Asseco Academy » Baza Wiedzy » Ethical hacking: zanim zrobi to ktoś inny

21.05.2026 -

Ethical hacking: zanim zrobi to ktoś inny

Nowelizacja ustawy o KSC może wymusić na Twojej organizacji działania formalne, ale nie zatrzyma atakującego. Zatrzymać go mogą dobrze przygotowani ludzie, którzy rozumieją jego sposób myślenia, potrafią znaleźć podatność i zamknąć ją, zanim zostanie wykorzystana. Ethical hacking nie jest dodatkiem do cyberbezpieczeństwa. Ethical hacking zamienia deklaracje w praktykę – pokazując, gdzie organizacja jest naprawdę odporna, a gdzie tylko wydaje się bezpieczna.

KSC: terminy których nie warto odkładać:

Do 3 października 2026 r. podmioty kluczowe i ważne muszą złożyć wniosek o wpis do wykazu. To pierwszy ważny termin wynikający z ustawy. W praktyce oznacza on 6 miesięcy na sprawdzenie, czy podmiot podlega nowym przepisom, i na dopełnienie formalności.Do 3 kwietnia 2027 r. podmioty kluczowe i ważne muszą wdrożyć obowiązki wynikające z nowych przepisów.Do 3 kwietnia 2028 r. podmioty kluczowe mają czas na przeprowadzenie pierwszego obowiązkowego audytu cyberbezpieczeństwa. Kolejne audyty trzeba będzie przeprowadzać co najmniej raz na 3 lata.

Najgroźniejsze podatności w organizacji często nie wyglądają groźnie. To nie zawsze spektakularna luka w systemie, o której piszą media. Czasem jest to stary panel administracyjny wystawiony publicznie w internecie, konto administratora z przewidywalnym hasłem, nieaktualna biblioteka w aplikacji, zbyt szerokie uprawnienia użytkownika albo konfiguracja, którą ktoś ustawił „na chwilę” i nigdy do niej nie wrócił. Cyberprzestępcy nie muszą znać całej Twojej organizacji. Wystarczy, że znajdą jeden słaby punkt, który pozwoli im wejść tam, gdzie wcale tego nie chcesz.

Dla specjalistów IT to codzienność: systemy są rozbudowywane, użytkownicy oczekują dostępności, projekty mają terminy, a bezpieczeństwo często musi być godzone z presją użytkowników. Dla organizacji oznacza to ryzyko, które nie jest już abstrakcyjne. Incydenty cyberbezpieczeństwa mogą zatrzymać produkcję, sparaliżować obsługę użytkowników, narazić organizację na utratę wrażliwych danych, koszty odtworzenia środowiska, konsekwencje prawne lub utratę zaufania. Dlatego cyberbezpieczeństwo musi być integralnym składnikiem odporności całej organizacji.

Właśnie w tym miejscu pojawia się ethical hacking (etyczne hakowanie), czyli bardzo praktyczna metoda sprawdzania, czy zabezpieczenia organizacji rzeczywiście działają. Etyczny haker wykorzystuje sposób myślenia i techniki podobne do tych, którymi posługują się atakujący, ale robi to legalnie, kontrolowanie i za zgodą organizacji. Celem nie jest przełamanie zabezpieczeń dla samego przełamania, lecz znalezienie słabości zanim zrobi to ktoś z zewnątrz.

Cyberataki w Polsce stały się codziennością

Jeszcze kilka lat temu część organizacji mogła traktować cyberataki jako ryzyko dotyczące głównie banków, dużych firm technologicznych lub administracji centralnej. Dziś takie podejście jest coraz trudniejsze do obrony. Według Raportu CERT Polska w 2025 roku zespół otrzymał 658 320 zgłoszeń, na podstawie których zarejestrowano 260 783 unikalne incydenty bezpieczeństwa. Oznacza to ponad 1 800 zgłoszeń dziennie i ponad 700 incydentów każdego dnia uznawanych za realne zdarzenia bezpieczeństwa.

Źródło: https://cert.pl/posts/2026/01/raport-incydent-sektor-energii-2025/

Mocnym sygnałem ostrzegawczym był cyberatak z grudnia 2025 roku wymierzony w polski sektor energetyczny. Atak objął co najmniej 30 farm wiatrowych i fotowoltaicznych, spółkę produkcyjną oraz dużą elektrociepłownię dostarczającą ciepło dla prawie pół miliona odbiorców. CERT Polska potwierdził, że działania miały charakter destrukcyjny, a nie finansowy. W przypadku elektrociepłowni celem sabotażu było nieodwracalne uszkodzenie danych przy użyciu złośliwego oprogramowania typu wiper.

