Reagowanie na incydent cyberbezpieczeństwa rzadko zaczyna się od spektakularnego ataku. Częściej to fałszywy SMS, podejrzany załącznik, przejęte konto albo strona podszywająca się pod bank, kuriera czy platformę sprzedażową. W takim momencie liczy się szybka ocena sytuacji, właściwe zgłoszenie i zachowanie dowodów, bo to właśnie skraca czas reakcji i zwiększa szansę na zatrzymanie kampanii.
Ten tekst wyjaśnia, czym zajmuje się CERT Polska, kiedy warto z niego skorzystać, jak zgłaszać incydenty i co przygotować, żeby zgłoszenie naprawdę miało wartość operacyjną. Dorzucam też praktyczne wskazówki, które przydają się zarówno osobom prywatnym, jak i firmom.
Najważniejsze rzeczy, które warto wiedzieć zanim wyślesz zgłoszenie
- CERT Polska to krajowy zespół reagowania na incydenty, działający w strukturach NASK i obsługujący zdarzenia związane z polską siecią.
- Najczęściej warto zgłaszać phishing, smishing, malware, próby włamania oraz ataki DDoS.
- Najlepsze zgłoszenie to takie, które zawiera datę, opis, zrzuty ekranu, pełną treść wiadomości i inne techniczne ślady.
- W pilnych sprawach nie czeka się na „idealny komplet” danych, tylko wysyła wstępny opis od razu i dosyła szczegóły później.
- Brak natychmiastowego kontaktu zwrotnego nie oznacza, że zgłoszenie zostało zignorowane.
Czym jest CERT Polska i kiedy wchodzi do gry
CERT Polska to zespół reagowania na incydenty bezpieczeństwa komputerowego, czyli krajowy CSIRT odpowiedzialny za analizę, koordynację i ostrzeganie przed zagrożeniami w polskiej cyberprzestrzeni. Działa w strukturach NASK, a jego zadaniem nie jest „naprawa komputera”, tylko reagowanie na zdarzenia, które mają znaczenie dla bezpieczeństwa sieci, usług i użytkowników.
W praktyce oznacza to, że zespół przyjmuje zgłoszenia dotyczące incydentów, których źródło albo cel jest powiązany z domeną .pl, polskim dostawcą Internetu lub infrastrukturą działającą w kraju. Ja traktuję to jako ważne rozróżnienie: nie każdy problem techniczny trzeba zgłaszać do CERT-u, ale jeśli w grę wchodzą oszustwa, przejęcia kont, złośliwe domeny albo kampanie ataków, to właśnie tu powinna trafić informacja.
To także powód, dla którego warto myśleć o CERT Polska szerzej niż o pojedynczym formularzu kontaktowym. To element większego systemu obrony, który ma wyłapywać wzorce ataków i ograniczać ich zasięg, zanim jedna kampania rozleje się na setki kolejnych ofiar.
Jakie incydenty warto zgłaszać od razu
Według CERT Polska, w lutym 2026 roku zespół otrzymał 51,2 tys. zgłoszeń i zarejestrował 18,5 tys. incydentów bezpieczeństwa, a 96% obsłużonych przypadków stanowiły oszustwa komputerowe. To dobrze pokazuje skalę problemu: najwięcej szkód robią dziś nie „filmowe” włamania, tylko masowe kampanie podszywania się pod znane marki, urzędy i usługi.
| Zdarzenie | Przykład | Dlaczego warto zgłosić |
|---|---|---|
| Phishing | Fałszywa wiadomość o dopłacie do paczki, blokadzie konta albo „weryfikacji” bankowej | Pozwala szybciej blokować domeny i ostrzegać innych użytkowników |
| Smishing | SMS z linkiem do rzekomego przelewu, przesyłki lub dopłaty | Ułatwia tworzenie blokad i wzorców dla operatorów oraz systemów filtrujących |
| Malware | Podejrzany załącznik, instalator lub dokument, który uruchamia złośliwy kod | Pomaga powiązać próbę infekcji z szerszą kampanią i ograniczyć jej skutki |
| Włamanie lub próba włamania | Nieautoryzowane logowania, przejęte konto, zmiana haseł lub uprawnień | To zwykle materiał, który wymaga szybkiej analizy i zachowania śladów |
| DoS lub DDoS | Usługa staje się niedostępna przez przeciążenie ruchem | Incydent może mieć charakter destrukcyjny i wpływać na dostępność usług w kraju |
Jeśli masz tylko podejrzenie, zgłoś je i opisz możliwie precyzyjnie. W masowych kampaniach pojedynczy przypadek bywa brakującym elementem układanki, który pozwala zrozumieć, jak atak działa i jak go odciąć.
