Polska elita polityczna to – oprócz 460 posłów i 100 senatorów – około 55 ministrów, wiceministrów, sekretarzy i podsekretarzy stanu bez mandatu poselskiego. Do tego grona należy dodać też współpracowników, czyli ok. 1550 asystentów parlamentarnych - płatnych pracowników biur poselskich, aż 3800 asystentów społecznych i 900 doradców i asystentów ministerialnych. Liczby te wahają się rok do roku, ale co do zasady należy przyjąć, że łącznie daje to grupę nawet 7 tys. osób, które mają dostęp do poufnych dokumentów, służbowych maili czy mediów społecznościowych polityków. Każda z nich to potencjalny cel cyberataków.

Szkolenia VIP w NASK. Na czym polegają i kto może wziąć udział

Po aferze z wyciekiem maili Michała Dworczyka w 2021 roku b. minister cyfryzacji Janusz Cieszyński zlecił CERT Polska (część NASK - Naukowej Akademickiej Sieci Komputerowej) prowadzenie specjalnych szkoleń dla tzw. grupy VIP, czyli całego polskiego zaplecza politycznego. Program trwa nadal. Udział w szkoleniach jest całkowicie dobrowolny.

- Szkolenia prowadzimy w systemie jeden na jeden. Można powiedzieć, że to takie "korepetycje". Całość trwa około półtorej godziny i dotyczy budowania świadomości na temat cyberzagrożeń - wyjaśnia DGP kierowniczka zespołu ds. szkoleń specjalistycznych w NASK Anna Maj.

W ciągu czterech lat NASK przeszkolił w ten sposób prawie 2000 VIP-ów.To mniej niż 30 proc. całego zaplecza politycznego. Z prowadzonych przez NASK statystyk wynika, że w 2023 r., przed wyborami parlamentarnymi, przeszkolono 294 osoby. W 2024 r., gdy do Sejmu weszło wielu nowych posłów i posłanek, liczba ta wzrosła do 592. Jednak już w 2025 r. zainteresowanie drastycznie spadło: w szkoleniu udział wzięło zaledwie 258 osób. To mniej niż połowa wyniku z poprzedniego roku i jedynie 3,7 proc. całej grupy z prawie 7 tys. osób szczególnie narażonych na cyberataki.

Szkolenia obejmują asystentów polityków

NASK stara się docierać do polityków przez kluby parlamentarne i promocję w Sejmie, ale ostateczna decyzja należy do samych zainteresowanych. - Jeśli już ktoś bierze udział w naszym szkoleniu, to często zdarza się, że później poleca je innym. Natomiast zdajemy sobie sprawę z tego, że ta grupa to osoby bardzo zajęte, więc staramy się do nich docierać i się dostosować do ich kalendarza - tłumaczy Anna Maj.

Szkoleniami objęci są również asystenci polityków. – Często mediami społecznościowymi posłów i posłanek zarządzają ich asystenci, dlatego są ujęci w grupie, którą szkolimy - podkreśla.

Phishing spersonalizowany i kampanie socjotechniczne wobec polityków

Jednorazowe szkolenie z pewnością jest lepsze niż żadne, ale czy wiedza z 2021 r. jest aktualna pięć lat później? – Idealnie gdyby szkolenie odbywało się co roku. Cyberprzestępcy często stosują te same mechanizmy, ale zmieniają scenariusze. Ale myślę, że nawet jedno spotkanie może wiele zmienić. Jeśli ktoś już wie, że jednym z mechanizmów socjotechnicznych jest wzbudzanie silnych, skrajnych emocji, to zapali mu się ostrzegawcza lampka, gdy taką wiadomość otrzyma – wyjaśnia Maj.

Uczestnicy mogą też kurs powtórzyć. – Zachęcamy do tego. To jest dla nas grupa VIP-owska - osoby szczególnie narażone na różne cyberataki - zapewnia rozmówczyni DGP.

Kluczowy element szkolenia to cyberhigiena. – Skupiamy się na tym, żeby oddzielać sprawy prywatne od służbowych. By każdy użytkownik – np. poseł i asystent - miał własny profil do logowania się, nawet jeśli korzystają z tego samego urządzenia. Zalecamy też dwuskładnikowe uwierzytelnianie - wylicza Anna Maj. - Mówimy też o najnowszych kampaniach phishingowych i socjotechnice, czyli phishingu spersonalizowanym – dodaje.

Phishing spersonalizowany, jak wyjaśnia Maj, to rodzaj ataku wykorzystującego środowisko ofiary, publicznie dostępną wiedzę na jej temat. - Chodzi np. o osoby z najbliższego otoczenia, by uderzyć w tę, która jest głównym celem - tłumaczy. Może być to rzekomy SMS od partnera czy partnerki, mail od asystenta czy wiadomość od znajomego.

Cyfrowy ślad i media społecznościowe jako źródło ryzyka

Trenerzy NASK uczulają też na to, by nie zostawiać w sieci cyfrowego śladu. Odnosi się to do publikowania zdjęć z metadanymi lokalizacji, screenów z tras z aplikacji do biegania czy udostępniania informacji o swoim położeniu w mediach społecznościowych. - Chodzi o wypracowanie świadomości zarządzania swoim cyfrowym śladem, trzeba zdawać sobie sprawę z możliwych konsekwencji - zaznacza kierowniczka zespołu.

Maj przyznaje, że przeszkoleni VIP-owie rzadko wracają do NASK z problemami czy pytaniami. – To się zdarza, ale nie jest to częste. Niemniej po szkoleniu wiedzą już, gdzie zgłaszać incydenty. Jeśli np. dostali phishingowego SMS-a, wiedzą, co z nim zrobić - mówi.

Bezpieczeństwo cyfrowe polskiej klasy politycznej wciąż opiera się bardziej na dobrej woli niż systemowych rozwiązaniach. W sytuacji, gdy cyberataki coraz częściej stają się elementem wojny informacyjnej i narzędziem wpływu politycznego, luka ta staje się problemem nie tylko personalnym, ale i państwowym. Dopóki cyberhigiena pozostaje kwestią fakultatywną, a nie standardem pracy w instytucjach publicznych, skala ryzyka będzie rosła. Zwłaszcza że – jak podkreślają trenerzy CERT Polska – to nie zaawansowane narzędzia, lecz proste błędy użytkowników wciąż najczęściej otwierają drzwi cyberprzestępcom.