Źródło: https://www.gov.pl/web/cyfryzacja/cyberatak-na-infrastrukture-sektora-energii-w-polsce-opublikowano-szczegolowy-raport-cert-polska

To ważna zmiana jakościowa. Organizacje nie mierzą się już wyłącznie z cyberprzestępczością nastawioną na okup, wyciek danych lub kradzież pieniędzy. Coraz częściej muszą brać pod uwagę scenariusze sabotażu, zakłócenia ciągłości działania, ataków na infrastrukturę przemysłową, systemy OT, łańcuchy dostaw i usługi krytyczne.

Równolegle rośnie zagrożenie ransomware. Według danych ESET w pierwszej połowie 2025 roku Polska znalazła się na pierwszym miejscu na świecie pod względem liczby wykrytych ataków ransomware, odpowiadając za 6% globalnych incydentów tego typu. Ataki dotykają nie tylko wielkich przedsiębiorstw, ale także ochrony zdrowia, edukacji, administracji, firm produkcyjnych i usługowych.

Źródło: https://www.eset.com/pl/about/newsroom/press-releases/news/polska-najczesciej-na-swiecie-atakowana-ransomware-w-2025-roku/?utm_source=chatgpt.com

W marcu 2026 roku Bonifraterskie Centrum Medyczne w Warszawie poinformowało o ataku ransomware, który doprowadził do zaszyfrowania części zasobów informatycznych i wiązał się z wysokim ryzykiem nieuprawnionego dostępu do danych medycznych pacjentów.

Źródło: https://bcmbonifratrzy.pl/aktualnosci/najwazniejsze-informacje-po-ataku-hakerskim-na-bonifraterskie-centrum-medyczne/?utm_source=chatgpt.com

Te przykłady pokazują jedno: cyberobrona nie może polegać wyłącznie na zakupie narzędzi. Potrzebni są ludzie, którzy rozumieją techniki ataku, potrafią rozpoznawać podatności, analizować ścieżki dostępu, testować zabezpieczenia i przekładać wyniki testów na konkretne działania naprawcze.

KSC: nie tylko zgodność, ale sprawdzian odporności

3 kwietnia 2026 roku wchodzi w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) wdrażająca dyrektywę NIS2. Dla wielu organizacji oznacza to konieczność bardziej systemowego podejścia do cyberbezpieczeństwa. Podmioty kluczowe i ważne będą musiały w większym stopniu zarządzać ryzykiem, monitorować incydenty, raportować zdarzenia, dbać o ciągłość działania, zabezpieczać łańcuch dostaw i wykazywać, że podjęły adekwatne działania organizacyjne oraz techniczne.

Ważne sektory KSC Sektory objęte ustawą:

Sektory kluczowe: Energia, Transport, Bankowość, Ochrona zdrowia, Zaopatrzenie w wodę pitną i jej dystrybucja, Zbiorowe odprowadzanie ścieków, Infrastruktura cyfrowa, Zarządzanie usługami ICT, Podmioty publiczne
Sektory ważne: Usługi pocztowe, Inwestycje energetyki jądrowej, Gospodarowanie odpadami, Produkcja/ przetwarzanie/ dystrybucja chemikaliów, Produkcja/ przetwarzanie/ dystrybucja żywności, Produkcja (wyrobów medycznych, komputerów, wyrobów elektronicznych i optycznych, maszyn i urządzeń, pojazdów samochodowych i innego sprzętu transportowego), Dostawcy usług cyfrowych, Badania naukowe, Podmioty publiczne

Czy Twoja organizacja potrzebuje ustawy by zająć się na cyberbezpieczeństwem?

Dla kierownictwa oznacza to odpowiedzialność, której nie da się sprowadzić do jednego dokumentu, procedury lub deklaracji. Dla zespołów IT oznacza to rosnącą potrzebę zbudowania praktycznych kompetencji: nie tylko administrowania systemami, ale także sprawdzania ich odporności w warunkach zbliżonych do rzeczywistego ataku.

To ważne, ponieważ zgodność regulacyjna i realne bezpieczeństwo nie zawsze oznaczają to samo. Organizacja może posiadać polityki, rejestry, procedury i matryce odpowiedzialności, a jednocześnie nadal mieć podatne aplikacje, źle skonfigurowane usługi, niekontrolowane uprawnienia, niewystarczającą segmentację sieci albo luki w zabezpieczeniach dostępu zdalnego. Regulacje mogą być impulsem do działania, ale dopiero praktyczna weryfikacja pokazuje, gdzie naprawdę znajdują się słabe punkty.

Sankcje, która mogą zaboleć:

Nowelizacja KSC wdrażająca NIS2 wprowadza realne konsekwencje finansowe za brak dojrzałości cyberbezpieczeństwa: do 10 mln euro lub 2% przychodów dla podmiotów kluczowych, do 7 mln euro lub 1,4% przychodów dla podmiotów ważnych, a w szczególnie poważnych przypadkach nawet do 100 mln zł. Odpowiedzialność może dotyczyć nie tylko organizacji, ale także osób zarządzających. Kary mogą wynieść do 300% otrzymywanego wynagrodzenia, niezależnie od kary nałożonej na samą organizację.

Ethical hacking pozwala zadać pytania, które są niewygodne, ale konieczne: co zobaczy atakujący po rozpoznaniu naszej organizacji w internecie? Czy nasze systemy ujawniają więcej informacji, niż powinny? Czy konto jednego użytkownika może stać się punktem wejścia do kolejnych zasobów? Czy podatność w aplikacji webowej może doprowadzić do dostępu do danych? Czy po przejęciu jednej stacji roboczej możliwy jest ruch boczny w sieci? Czy zabezpieczenia, które mamy „na papierze”, rzeczywiście działają?

Cyberobrona zaczyna się od zrozumienia ataku

Dla administratora, specjalisty bezpieczeństwa, inżyniera infrastruktury, osoby odpowiedzialnej za aplikacje, sieci lub środowiska chmurowe ethical hacking jest sposobem na zmianę perspektywy. Na co dzień IT często patrzy na system od strony utrzymania: dostępności, konfiguracji, aktualizacji, zgłoszeń użytkowników i ciągłości pracy. Atakujący patrzy inaczej. Szuka skrótów, niekonsekwencji, błędów, nadmiarowych uprawnień, publicznie dostępnych usług i miejsc, w których organizacja zaufała konfiguracji bardziej niż weryfikacji.

Oznacza to, że coraz więcej ról technicznych w organizacji wymaga znajomości podstaw ofensywnego myślenia o bezpieczeństwie:

Administrator lepiej zrozumie konsekwencje błędnej konfiguracji.

Osoba odpowiedzialna za aplikacje webowe trafniej zinterpretuje podatności.

Inżynier DevOps szybciej zauważy ryzyka w pipeline’ach i środowiskach testowych.

Specjalista Help Desku lepiej rozpozna próby ataków socjotechnicznych.

Kierownik IT będzie mógł rozsądniej zaplanować priorytety i budżet działań naprawczych.

Ethical hacking rozwija kompetencje, które są kluczowe przy audytach cyberbezpieczeństwa wymaganych od organizacji objętych nowymi regulacjami. Audyt nie może skończyć się tylko na sprawdzeniu procedur i dokumentów. Musi pokazać, czy zabezpieczenia naprawdę działają i czy wykryte ryzyka mogą realnie doprowadzić do incydentu. Wiedza z zakresu ethical hackingu pomaga przygotować organizację do prawdziwej weryfikacji — od oceny podatności, przez analizę ryzyka, po rozmowę z audytorem i plan działań naprawczych.

Certified Ethical Hacker – uporządkowana ścieżka rozwoju

Gdy czytanie o zagrożeniach już Ci nie wystarcza. Gdy potrzebujesz praktycznych rozwiązań oraz środowiska, w którym można bezpiecznie ćwiczyć, testować narzędzia, poznawać techniki ataku i uczyć się przekładania wyników na działania obronne. Znajdujesz najbardziej rozpoznawaną na świecie ścieżką rozwoju kompetencji w zakresie cyberobrony, czyli program CEH | Certified Ethical Hacker v13.