Jak zgłosić incydent bez zbędnej zwłoki
Najprościej skorzystać z formularza zgłoszeniowego CERT Polska, a w przypadku podejrzanych wiadomości SMS także z bezpłatnego numeru 8080. Ja polecam nie czekać z wysłaniem zgłoszenia na „idealny komplet” materiałów. Lepiej przekazać wstępny opis od razu, a potem dosłać brakujące elementy niż dać atakowi czas na rozprzestrzenienie się.
| Kanał | Kiedy użyć | Co przygotować |
|---|---|---|
| Formularz zgłoszeniowy | Większość incydentów: phishing, malware, włamanie, podejrzana domena | Opis zdarzenia, data i godzina, adres strony lub nadawcy, zrzuty ekranu, logi |
| SMS 8080 | Gdy chodzi o smishing, czyli fałszywą wiadomość tekstową z linkiem | Treść SMS-a, numer nadawcy, link, jeśli został wysłany, oraz kontekst zdarzenia |
Jeżeli w grę wchodzi szkoda finansowa albo przejęcie konta, równolegle warto myśleć o zawiadomieniu odpowiednich organów. Zgłoszenie do CERT-u i zgłoszenie na policję nie wykluczają się, a często wzmacniają się nawzajem, bo techniczny materiał trafia do dwóch różnych ścieżek działania.
Co przygotować przed wysłaniem zgłoszenia
Najlepsze zgłoszenia nie są najdłuższe, tylko najbardziej konkretne. W praktyce szukam w nich czterech rzeczy: czasu, dowodów, zakresu szkody i informacji kontaktowej. Bez tego nawet dobrze opisany incydent traci wartość operacyjną.
- Zrób zrzut ekranu z widoczną treścią zdarzenia, zanim coś zniknie albo zostanie zamknięte.
- Zachowaj pełną treść wiadomości e-mail lub SMS-a, najlepiej wraz z nagłówkami i linkami.
- Zapisz dokładną datę i godzinę, bo to pomaga korelować zdarzenia z logami systemowymi.
- Odnotuj, co zostało kliknięte, otwarte lub zainstalowane, nawet jeśli wydaje się to błahostką.
- Jeśli masz dostęp do logów, dołącz je lub wskaż miejsce, z którego można je pobrać.
- Nie czyść śladów przed zgłoszeniem. Czasem jedno usunięte powiadomienie kasuje informację, która była najcenniejsza.
W firmie dochodzi jeszcze jeden detal: dobrze jest od razu poinformować administratora lub zespół IT, żeby nie nadpisać logów i nie uruchomić niepotrzebnych automatycznych działań, które utrudnią analizę. Przy incydentach bezpieczeństwa pośpiech jest potrzebny, ale chaotyczne „sprzątanie” zwykle tylko szkodzi.
Czego możesz oczekiwać po reakcji zespołu
CERT Polska nie działa jak komercyjny helpdesk i nie obiecuje stałych aktualizacji statusu. Zgodnie z praktyką zespołu zgłoszenie jest analizowane, a jeśli potrzebne są dodatkowe dane, ktoś może się odezwać z pytaniem uzupełniającym. Jeśli sprawa wymaga przekazania dalej, trafia do właściwego podmiotu w kraju albo za granicą.
| Obszar | Co zespół robi | Czego nie warto oczekiwać |
|---|---|---|
| Analiza zgłoszenia | Sprawdza materiał, porównuje go z innymi zgłoszeniami i wyciąga wzorce ataku | Natychmiastowego telefonu zwrotnego w każdej sprawie |
| Wsparcie doradcze | Pomaga z podstawową oceną sytuacji i dalszym kierunkiem działania | Pełnej, komercyjnej obsługi bezpieczeństwa całej infrastruktury |
| Współpraca międzyzespołowa | Przekazuje sprawy tam, gdzie mogą zostać skuteczniej obsłużone | Śledzenia sprawy w czasie rzeczywistym przez zgłaszającego |
| Koszt | Podstawowa pomoc i porada są bezpłatne | Opłat za sam kontakt i zgłoszenie |
To ważne, bo wiele osób myli brak odpowiedzi z brakiem działania. W rzeczywistości cisza bardzo często oznacza, że przekazane dane były wystarczające, a zespół pracuje dalej na własnym poziomie analitycznym lub przekazał sprawę tam, gdzie powinna trafić.
Dlaczego ta ścieżka zgłaszania naprawdę ma znaczenie
Jak podaje CERT Polska, na początku 2026 roku na Listę Ostrzeżeń trafiło 35 tys. szkodliwych domen, a wpisy są blokowane na 6 miesięcy. To dobry przykład tego, że jedno poprawnie zgłoszone zdarzenie nie kończy się na indywidualnej sprawie, tylko może odciąć dostęp do całej kampanii oszustwa dla tysięcy kolejnych osób.
Z mojej perspektywy największą różnicę robi nie heroiczna reakcja, tylko powtarzalny proces. W domu wystarczy prosty nawyk: nie klikać, zachować wiadomość, zrobić zrzut ekranu i zgłosić sprawę od razu. W firmie dochodzi jeszcze procedura: jedno miejsce na zgłoszenia, jedna osoba odpowiedzialna za eskalację, archiwizacja logów i krótki przegląd po incydencie, który pokazuje, co trzeba poprawić.
Jeśli potraktujesz CERT Polska jako element codziennej higieny bezpieczeństwa, a nie ostatnią deskę ratunku, zyskasz coś praktyczniejszego niż jednorazową pomoc. Zyskasz szybszą reakcję, lepsze dowody i mniejsze ryzyko, że ten sam atak wróci za tydzień pod inną nazwą.
