Cyberbezpieczeństwo przestaje być dzisiaj wyłącznie zagadnieniem informatycznym, stając się jednym z podstawowych obowiązków organizacyjnych każdego podmiotu zarówno z sektora publicznego, jak i prywatnego.
W pierwszej części artykułu, która ukazała się w Inżynierze Budownictwa nr 1/2026 [1], wskazano podstawowe zachowania użytkownika warunkujące bezpieczeństwo w sieci teleinformatycznej, takie jak prawidłowe zarządzanie hasłami, ostrożność w korespondencji elektronicznej lub świadome korzystanie z publicznych sieci Wi-Fi. Praktyka funkcjonowania współczesnych systemów informatycznych pokazuje jednak, że indywidualna przezorność nie jest wystarczająca. Cyberbezpieczeństwo wymaga również działań o charakterze systemowym i organizacyjnym. Cyberhigiena nie może być zatem utożsamiana wyłącznie z katalogiem dobrych nawyków użytkownika końcowego. Stanowi ona szerszą kategorię obejmującą właściwe zarządzanie infrastrukturą informatyczną, danymi oraz uprawnieniami dostępowymi. W tym znaczeniu przybiera wymiar nie tylko techniczny, lecz również prawny i organizacyjny.
Szczególnego znaczenia nabierają trzy obszary: tworzenie kopii zapasowych, regularne aktualizowanie oprogramowania oraz stosowanie mechanizmów wieloskładnikowego uwierzytelniania i kontroli dostępu. To one decydują o rzeczywistej odporności systemów na incydenty bezpieczeństwa.
Fot. © sorin – stock.adobe.com
Jednym z najpoważniejszych zagrożeń dla podmiotów sektora nie tylko publicznego, ale też prywatnego pozostają ataki typu ransomware. Ich istotą jest zaszyfrowanie danych i żądanie okupu za przywrócenie dostępu do nich. O poziomie bezpieczeństwa decyduje wówczas możliwość odtworzenia danych z kopii zapasowej. Ocena prawna takiego działania winna zawsze uwzględniać przepis art. 268a § 1 (niszczenie danych informatycznych lub utrudnianie do nich dostępu1) oraz art. 287 § 1 (oszustwo komputerowe2) Ustawy z dnia 6 czerwca 1997 r. Kodeks karny [2] (dalej: k.k.). Backup przestaje być zatem udogodnieniem technicznym, a staje się podstawowym instrumentem zapewnienia ciągłości działania podmiotu.
>> Sztuczna inteligencja w opiniowaniu – szansa czy zagrożenie? Perspektywa biegłego
>> Prawne aspekty biometrii w świetle AI Act ze szczególnym uwzględnieniem sektora budownictwa
>> Kradzież tożsamości w świecie cyfrowym – analiza prawna w aspekcie uprawnień budowlanych
>> Ochrona danych osobowych osób i pracowników na budowie
>> Praca inżyniera ze sztuczną inteligencją. Na jakie przepisy powinien się on przygotować
Utrata dokumentacji projektowej, powykonawczej, kosztorysów, modeli BIM lub danych kontraktowych może prowadzić nie tylko do strat finansowych, lecz także do odpowiedzialności odszkodowawczej oraz administracyjnej.
Z perspektywy prawnej brak kopii zapasowych może zostać oceniony jako naruszenie obowiązku zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzania danych osobowych, o którym mowa w art. 5 ust. 1 lit. f oraz art. 32 rozporządzenia 2016/679 (RODO) [3]. Przepisy te wymagają wdrożenia środków technicznych i organizacyjnych zapewniających integralność oraz dostępność danych. Zgodnie z literalnym brzmieniem przepisu dane osobowe przetwarzane są w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem za pomocą odpowiednich środków technicznych lub organizacyjnych [4] („integralność i poufność”3). Wprost wskazuje się przy tym na zdolność do szybkiego przywrócenia dostępności danych w razie incydentu. Za dobrą praktykę należy uznać stosowanie zasady 3–2–1, polegającej na posiadaniu co najmniej trzech kopii danych, przechowywaniu ich na dwóch różnych nośnikach, utrzymywaniu przynajmniej jednej kopii offiine lub w innej lokalizacji.
Drugim filarem cyberhigieny jest systematyczne aktualizowanie oprogramowania oraz urządzeń wykorzystywanych w pracy zawodowej. W praktyce liczne incydenty naruszenia bezpieczeństwa wynikają nie z użycia wyrafinowanych technik, lecz z wykorzystania znanych podatności w nieaktualnych systemach. Każda aplikacja lub urządzenie zawiera określone luki bezpieczeństwa, które są sukcesywnie eliminowane przez producentów w drodze poprawek. Brak ich instalacji oznacza świadome pozostawienie infrastruktury w stanie podwyższonego ryzyka. Brak aktualizacji oprogramowania (ang. software patch management) niesie za sobą poważne konsekwencje prawne, administracyjne i cywilne, szczególnie w kontekście prowadzenia działalności gospodarczej oraz przetwarzania danych osobowych. Przestarzałe oprogramowanie (tzw. end of life lub brak poprawek bezpieczeństwa) jest najczęstszą przyczyną wycieków danych [5]. Wymóg stosowania adekwatnych zabezpieczeń wynika w szczególności z dyrektywy NIS 2 [6], która nakłada na podmioty kluczowe i ważne obowiązek przyjęcia szerokiego wachlarza podstawowych praktyk dotyczących cyberhigieny, takich jak aktualizacje. Także dbałość o aktualizację oprogramowania jest obowiązkiem operatorów usług kluczowych zgodnie z art. 8 ust. 5 lit. b ustawy o krajowym systemie cyberbezpieczeństwa [7]. W praktyce cyberhigiena powinna obejmować włączanie automatycznych aktualizacji systemów operacyjnych i aplikacji, bieżące instalowanie poprawek bezpieczeństwa, aktualizowanie oprogramowania sprzętu sieciowego oraz rezygnację z systemów niewspieranych przez producenta.
Trzecim elementem jest właściwa organizacja dostępu do zasobów informatycznych. Współcześnie samo hasło nie zapewnia wystarczającej ochrony, ponieważ dane logowania mogą zostać przejęte w wyniku phishingu lub wycieku. Dlatego coraz powszechniej stosuje się uwierzytelnianie wieloskładnikowe. Uwierzytelnianie wieloskładnikowe (MFA, ang. multifactor authentication), najczęściej realizowane w postaci uwierzytelniania dwuskładnikowego (2FA, ang. two-factor authentication), stanowi efektywną metodę ochrony dostępu do kont poczty elektronicznej oraz profili w serwisach społecznościowych. Mechanizm ten istotnie ogranicza możliwość przejęcia konta przez osobę nieuprawnioną, ponieważ nawet w przypadku ujawnienia hasła dostęp pozostaje zablokowany bez spełnienia dodatkowego czynnika uwierzytelniającego [8]. Uwierzytelnianie dwuskładnikowe (2FA) stanowi zatem mechanizm autoryzacji, w którym – poza wprowadzeniem hasła – wymagane jest zastosowanie dodatkowego czynnika uwierzytelniającego. Funkcję tę może pełnić m.in. jednorazowy kod przesyłany za pośrednictwem wiadomości SMS, aplikacja generująca kody uwierzytelniające lub rozwiązania biometryczne, takie jak identyfikacja twarzy lub weryfikacja odcisku palca. Zastosowanie drugiego składnika istotnie podnosi poziom ochrony dostępu, ograniczając ryzyko uzyskania nieautoryzowanego dostępu nawet w sytuacji kompromitacji hasła. Mechanizm 2FA można obrazowo przyrównać do systemu zabezpieczenia wymagającego użycia dodatkowego klucza – samo hasło okazuje się niewystarczające, niezbędne jest bowiem posiadanie unikalnego kodu uwierzytelniającego [9]. Z punktu widzenia prawa, na podstawie dyrektywy NIS 2, państwa członkowskie mają obowiązek zapewnić, aby podmioty kluczowe i ważne podejmowały odpowiednie oraz proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych. Środki te powinny również służyć zapobieganiu incydentom oraz minimalizowaniu ich wpływu na odbiorców usług i inne usługi. Opierają się one na podejściu uwzględniającym wszystkie zagrożenia, którego celem jest ochrona sieci i systemów informatycznych oraz ich środowiska fizycznego przed incydentami. W szczególności obejmują stosowanie rozwiązań uwierzytelniania wieloczynnikowego lub ciągłego (art. 21 ust. 2 lit. j [6]).
Cyberhigiena w ujęciu współczesnym nie ogranicza się do ostrożności użytkownika. Obejmuje ona całokształt działań zapewniających odporność podmiotu na incydenty. Tworzenie kopii zapasowych, aktualizowanie środowiska informatycznego oraz kontrola dostępu stanowią dziś elementarne standardy bezpieczeństwa.
Waldemar Szymański
prokurator, wykładowca akademicki, wykładowca na studiach podyplomowych Warszawskiego Uniwersytetu Medycznego
1 „Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3”.
2 „Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych, podlega karze pozbawienia wolności od 3 miesięcy do lat 5”.
3 Więcej: Maciaszczyk A., Zasada ograniczenia przechowywania, zasada integralności i poufności oraz zasada rozliczalności w ochronie danych osobowych, LEX/el., 2023 [4].
Literatura
[1] Szymański W., „Cyberhigiena jako fundament bezpieczeństwa w erze cyfrowej – cz. I”w: Inżynier Budownictwa, nr 1, 2026, s. 74–75.
[2] Ustawa z dnia 6 czerwca 1997 r. – Kodeks karny (t.j. Dz.U. z 2025 r. poz. 383).
[3] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
[4] Maciaszczyk A., „Zasada ograniczenia przechowywania, zasada integralności i poufności oraz zasada rozliczalności w ochronie danych osobowych”, LEX 2023 [dostęp: 14.02.2026], w: https://sip.lex.pl/komentarze-i-publikacje/komentarze-praktyczne/zasada-ograniczenia-przechowywania-zasada-470208190.
[5] Stefanowicz-Wasilewska M., „Aktualizacja oprogramowania ma istotne znaczenie w ochronie danych”, 10.07.2025 [dostęp: 13.02.2026], w: Gazeta Podatkowa, nr 55 (2243), www.gofin.pl/firma/17,2,119,254474,aktualizacja-oprogramowania-ma-istotne-znaczenie-w-ochronie.html.
[6] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu
cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2).
[7] Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2026 r. poz. 20).
[8] Serwis Rzeczypospolitej Polskiej, „Dwa składniki, czyli przepis na cyberbezpieczeństwo” [dostęp: 13.02.2026], https://www.gov.pl/web/baza-wiedzy/dwa-skladniki-czyli-przepis-na-cyberbezpieczenstwo.
[9] „2FA – dwuwarstwowa tarcza chroniąca przed cyberatakami” [dostęp: 13.02.2026], w: Bankier.pl, www.bankier.pl/wiadomosc/2FA-dwuwarstwowa-tarcza-chroniaca-przed-cyberatakami-9070841.html.