Szkolenie CEH v13 dostępne w Asseco Academy zostało zaprojektowane jako program dla specjalistów IT, którzy chcą rozwijać — również od podstaw — praktyczne kompetencje w zakresie etycznego hakowania. Dostarcza dużą porcję dobrze uporządkowanej, praktycznej wiedzy z obszaru cyberhackingu i pokazuje, jak wykorzystywać sztuczną inteligencję do automatyzacji działań związanych z ethical hackingiem. W wariancie Elite szkolenie daje dodatkowo dostęp do oficjalnych laboratoriów iLabs, platformy CEH Engage do realizacji zadań hackingowych na żywo, przepustkę na międzynarodowe zawody typu capture the flag — CEH Global Challenge Pass — oraz voucher na egzamin CEH Practical. To kompleksowy zestaw narzędzi, wiedzy i praktyki w ramach jednego programu Certified Ethical Hacker (CEH)® v13.

Certified Ethical Hacker v13 Powered by AI

Moduł 01: Wprowadzenie do etycznego hakingu (Introduction to Ethical Hacking)
Moduł 02: Zbieranie informacji o ataku i rekonesans (Footprinting and Reconnaissance)
Moduł 03: Skanowanie sieci (Scanning Networks)
Moduł 04: Enumeracja (Enumeration)
Moduł 05: Analiza podatności (Vulnerability Analysis)
Moduł 06: Hakowanie systemów (System Hacking)
Moduł 07: Złośliwe oprogramowanie (Malware Threats)
Moduł 08: Monitorowanie i przechwytywanie danych (Sniffing)
Moduł 09: Socjotechnika (Social Engineering)
Moduł 10: Ataki DDoS (Denial-of-Service)
Moduł 11: Przejmowanie sesji (Session Hijacking)
Moduł 12: Omijanie IDS, zapór Firewall i Honeypots (Evading IDS, Firewalls, and Honeypots)
Moduł 13: Hakowanie serwerów sieciowych (Hacking Web Servers)
Moduł 14: Hakowanie aplikacji internetowych (Hacking Web Applications)
Moduł 15: Ataki przez zapytania w SQL (SQL Injection)
Moduł 16: Hakowanie sieci bezprzewodowych (Hacking Wireless Networks)
Moduł 17: Hakowanie platform mobilnych (Hacking Mobile Platforms)
Moduł 18: Hakowanie urządzeń IoT (IoT Hacking)
Moduł 19: Bezpieczeństwo chmury (Cloud Computing)
Moduł 20: Kryptografia (Cryptography)

Dla specjalisty IT taka ścieżka może być sposobem na wejście głębiej w obszar cyberbezpieczeństwa i uporządkowanie wiedzy, która często jest zdobywana fragmentarycznie. Dla organizacji może być elementem budowania wewnętrznych kompetencji, które wspierają audyty, testy bezpieczeństwa, analizę incydentów, współpracę z dostawcami i realizację wymagań regulacyjnych.

W Twoje organizacji muszą ludzi, którzy rozumieją, jak wygląda atak, zanim trzeba będzie mierzyć się z jego skutkami. Czy masz takie osoby w zespole?

Nie czeka na incydent

Najgorszym momentem na naukę cyberobrony jest dzień, w którym okazuje się, że dane Twojej organizacji wyciekły lub zostały zaszyfrowane, infrastruktura nie działa, a zespół nie wie, od czego zacząć. Najlepszy moment jest dzisiaj — gdy można namierzyć podatności, przeszkolić ludzi i przygotować plan reakcji, zanim zrobią to za Ciebie okoliczności.

NIS2 i nowelizacja KSC mogą wymusić na Twojej organizacji działania formalne, ale nie zatrzymają atakującego. Zatrzymać go mogą dobrze przygotowani ludzie, którzy rozumieją jego sposób myślenia, potrafią znaleźć podatność i zamknąć ją, zanim zostanie wykorzystana. Ethical hacking nie jest dodatkiem do cyberbezpieczeństwa. Ethical hacking zamienia deklaracje w praktykę – pokazując, gdzie organizacja jest naprawdę odporna, a gdzie tylko wydaje się bezpieczna.

Dołącz do szkoleń

Szkolenie BI_CEH_4d_Z

Certified Ethical Hacker (CEH)® v13 AI

Forma szkolenia: zdalna

Język: polski

Cena od 6 190,00 zł ^netto

Sprawdź