W środę 30 kwietnia 2025 r., dokładnie w ostatni dzień rozliczeń PIT-ów i składania wniosków o świadczenia 800+, polski System Rejestrów Państwowych (SRP) — infrastruktura łącząca m.in. bazę PESEL, rejestry dowodów osobistych i stanu cywilnego — został sparaliżowany przez zmasowany atak typu Distributed Denial of Service. Przez blisko godzinę obywatelom nie pozwalał on korzystać z aplikacji mObywatel, usług e-PIT ani rejestracji pojazdów, choć — jak podkreślają władze — żadne dane nie wyciekły.
SRP obsługuje krytyczne dane ponad 38 mln mieszkańców Polski. Jego niedostępność oznacza realny paraliż administracji cyfrowej. Resort cyfryzacji przyznał, że „między 10:00 a 11:00 wystąpiły przejściowe trudności z dostępem”, natomiast bezpieczeństwo rejestrów nie zostało naruszone.
Źródła w resorcie przypomniały też, że Polska znajduje się w stanie cyfrowej wojny i codziennie odpiera tysiące podobnych prób.
Według ustaleń napastnicy skoordynowali ogromny wolumen żądań sieciowych, uderzając w moment wzmożonego, legalnego ruchu użytkowników. W samym szczycie deklaracji podatkowych.
W efekcie serwery SRP nie odpowiadały, a w serwisach monitorujących awarie zanotowano tysiące zgłoszeń. Służby IT przywróciły pełną funkcjonalność w mniej niż godzinę, stosując filtrację ruchu i przełączenie na zapasowe zasoby chmurowe.
Atak na SRP a reakcja państwa i służb
Do śledztwa od razu włączyły się Centralne Biuro Zwalczania Cyberprzestępczości oraz Agencja Bezpieczeństwa Wewnętrznego.
Wicepremier i minister cyfryzacji Krzysztof Gawkowski stwierdził, że „kierunek tych ataków to najczęściej Rosja”, a Polska pozostaje jednym z najczęściej atakowanych państw na świecie. Potwierdzają to statystyki CERT-u i NASK.
Krótkotrwały, lecz odczuwalny przestój pokazuje, jak krytyczne dla życia codziennego stały się usługi e-administracji. Użytkownicy mObywatela nie mogli okazywać cyfrowych dokumentów podczas kontroli drogowej, a przedsiębiorcy mieli problem z wysłaniem e-deklaracji do Krajowej Administracji Skarbowej.
Na giełdzie temat przełożył się na chwilowe wahania indeksu WIG-Tech i wzbudził obawy firm świadczących usługi w oparciu o dane z rejestru PESEL.
Kwestia przypisanego sprawstwa
Choć oficjalnie nie wskazano jeszcze konkretnego podmiotu, charakter ataku, jego termin oraz wcześniejsze operacje przeciwko polskim instytucjom — w tym udaremnione ataki na strony partii politycznych — podtrzymują hipotezę rosyjskiego lub prorosyjskiego udziału.
Analizy ruchu sieciowego prowadzone przez CSIRT-NASK wykazały, że znaczna część botnetu pochodziła z adresów powiązanych we wcześniejszych kampaniach GRU. Pełna atrybucja będzie możliwa dopiero po zakończeniu dochodzenia.
Incydent dowiódł, że nawet dobrze zabezpieczone systemy rejestrów państwowych mogą zostać czasowo wyłączone, jeśli atakujący trafią w newralgiczny moment wysokiego obciążenia. Dla administracji najważniejszym wnioskiem jest konieczność dalszego rozwijania zapasowych centrów danych, automatycznego skalowania zasobów i procedur komunikacji kryzysowej, tak aby kolejne ataki — nieuniknione w roku wyborczym — były dla obywateli niewidoczne.
Atak na System Rejestrów Państwowych stał się dotąd najważniejszym polskim incydentem cyberbezpieczeństwa w 2025 r., ponieważ uderzył w sam rdzeń zaufania do e-państwa, pokazując równocześnie skuteczność obrony i zakres przyszłych wyzwań. Wiele wskazuje, że był to test przed kolejnymi, bardziej złożonymi operacjami wymierzonymi w polską infrastrukturę krytyczną. Odpowiedzią musi być dalsze wzmacnianie krajowej cybertarczy.
Czytaj też: