Wciąż potykamy się o własne sznurówki – Maciej Jan Broniarz o atakach ransomware i o SECURE 2026

Z jakimi oczekiwaniami przyjeżdża Pan na tegoroczną konferencję SECURE? Czego najbardziej brakuje dziś w rozmowie o cyberbezpieczeństwie i na jakie dyskusje szczególnie Pan liczy?    

To, na co na pewno liczę, to rozmowa poza moją bańką. SECURE to okazja do spotkania się z ludźmi, którzy na co dzień poruszają się w innym ekosystemie. My, specjaliści od cyberbezpieczeństwa, często funkcjonujemy w dość hermetycznym środowisku i patrzymy na wiele rzeczy tylko z własnej perspektywy. Dla nas rozwiązania wielu problemów są bardzo proste, a większość z nich można po prostu uniknąć. Tymczasem w kontakcie z organizacjami czy osobami zarządzającymi infrastrukturą okazuje się, że ich codzienne uwarunkowania są zupełnie inne i właśnie oczywiste rozwiązania przestają być tak oczywiste. Dlatego ten feedback jest szczególnie ważny.  

Konferencja SECURE to także miejsce do budowania fajnych relacji – często mniej formalnych. W praktyce każda taka znajomość kiedyś może okazać się bardzo cenna. 

A druga rzecz, która jest dla mnie istotna, to spojrzenie jak nasze środowisko zmieniło się po nowelizacji Krajowego Systemu Cyberbezpieczeństwa. To był bardzo wyczekiwany przez nas temat i budził duże oczekiwania. Interesuje mnie przede wszystkim, jak nowe regulacje przekładają się na codzienne funkcjonowanie organizacji – czy pierwsze efekty są już widoczne, czy może proces dopiero się rozpędza. Liczę, że podczas konferencji uda się uchwycić tę różnorodność doświadczeń i perspektyw. 

Czego uczestnicy mogą się spodziewać po Pana wystąpieniu na temat ataków ransomware? Jakie wyzwania widzi Pan w tym obszarze i czy takich ataków jest dużo? 

Moja firma przyjmuje średnio sto zgłoszeń rocznie, mniej więcej dwa tygodniowo. Faktycznie pracujemy nad ok. 70 przypadkami ataków ransomware każdego roku. To bardzo różna skala – czasem projekt trwa kilka dni, czasem miesięcy, jeden projekt rozpoczął się w lipcu ubiegłego roku. Dlaczego o tym mówię? Mając tak dużą próbkę do analizowania, mam mocne poczucie, że problem ransomware’u sami sobie generujemy. To nie jest ani nowa technologia, ani nowe zagrożenie, a my wciąż potykamy się o własne sznurówki.  

Kiedy patrzę, jak postępują firmy, które padły ofiarą ataku, to trochę tak, jakbym oglądał polską reprezentację podczas mundialu. Wiem dokładnie, co się stanie, jednak mam nadzieję, że coś poza tymi trzema meczami jeszcze się wydarzy. Tu jest podobnie – wierzę, że nie będzie firewalla bez aktualizacji od dwóch lat, że nie będzie dostępu do zdalnego pulpitu wystawionego do świata i że pracownicy księgowości nie będą pracowali z uprawnieniami administratora na kontrolerze domeny, bo ktoś tak kiedyś włączył na chwilę i od siedmiu lat sytuacja się nie zmieniła.  

O ile przy incydentach, których sprawcami są rosyjskie grupy APT, gdzie atak jest bardzo wysublimowany, o tyle w przypadku incydentów ransomware to są cały czas te same elementy, które zwykle różnią się kosmetyką. Problem w tym, że firmy nie wyciągają wniosków z tego, co zdarza się konkurencji, a my wciąż czytamy o kolejnym szpitalu, o kolejnym urzędzie miasta czy o kolejnej zaszyfrowanej fabryce i za każdym razem to są w zasadzie te same błędy. Gdyby firmy wkładały 20 proc. więcej wysiłku we własne bezpieczeństwo, to 80 proc. incydentów w ogóle by się nie wydarzyło. To nie jest też tak, że grupa ransomware za punkt honoru bierze sobie zaatakowanie fabryki opon na południu Polski, tylko jeśli widzi, że jest „klient do zrobienia”, to nie waha się ani chwili. Prawda jest taka, że sami się narażamy na wiele ataków przez zwykłe zaniedbanie.  

Tegoroczna edycja ma również wymiar jubileuszowy – zespół CERT Polska obchodzi 30-lecie działalności. Eksperci rozpoczynali od analiz kilkunastu incydentów w pierwszym roku działalności, aż po ponad ćwierć miliona w ubiegłym. Jak te liczby zmieniają nasze myślenie o cyberbezpieczeństwie? 

Bardzo się cieszę, że CERT Polska tak stabilnie rozwija się przez ostatnie 30 lat. To bardzo istotny i jasny element naszego systemu cyberbezpieczeństwa. Większość mojego życia zawodowego spędziłem na Uniwersytecie Warszawskim i współpraca zarówno w kontekście akademickim, jak i sektora publicznego układa się bardzo dobrze. 

Z mojego punktu widzenia CERT jest od lat bardzo dobrze zarządzaną instytucją. Znam wielu ludzi, którzy tu pracują lub pracowali. Znam też takich, którzy odeszli np. do bankowości czy telekomunikacji, ale po jakimś czasie wracali. W rozmowach przyznawali, że w CERT robili dużo ciekawsze rzeczy, a ich praca była ważna ze społecznego punktu widzenia. To nie jest bez znaczenia. 

Szczegółowa agenda SECURE 2026 dostępna jest tutaj.