństwa w kontekście konfliktów międzynarodowych.
Jaki scenariusz realnego cyberataku spędza pani sen z powiek?
— Niestety, jest wiele scenariuszy takich ataków, które mogą mieć katastrofalne skutki. Proszę sobie wyobrazić atak ransomware na szpital: pewnego dnia wszystkie systemy informatyczne w takiej placówce stają w miejscu. Pierwsze sygnały to niedziałające komputery w recepcji, niemożność dostępu do historii pacjentów. Do tego awaria systemów wspierających operacje i monitorujących stan krytycznie chorych. Skutek? Wstrzymane przyjęcia, odwołane zabiegi i operacje oraz brak dostępu do kluczowych danych diagnostycznych. Lekarze są zmuszeni posługiwać się papierowymi notatkami. W najgorszym scenariuszu awaria sprzętu medycznego podłączonego do sieci, takiego jak respiratory czy pompy infuzyjne, może bezpośrednio zagrażać życiu pacjentów. W przypadku pilnych zabiegów to może prowadzić do tragedii.
Taki scenariusz jest przerażający. Ale choć w Polsce i Europie rośnie świadomość zagrożeń, wciąż wiele placówek medycznych nie jest odpowiednio przygotowanych. To problem braku m.in. wystarczających środków finansowych, procedur bezpieczeństwa.
Jaki typ ataku uważa pani dziś za największe zagrożenie dla Europy?
— Najbardziej niebezpieczne są ataki nakierowane na infrastrukturę krytyczną: energetykę, transport, zdrowie, wodę czy żywność. W obecnej sytuacji geopolitycznej wzrasta zagrożenie takimi działaniami, bo często sięgają po nie aktorzy państwowi. Pokazuje to choćby sytuacja w Ukrainie czy wzmożona liczba ataków na Polskę. Kilka tygodni temu wicepremier Krzysztof Gawkowski poinformował o udaremnieniu cyberataku na wodociągi w dużym polskim mieście.
Jak wyglądają kulisy pracy nad analizą cyberataku? To bardziej przypomina śledztwo kryminalne — szukanie śladów, łączenie punktów — czy medycynę ratunkową, kiedy najpierw trzeba zatrzymać krwotok, a później szuka się źródła problemu?
— Jeśli mówimy o analizie cyberataku, to mamy do czynienia z incydentem, który już się zdarzył. Wtedy rozpoczynamy od medycyny ratunkowej — trzeba zneutralizować atak i zabezpieczyć system, by nie doszło do dalszych zniszczeń. To domena działań zespołów typu SOC (Centrum Operacji Bezpieczeństwa). Gdy dochodzi do incydentu, analitycy SOC natychmiast izolują zaatakowane systemy, usuwają złośliwe oprogramowanie i przywracają działanie usług. Dopiero gdy system jest bezpieczny, zaczyna się etap śledztwa, które ma ustalić, co się stało i jak ulepszyć obronę na przyszłość.
Nie możemy jednak działać wyłącznie w trybie „pogotowia ratunkowego”. Musimy przewidywać ataki i im zapobiegać, zanim do nich dojdzie. Bardzo istotnym elementem jest monitorowanie sieci i systemów w poszukiwaniu podejrzanej aktywności. Tutaj na scenę wkracza CTI (Cyber Threat Intelligence), czyli wywiad o zagrożeniach cybernetycznych. CTI to raczej medycyna prewencyjna: zbieranie danych o potencjalnych atakujących, ich metodach, narzędziach i motywacjach. Zespoły bezpieczeństwa wykorzystują te informacje, aby zrozumieć wroga, wzmocnić obronę i przewidzieć atak na podstawie sygnałów ostrzegawczych.
W mediach czytamy o „AI”, „deepfake”, „ransomware” — dla zwykłego użytkownika to brzmi jak katalog strachów. Które z tych technologii faktycznie stanowią dziś zagrożenie dla obywateli?
— Niestety, nie są to wyłącznie straszaki. To realne wyzwania, coraz bardziej niebezpieczne. AI to technologia, która już rewolucjonizuje podejście do cyberbezpieczeństwa — zwiększa możliwości, skuteczność i tempo działań strony atakującej, ale też wzmacnia potencjał strony defensywnej. AI jest także bezpośrednio powiązana z deepfake’ami. To dzięki AI możliwe jest zbieranie ogromnych ilości danych (np. zdjęć i filmów danej osoby) i generowanie na ich podstawie realistycznie wyglądających treści. Takie fałszywe materiały audiowizualne mogą być wykorzystane do dezinformacji i manipulacji czy też do cyberataków opartych na inżynierii społecznej. Tradycyjna inżynieria społeczna opierała się na wiadomościach e-mail i fałszywych telefonach, deepfake zaś przenosi ją na zupełnie nowy poziom — kiedy widzimy znajomą twarz lub słyszymy znajomy głos, naturalnie wyłącza nam się tryb podejrzliwości.
Ransomware to z kolei cyfrowe „porwanie” danych, czyli ataki, w których przestępcy szyfrują pliki ofiary, a potem żądają okupu za ich odblokowanie. ESET, jedna z europejskich firm analizujących sferę cyberzagrożeń, podała, że w pierwszej połowie 2025 r. Polska znalazła się na pierwszym miejscu na świecie pod względem liczby wykrytych ataków ransomware. Wykryto u nas 6 proc. wszystkich globalnych incydentów, wyprzedziliśmy nawet USA.
Co jest piętą achillesową polskiego cyberbezpieczeństwa? Infrastruktura krytyczna, administracja, a może biznes prywatny?
— Za kluczowe musimy uznać cyberataki na infrastrukturę krytyczną. Duże problemy mają małe i średnie przedsiębiorstwa, którym często brakuje świadomości zagrożeń, odpowiednich zasobów oraz wiedzy na temat podstawowej cyberhigieny. Są one nie tylko łatwym celem dla cyberprzestępców, ale stają się także wektorem ataku na znacznie ważniejsze cele. Takie firmy świadczą przecież usługi na rzecz większych podmiotów, w tym czasami dla tych związanych z infrastrukturą krytyczną, więc ich słabe zabezpieczenia mogą posłużyć jako furtka do ataków na strategicznie ważniejsze cele, np. na łańcuchy dostaw.
Co jest największym grzechem firm w dziedzinie cyberbezpieczeństwa?
— Pasywność i traktowanie cyberbezpieczeństwa jako kosztu, a nie inwestycji.
Jak wygląda dziś typowy haker? To samotny geniusz w bluzie z kapturem, grupy powiązane z państwami czy raczej gangi działające dla zysku?
— Filmowy obraz zakapturzonego hakera nie oddaje tego, jak obecnie wyglądają cyberprzestępcy. To raczej członek wyspecjalizowanej grupy działającej jak profesjonalne przedsiębiorstwo. Można je z grubsza podzielić na trzy kategorie.
Pierwsza to grupy przestępcze działające dla zysku. Funkcjonują jak firmy, mają wyspecjalizowane działy (np. do tworzenia złośliwego oprogramowania, do negocjacji okupu). Nie tylko same dokonują ataków, ale też często sprzedają innym swoje usługi, np. do organizowania ataków ransomware (RaaS, Ransomware as a Service).
Druga kategoria to grupy powiązane z aparatami państwowymi. Często koncentrują się na szpiegostwie, kradzieży własności intelektualnej i destabilizacji infrastruktury krytycznej, by osiągnąć cele polityczne lub militarne.
Ostatnia grupa to hakerzy aktywiści. Ci działają z pobudek politycznych lub ideologicznych, by np. ujawnić dane lub zablokować strony internetowe w ramach protestu.
Czy jest ryzyko, że kolejne konflikty w Europie będą w większości rozgrywać się w cyberprzestrzeni?
— To już się dzieje. Proszę zobaczyć, jak istotnym komponentem wojny w Ukrainie stały się działania prowadzone w cyberprzestrzeni. Cyberataki są także stosowane w konfliktach prowadzonych poniżej progu wojny. Proszę choćby zwrócić uwagę na ostatnie informacje na temat wzrostu liczby wrogich działań nakierowanych na Polskę. Nasze Wojska Obrony Cyberprzestrzeni działają na pełnych obrotach. Na szczęście mamy tutaj do czynienia ze specjalistami światowej klasy.
Czy Europa ma kompetencje, by bronić się sama, czy wciąż jesteśmy mocno zależni od USA, jeśli chodzi o technologie, narzędzia, informacje wywiadowcze?
— Nie uważam, że naszym celem powinno być bezwzględne dążenie do działania w pojedynkę. Trzeba wzmacniać nasze własne zdolności, zasoby i redukować uzależnienie, niemniej nadal widzę konieczność współpracy z zaufanymi partnerami i sojusznikami. Im bardziej dzielimy się danymi i informacjami o zagrożeniach, tym bogatsza jest nasza wiedza i lepsze działania. Ograniczanie współpracy z sojusznikami to strzelanie sobie w kolano.
