„Zidentyfikowany został atak hakerski na Urząd Zamówień Publicznych. Cyberprzestępcy uzyskali dostęp do skrzynek poczty elektronicznej pracowników UZP oraz KIO (Krajowa Izba Odwoławcza - PAP). Incydent został zgłoszony do służb odpowiedzialnych za cyberbezpieczeństwo i podjęto wszystkie niezbędne działania związane z zapewnieniem bezpieczeństwa oraz ograniczenia skutków naruszenia. Trwają czynności operacyjne związane z ustaleniem sprawców” - napisał na platformie X Gawkowski.

Podkreślił, że liczba cyberataków z roku na rok wzrasta i stają się one coraz bardziej niebezpieczne. Minister zaznaczył, że wszystkie jednostki - zarówno instytucje publiczne, jak i firmy powinny stale przykładać najwyższą wagę do zabezpieczania dostępu elektronicznego do swoich systemów oraz działać zgodnie z zasadami ustanowionymi w Krajowym Systemie Cyberbezpieczeństwa.

„Przypominam, że działa już platforma - http://cyber.gov.pl - centralne miejsce do ochrony przed cyberzagrożeniami. W jednym miejscu udostępniane są praktyczne porady, aktualne ostrzeżenia oraz bezpłatne usługi ochrony” - dodał Gawkowski.

UZP: cyberprzestępcy uzyskali dostęp do skrzynek mailowych pracowników urzędu

„Informujemy, że 10 grudnia 2025 r. otrzymaliśmy informację, że doszło do naruszenia ochrony danych osobowych. (...) W systemie poczty elektronicznej Urzędu poprzez celowe i szkodliwe działanie cyberprzestępcy doszło do uzyskania dostępu do skrzynek e-mail pracowników Urzędu. Ustalenia techniczne wskazują na możliwość pobrania zawartych w nich wiadomości” – wskazano w komunikacie Urzędu Zamówień Publicznych.

UZP podał, że w skrzynkach tych znajdowała się korespondencja zawierająca dane osobowe.

„W zależności od charakteru prowadzonych spraw mogłyby się w niej znajdować różne kategorie danych, w tym dane identyfikacyjne i kontaktowe, informacje finansowe, a także inne dane przekazywane Urzędowi w ramach realizowanych zadań, np. w związku z kontrolami, skargami, wnioskami, postępowaniami odwoławczymi czy sprawami organizacyjnymi” – przekazał UZP.

Jak podkreślono w komunikacie, „na tę chwilę Urząd nie ma informacji, by dane te zostały udostępnione do wiadomości publicznej”.

Jakie mogą być konsekwencje cyberataku?

Wśród możliwych konsekwencji ataku UZP wymienił: utratę kontroli nad własnymi danymi osobowymi; próby podszycia się pod tożsamość w celu uzyskania korzyści finansowych (np. zaciąganie pożyczek w instytucjach pozabankowych); próby uzyskania przez osoby trzecie dostępu do świadczeń opieki zdrowotnej (w przypadkach, kiedy do uzyskania pomocy lekarskiej wystarczy podanie numeru PESEL) lub uzyskania wglądu do danych; próby wyłudzania przez osoby trzecie informacji finansowych (kiedy weryfikacja jest prowadzona jedynie przez podanie numeru PESEL).

Inne możliwe konsekwencje to: próby uzyskania dostępu do usług lub serwisów internetowych, w których stosowane jest potwierdzanie tożsamości za pomocą danych osobowych (np. PESEL, adres e-mail), podejmowanie działań w cudzym imieniu, takich jak zakładanie kont w serwisach internetowych, rejestrowanie kart prepaid; podszycie się pod inną osobę lub instytucję w celu wyłudzenia dodatkowych określonych informacji (np. danych do logowania, szczegółów karty kredytowej); wykonywanie innych czynności mogących wywołać skutki prawne, np. próby zawierania umów cywilnoprawnych (np. najmu nieruchomości); wyłudzenia, oszustwa lub tzw. ataki socjotechniczne (phishing); próby wykorzystania informacji zawartych w korespondencji e-mail.

UZP zapewnił, że po wykryciu incydentu niezwłocznie podjęto działania, by zdarzenie wyjaśnić, wdrożyć zabezpieczenia, które ograniczą skutki naruszenia oraz zapobiegną podobnym zdarzeniom w przyszłości.

„Zgłosiliśmy incydent zgodnie z ustawą o Krajowym Systemie Cyberbezpieczeństwa, usunęliśmy nieuprawniony dostęp i poświadczenia, wymusiliśmy zmianę haseł i odcięliśmy potencjalne kanały dostępu, zweryfikowaliśmy uprawnienia w systemach chmurowych i prowadzimy działania naprawcze w konfiguracji środowiska, wszczęliśmy wewnętrzne postępowania wyjaśniające, zgłosiliśmy naruszenie do Prezesa Urzędu Ochrony Danych Osobowych” – przekazał Urząd.

Jednocześnie UZP zarekomendował osobom, które się z nim kontaktowały, zmianę hasła do konta e-mail, które było do tego wykorzystywane, zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu lub telefonu, zachowanie szczególnej ostrożności wobec nieoczekiwanych wiadomości e-mail i telefonów, nieotwieranie podejrzanych linków ani załączników, monitorowanie aktywności na rachunkach bankowych oraz w usługach elektronicznych, rozważenie założenia konta w systemie informacji kredytowej lub gospodarczej, rozważenie zastrzeżenia numeru PESEL oraz jak najszybsze poinformowanie właściwego podmiotu o każdej próbie wykorzystania danych w sposób nieuprawniony.