W świecie współczesnych konfliktów tradycyjna „głębokość peryskopowa” do obserwacji zagrożeń cyber to już za mało. O tym, czym są grupy Advanced Persistent Threat (APT), dlaczego cyberprzestrzeń stała się domeną działań państwowych i jaką rolę w tym cyfrowym wyścigu zbrojeń odgrywa Polska, rozmawiamy z Mirosławem Majem i Robertem Koślą z Fundacji Bezpieczna Cyberprzestrzeń.
Szymon Augustyniak: Zaczynamy cykl rozmów o cyberbezpieczeństwie, który ma być „głębokim zanurzeniem” w ten świat. Na początek musimy rozszyfrować kluczowe pojęcie: APT. Co kryje się pod tym skrótem?
Mirosław Maj: Zacznijmy od literki „A” – Advanced (zaawansowane). Nie jest to tylko truizm. To zaawansowanie przejawia się w stawianiu sobie bardzo ambitnych celów, zwanych cyberoperacjami. Wykorzystują one skomplikowane techniki uderzające w najpoważniejsze cele. Co istotne, mówimy tu nie tylko o zaawansowaniu technicznym, ale i operacyjnym – umiejętności zaplanowania działań na wzór operacji militarnych.
Robert Kośla: Litera „P” to Persistent (uporczywe, stałe). Oznacza to długofalowe działania i stałą obecność „aktorów”, którzy inwestują ogromne środki, by wejść do organizacji ofiary i pozostać w niej przez długi czas. Średnio napastnik przebywa w sieci około 200 dni, zanim zostanie wykryty, a w przypadku słynnego ataku SolarWinds było to aż 9 miesięcy. „T” to oczywiście Threat (zagrożenie). Całość tworzy klasę ataków, która radykalnie różni się od pospolitej cyberprzestępczości.
Właśnie – czym grupy APT różnią się od typowych „cybermafii” czy grup ransomware, które znamy z nagłówków gazet?
RK: Kluczowy jest motyw. Za grupami APT stoją sponsorzy tacy jak służby specjalne czy siły zbrojne. Ich cele to pozyskiwanie informacji wywiadowczych (z gospodarki, mediów), operacje wpływu, manipulacja treścią czy kompromitacja celów politycznych i gospodarczych. Obecnie coraz częściej celem jest przygotowanie gruntu pod strategiczne uderzenia w infrastrukturę przeciwnika.
MM: To jest po prostu poziom państwowy. Cyberprzestrzeń to nadal domena finansowo zmotywowanych hakerów, ale APT to strategiczne narzędzia w rękach mocarstw. Kiedyś stać było na to tylko nielicznych, dziś mamy do czynienia z ogromną proliferacją tych metod.
Czy to oznacza, że „próg wejścia” dla państw obniżył się?
RK: Zdecydowanie. Dziś nawet państwa średnio lub słabo rozwinięte gospodarczo, ale inwestujące asymetrycznie w cyberzdolności, mogą prowadzić takie działania. Skrajnym przykładem jest Korea Północna. Nie jest liderem gospodarczym, ale szacuje się, że nawet 67% jej budżetu może pochodzić z działań cyberprzestępczych – od włamań do systemów bankowych (jak atak na system Swift) po kradzieże kryptowalut, które w samym 2025 roku (według prognoz/danych) mogły wynieść 2 miliardy dolarów. Finansują w ten sposób swój rozwój i destabilizują rynki.
Jak historycznie kształtowała się ta determinacja państw do budowy cyfrowych armii?
MM: Pierwsza dekada XXI wieku to czas „ogarniania się” liderów. US Cyber Command powstało w 2010 roku, ale Federacja Rosyjska, Chiny czy USA rozwijały swoje modele już wcześniej. Rosja np. wykorzystuje model „kryszy” (ochrony). Pozwala grupom przestępczym działać, pod warunkiem, że na wezwanie państwa staną do szeregu i wykonają zadania państwowe. W Chinach i USA silniej wykorzystuje się sektor prywatny do współpracy kontraktowej z armią.
RK: To systemy naczyń połączonych ze służbami i wojskiem. W Rosji mamy np. rywalizację między GRU (wywiad wojskowy), FSB (służba bezpieczeństwa prowadząca też działania ofensywne za granicą) i SVR (wywiad zagraniczny). Każda z nich ma „podczepione” pod siebie grupy APT prowadzące różne kampanie – od szpiegostwa, przez operacje wpływu, po niszczenie systemów przemysłowych, co widzieliśmy podczas ataku na Ukrainę w 2022 roku.
Wspomnieli panowie o kampaniach. Czy grupy APT to stałe struktury, które można łatwo zidentyfikować?
MM: To skomplikowane. Często to, co widzimy, to tylko „wierzchołek góry lodowej”. Grupy wyodrębniamy na podstawie ich modus operandi (sposobu działania), ale czasem są one tworem wirtualnym. Wolę mówić o „operacjach APT” – to umiejętność działania w konkretnym reżimie i z określonymi motywami. Identyfikację utrudniają też firmy eksperckie, gdzie każda stosuje własną nomenklaturę marketingową, przez co jedna grupa może funkcjonować pod trzydziestoma nazwami.
A gdzie w tym wszystkim jest Polska? Czy my również mamy swoje „grupy APT”?
MM: Jeśli o mnie chodzi, to ten punkt determinacji już dawno przekroczyliśmy. Posiadamy zdolności ofensywne i mamy je od lat. Oczywiście dowództwo Wojsk Obrony Cyberprzestrzeni nie zwoła konferencji, by ogłosić powstanie konkretnej grupy APT. Ale nasze zespoły wygrywają prestiżowe międzynarodowe konkursy i ćwiczenia, jak Locked Shields czy Cyber Coalition.
RK: Ważne są aspekty prawne. Działania ofensywne muszą być legalne i mieć umocowanie w prawie, przy czym inne kompetencje ma Agencja Wywiadu, a inne kontrwywiad czy wojsko. To dlatego np. US Cyber Command jest ściśle powiązane z NSA. Polska inwestuje gigantyczne zasoby w ten obszar i te zdolności realnie istnieją.
Jaką dynamikę obserwujemy obecnie? Czy liczba tych ataków i grup rośnie?
RK: Skala jest proporcjonalna do nasycenia gospodarek technologią cyfrową. Grupy APT, w przeciwieństwie do aktywistów, zazwyczaj się nie chwalą. O ich działaniach dowiadujemy się często po fakcie, przy okazji analizowania skali zniszczeń, jak w przypadku Sony. Operacje te toczą się równolegle do działań dyplomatycznych i kinetycznych.
MM: Dziś szacuje się, że 30-40% najpoważniejszych ataków jest przeprowadzanych przez grupy o charakterze państwowym. Widzimy to wyraźnie przy konfliktach – wojna na Ukrainie „zrzuciła przyłbice” wielu grupom rosyjskim. Podobnie jest na Bliskim Wschodzie, gdzie Iran wykorzystuje co najmniej siedem aktywnie monitorowanych grup (według taksonomii Microsoftu nazywanych członem „Sandstorm”) do ataków na Izrael, USA czy kraje NATO, jak Albania.
To brzmi jak nowa, stała rzeczywistość geopolityczna.
MM: Dokładnie. Dlatego w kolejnych rozmowach będziemy przyglądać się poszczególnym państwom-sponsorom i ich specyficznym mechanizmom działania. To będzie pełne, głębokie zanurzenie w wiedzę o cyber, z którego nie ma już powrotu na płytką wodę.
Wywiad przeprowadzony w audycji Limes inferior w Radio Wnet.