Europa rywalizuje cyfrowo z USA i Chinami. Czy mamy szansę grać w pierwszej lidze technologicznej?
— Tylko 13 proc. czołowych światowych firm z branży cyberbezpieczeństwa to przedsiębiorstwa europejskie. Nasze najbardziej innowacyjne start-upy regularnie opuszczają Europę w poszukiwaniu lepszych warunków do rozwoju. Te, które dochodzą do mocnej pozycji, często są przejmowane przez podmioty spoza Europy. Tylko w pierwszej połowie 2025 r. 21 proc. przejęć firm europejskich dokonały podmioty amerykańskie.
Jednak nie wolno załamywać rąk, trzeba działać, i to już. W dziedzinie cyberbezpieczeństwa Europa może odgrywać istotną rolę. Aby tak się stało, powinniśmy zidentyfikować nasze mocne strony. Jednym z możliwych kierunków jest cyberbezpieczeństwo systemów przemysłowych, tworzenie wyspecjalizowanych modeli językowych, rozwiązania z obszaru technologii kwantowych itd. Powinniśmy mocno inwestować w badania i rozwój, w najbardziej innowacyjne europejskie firmy. A także kupować, a tym samym realnie wspierać rozwiązania europejskie. Stymulowanie biznesu przez zamówienia publiczne to najlepsza droga, aby dawać firmom paliwo do wzrostu. Często Europejczycy mają świetne technologie, ale nie umieją się dobrze wypromować.
Co dziś blokuje rozwój europejskich firm?
— Jedną z przyczyn jest to, że cyfrowy rynek europejski wciąż nie jest jednolity, a jeśli chcemy konkurować np. z USA lub Chinami, musimy działać jako zjednoczona Europa. Dlatego ECSO chce uruchomić europejski prywatno-publiczny fundusz funduszy na rzecz cyberbezpieczeństwa.
Ostatnie lata przyniosły lawinę regulacji w obszarze cyberbezpieczeństwa. W ECSO uważamy, że wiele było koniecznych, jednocześnie widzimy, że należy je zharmonizować, uprościć i wdrażać bardziej efektywnie.
Jakie przepisy utrudniają ochronę przed cyberatakami, zamiast ją wzmacniać?
— RODO, Dyrektywa NIS2, Akt w sprawie cyberodporności, Akt o odporności cyfrowej sektora finansowego, Dyrektywa w sprawie odporności podmiotów krytycznych — wszystkie te regulacje wymuszają raportowanie incydentów cyberbezpieczeństwa. Podliczyliśmy, że może się zdarzyć scenariusz, w którym dla jednego incydentu konieczne będzie złożenie 16 zgłoszeń do różnych podmiotów. A przecież niektóre przepisy są wdrażane na różne sposoby przez państwa członkowskie UE, więc stopień komplikacji wzrasta. Czas poświęcony na takie formalności można by lepiej wykorzystać.
Co w tej pracy daje największą satysfakcję: kiedy uda się zablokować potencjalny atak, kiedy ECSO ma wpływ na decyzje polityczne?
— Największą satysfakcję daje mi budowanie i wspieranie społeczności. W ECSO wierzymy, że siła cyberbezpieczeństwa leży w zaufaniu i współpracy między ludźmi. Nasza społeczność CISO zrzesza ponad 600 ekspertów w dziedzinie cyberbezpieczeństwa z całej Europy, którzy dzielą się wiedzą, doświadczeniem i wspólnie pracują. Ogromną satysfakcję daje też fakt, że głos tych ekspertów słychać w debatach z decydentami, a to oznacza, że mają realny wpływ na kształtowanie polityki. W ten sposób nie tylko reagujemy na cyberzagrożenia, ale też budujemy bezpieczniejszą Europę.
Dr Joanna Świątkowska jest sekretarzem generalnym ECSO (Europejskiej Organizacji ds. Cyberbezpieczeństwa). W 2017 r. znalazła się w gronie 100 wschodzących gwiazd technologii Europy Wschodniej według „Financial Times”. W 2019 r. podczas Women in Tech Summit została wyróżniona jako jedna z top 20 kobiet w cyberbezpieczeństwie
Dr Joanna Swiatkowska
Foto: Archiwum prywatne
