Polskie urzędy gminne stały się w 2026 roku jednym z ulubionych celów grup ransomware. 23 czerwca ofiarą padł Urząd Miejski w Nowej Rudzie w powiecie kłodzkim — złośliwe oprogramowanie zaszyfrowało część danych na komputerach pracowników i w środowisku wirtualizacyjnym obsługującym systemy urzędu. Co gorsza, urząd nie wyklucza, że dane trafiły także w niepowołane ręce. To już czwarty taki incydent w pierwszej połowie roku, po atakach w Obrazowie, Myszkowie i Lewinie Kłodzkim.
Co dokładnie się stało
Atak ransomware polega na tym, że przestępcy dostają się do sieci ofiary, a następnie szyfrują pliki, żądając okupu za ich odblokowanie. W Nowej Rudzie zaszyfrowane zostało nie tylko stanowisko pojedynczego pracownika, ale również warstwa wirtualizacji, na której działały kluczowe systemy informatyczne urzędu. W praktyce oznacza to paraliż codziennej pracy administracji i ryzyko utraty danych, jeśli kopie zapasowe również zostały objęte atakiem.
Urząd zareagował zgodnie z procedurą: odłączył serwery od sieci i zgłosił sprawę do CSIRT NASK, Policji oraz Urzędu Ochrony Danych Osobowych. Na pochwałę zasługuje szybkie i otwarte poinformowanie mieszkańców — w przypadku wielu wcześniejszych incydentów komunikacja bywała znacznie bardziej zachowawcza.
Dlaczego to groźne dla mieszkańców
Najpoważniejszym aspektem nie jest sam paraliż urzędu, lecz zakres danych, które mogły wyciec. Mowa o pełnym zestawie informacji umożliwiających kradzież tożsamości: imię i nazwisko, adres, data i miejsce urodzenia, numer PESEL, seria i numer dowodu osobistego, numer telefonu, adres e-mail, a nawet imiona rodziców. Mając taki komplet danych, przestępca może próbować wyłudzić kredyt, podpisać umowę na czyjeś nazwisko albo skuteczniej podszywać się pod ofiarę w atakach socjotechnicznych.
Dlatego nawet osoby, które nigdy nie były w Nowej Rudzie, powinny potraktować ten przypadek jako przypomnienie — wycieki z instytucji publicznych zdarzają się regularnie, a my rzadko mamy wpływ na to, jak chronione są nasze dane po drugiej stronie okienka.
Jak się chronić
Najważniejszym i darmowym krokiem jest zastrzeżenie numeru PESEL w aplikacji mObywatel lub w urzędzie. Od 1 czerwca 2024 roku instytucje finansowe mają obowiązek sprawdzać rejestr zastrzeżeń, więc na zastrzeżony PESEL nie da się legalnie wziąć kredytu.
Warto też zachować wzmożoną czujność wobec telefonów, e-maili i SMS-ów. Pamiętajmy, że ani bank, ani urząd nigdy nie poproszą o przelanie pieniędzy na „bezpieczne konto” ani o zainstalowanie aplikacji do zdalnego pulpitu, takiej jak AnyDesk czy TeamViewer. Jeśli dzwoni rzekomy konsultant, najlepiej rozłączyć się i samodzielnie zadzwonić na numer podany na oficjalnej stronie instytucji.
Dla samych organizacji lekcja jest jasna: kluczowe są odseparowane, regularnie testowane kopie zapasowe w modelu offline, segmentacja sieci, dwuetapowe uwierzytelnianie oraz bieżące aktualizacje urządzeń brzegowych, którymi przestępcy najczęściej wchodzą do sieci.
Podsumowanie
Atak na Nowa Rudę to kolejny dowód, że ransomware nie omija małych urzędów — wręcz przeciwnie, są one łatwiejszym celem niż duże korporacje. Dla zwykłego mieszkańca najlepszą reakcją jest zastrzeżenie PESEL-u i nieufność wobec niespodziewanych kontaktów. Dla instytucji — inwestycja w kopie zapasowe i podstawową higienę bezpieczeństwa, zanim zaszyfrowane dyski zmuszą do nauki na własnych błędach.