Cyberprzestępczość nie jest już wyłącznie domeną organizacji przestępczych. Jak wskazuje najnowszy Microsoft Digital Defense Report, Polska zajmuje trzecie miejsce w Europie pod względem liczby ataków ze strony grup sponsorowanych przez obce państwa – głównie Rosję. Te działania są elementem szerszej wojny hybrydowej, w której cyberoperacje służą zarówno destabilizacji infrastruktury krytycznej, jak i kampaniom dezinformacyjnym.
W obliczu rosnącej liczby ataków na tle geopolitycznym, niezbędna staje się ścisła współpraca pomiędzy sektorem publicznym i prywatnym, a także rozwijanie zdolności obronnych z wykorzystaniem sztucznej inteligencji. AI może istotnie wspierać analityków w wykrywaniu zagrożeń, przyspieszać reakcje na incydenty i zmniejszać zależność od przestarzałych baz danych.
Odpowiadając za aż 6 proc. wszystkich wykrytych incydentów tego typu na świecie, nasz kraj wyprzedził nawet Stany Zjednoczone. To niepokojący sygnał, który powinien pobudzić do działania nie tylko sektor prywatny, ale również administrację publiczną i instytucje odpowiedzialne za politykę bezpieczeństwa cyfrowego.
Ransomware – złośliwe oprogramowanie szyfrujące dane i żądające okupu za ich odblokowanie – od lat uznawane jest za jedno z najpoważniejszych zagrożeń w cyberprzestrzeni. W skali globalnej liczba ataków wzrosła o 30 proc., jednak co ciekawe, wartość okupów spadła o 35 proc. Jest to efekt m.in. rosnącej skuteczności służb ścigania oraz spadku zaufania do cyberprzestępców, którzy coraz częściej nie wywiązują się z obietnic odszyfrowania danych po otrzymaniu zapłaty.
W przypadku Polski problem ma jednak dodatkowy wymiar – wynika nie tylko z aktywności zorganizowanych grup przestępczych, ale również z wewnętrznych słabości, jakie cechują krajowy krajobraz cyberbezpieczeństwa.
Jak wynika z raportu ESET, zaledwie 59 proc. przedsiębiorstw w Polsce deklaruje korzystanie z podstawowego oprogramowania zabezpieczającego. Co więcej, aż 88 proc. organizacji przyznało się do doświadczenia incydentu cybernetycznego lub wycieku danych w ostatnich latach. To dane, które nie pozostawiają złudzeń – luka w ochronie jest realna i dotyczy znacznej części rynku.
Na tę sytuację nakłada się dramatycznie niski poziom świadomości pracowników w zakresie zagrożeń cyfrowych. Tylko 19 proc. zatrudnionych zna pojęcie „ransomware”, podczas gdy phishing rozpoznaje 60 proc., a kradzież tożsamości – 78 proc. Tymczasem ponad połowa pracowników (52 proc.) nie uczestniczyła w żadnym szkoleniu z zakresu cyberbezpieczeństwa w ciągu ostatnich pięciu lat.
Jak zauważa Dawid Zięcina, dyrektor działu technicznego w DAGMA IT Security, budżety na cyberbezpieczeństwo w polskich firmach często nie są wynikiem strategii biznesowej, lecz odpowiedzią na wymogi regulacyjne lub presję ze strony partnerów. Decyzje o zwiększeniu inwestycji zapadają zazwyczaj dopiero po wystąpieniu incydentu – co świadczy o reaktywnym i krótkowzrocznym podejściu do kwestii bezpieczeństwa.
Na dynamiczny wzrost liczby ataków wpływa także ewolucja środowiska cyberprzestępczego. Grupy przestępcze konkurują ze sobą o wpływy, a działania jednej organizacji mogą prowadzić do paraliżu infrastruktury drugiej – jak miało to miejsce w przypadku ataku DragonForce na platformę RansomHub w marcu 2025 roku.
Zagrożeniem szczególnie szybko zyskującym na znaczeniu jest technika ClickFix – polegająca na podszywaniu się pod znane okna weryfikacji CAPTCHA i skłanianiu użytkowników do uruchomienia złośliwego skryptu. Metoda ta odnotowała wzrost użycia o ponad 500 proc. w ciągu zaledwie pół roku i – co istotne – często wykorzystuje popularne aplikacje biznesowe, takie jak Microsoft Teams.
W obliczu coraz bardziej zaawansowanych zagrożeń i silnej pozycji Polski na celowniku cyberprzestępców, inwestycje w bezpieczeństwo cyfrowe nie mogą być traktowane jako opcjonalne. Wymagają one systemowego podejścia, łączącego trzy kluczowe elementy: technologię, polityki bezpieczeństwa oraz edukację użytkowników.
Konieczne są obowiązkowe, regularne szkolenia dla wszystkich pracowników, testy socjotechniczne, a także symulacje ataków, które pozwalają ocenić poziom przygotowania organizacji. Równolegle należy wdrażać nowoczesne rozwiązania technologiczne – od klasycznego oprogramowania antywirusowego po zaawansowane systemy klasy EDR/XDR, a także powszechnie stosować uwierzytelnianie wieloskładnikowe (MFA) i segmentację uprawnień.
Kamil Sadkowski, analityk zagrożeń w ESET, podkreśla również znaczenie wykonywania regularnych kopii zapasowych, przechowywanych w bezpiecznych i odizolowanych lokalizacjach, a także stosowania wyłącznie zaufanego oprogramowania pochodzącego z autoryzowanych źródeł.
Współczesne środowisko zagrożeń wymaga odejścia od reaktywnego modelu zarządzania incydentami na rzecz proaktywnej architektury bezpieczeństwa opartej na zasadzie zero trust, z naciskiem na mikroseparację, ciągłą walidację tożsamości użytkownika oraz inspekcję ruchu sieciowego w czasie rzeczywistym. Inwestycje w systemy klasy SIEM i SOAR, wspierane przez threat intelligence oraz mechanizmy automatyzujące odpowiedź na incydenty, powinny stać się standardem w organizacjach niezależnie od ich wielkości.
Jednocześnie konieczne jest wdrożenie strategii zarządzania podatnościami (vulnerability management) w oparciu o zaufane źródła – zarówno komercyjne, jak i open source – przy wykorzystaniu SBOM-ów (Software Bill of Materials) i ciągłego monitorowania komponentów łańcucha dostaw oprogramowania. Wobec postępującej fragmentacji globalnych źródeł danych o podatnościach, tylko organizacje wdrażające procesy DevSecOps oraz mechanizmy ciągłej analizy i testowania bezpieczeństwa (AST, DAST, SAST) będą w stanie utrzymać odporność na współczesne zagrożenia.
W dobie wysoce zautomatyzowanych ataków, wspieranych przez sztuczną inteligencję, odporność organizacji na ransomware i zagrożenia typu APT musi wynikać z dobrze przemyślanej, warstwowej architektury bezpieczeństwa, integrującej ludzi, procesy i technologię. W przeciwnym razie ryzykujemy nie tylko utratę danych, ale również zdolność operacyjną, reputację i ciągłość działania.
