Cyberzagrożenia nie znikają. 10 sposobów, by je wyeliminować

Statystyki ataków na polskie firmy pozostają zaskakująco stabilne, ale sposób działania cyberprzestępców już nie. Z najnowszych danych CERT Orange Polska, opublikowanych w raporcie za 2025 r., wynika, że struktura zagrożeń od lat wygląda podobnie: phishing odpowiada za niemal połowę incydentów (ponad 47 proc.), za nim plasują się ataki DDoS (ok. 16 proc.) i złośliwe oprogramowanie (ponad 13 proc.).

To jednak tylko powierzchnia problemu. Pod spodem trwa głęboka transformacja napędzana przez automatyzację, sztuczną inteligencję i rosnącą skalę uprzemysłowionej cyberprzestępczości.

Najlepiej widać to na przykładzie phishingu. Jeszcze kilka lat temu dominowały proste próby wyłudzeń, dziś zdecydowaną większość stanowią fałszywe inwestycje – odpowiadające już za blisko 70 proc. tego typu oszustw. Dla porównania: dwa lata wcześniej było to niespełna 30 proc. Skala tej zmiany pokazuje, jak szybko przestępcy adaptują się do trendów rynkowych i społecznych. Co więcej, rośnie poziom automatyzacji. Masowe kampanie SMS-owe są dziś realizowane za pomocą wyspecjalizowanych narzędzi, a tworzenie fałszywych domen odbywa się na dużą skalę, często bez udziału człowieka.

Cyberwojna staje się coraz bardziej zautomatyzowana.

– Skuteczna walka ze zorganizowaną cyberprzestępczością wymaga uderzenia w cały ekosystem ataku. Od malware’ów i botnetów, przez infrastrukturę dostarczania ładunków, po infrastrukturę wykorzystywaną w operacjach ransomware oraz aktywność w dark webie – komentuje Łukasz Fijałkowski z Bitdefender.

Czy niewyspecjalizowane organizacje mogą się przed tym bronić? Oczywiście. Poprawa poziomu bezpieczeństwa wcale nie musi oznaczać kosztownych inwestycji. W praktyce częściej wymaga świadomych decyzji, konsekwencji i uporządkowania podstaw. To właśnie te elementy najczęściej decydują o odporności organizacji. Oto 10 konkretnych działań, które pozwalają realnie ograniczyć ryzyko i zamknąć najczęściej wykorzystywane luki.

Zasada Zero Trust – nie ufaj, zawsze weryfikuj

Model Zero Trust zakłada, że żadnemu użytkownikowi ani urządzeniu nie należy ufać domyślnie – nawet jeśli działa w sieci firmowej. To odejście od tradycyjnego podejścia, w którym granica bezpieczeństwa przebiegała między tym, co „wewnątrz” i „na zewnątrz”. Dziś ten podział traci znaczenie, bo ataki coraz częściej wykorzystują także zasoby wewnętrzne.

W praktyce Zero Trust oznacza ciągłą weryfikację tożsamości, uprawnień i zachowań użytkownika. Organizacje wdrażają ten model poprzez segmentację sieci, zasadę najmniejszych uprawnień (least privilege) oraz dynamiczne zarządzanie dostępem.

Dobrym przykładem jest atak na brytyjską sieć handlową M&S w kwietniu 2025 r. Punkt wejścia nie był techniczny, lecz organizacyjny. Napastnicy podszyli się pod pracowników w kontakcie z helpdeskiem IT, który resetował hasła. Zgodnie z komunikatem firmy dostęp uzyskano przez zewnętrznego kontraktora, wykorzystując słabość procedur i czynnik ludzki, a nie klasyczną lukę w systemie.

Wdrożenia Zero Trust pokazują, że ograniczenie domyślnego zaufania realnie zmniejsza skalę incydentów. Nawet jeśli atakujący uzyska dostęp do jednego elementu infrastruktury, jego możliwości pozostają ograniczone. Warunkiem skuteczności jest jednak integracja systemów IAM (Identity and Access Management) oraz zmiana podejścia w całej organizacji.

Przeczytaj: Miały być tanie pizze, skończyło się cyberatakiem. Spryt w walce z polskim biznesem

MFA. Najprostsze i najskuteczniejsze zabezpieczenie?

Uwierzytelnianie wieloskładnikowe (MFA) pozostaje jednym z najbardziej efektywnych sposobów ograniczania ryzyka przejęcia kont. Polega na dodaniu drugiego elementu weryfikacji – obok hasła – np. kodu z aplikacji mobilnej, klucza sprzętowego lub biometrii. Według analiz branżowych MFA blokuje zdecydowaną większość prób nieautoryzowanego logowania.

Jego siła wynika z prostoty. Nawet jeśli hasło zostanie przejęte, atakujący musi pokonać dodatkową barierę. W praktyce MFA powinno obejmować nie tylko pocztę czy VPN, ale także systemy biznesowe i administracyjne.

Warto jednak pamiętać, że nie wszystkie formy MFA są równie bezpieczne. Kody SMS są bardziej podatne na przechwycenie, dlatego lepszym rozwiązaniem pozostają aplikacje typu authenticator lub klucze sprzętowe FIDO2.

Higiena cyfrowa – fundament, nie dodatek

Higiena cyfrowa wciąż bywa traktowana jako oczywistość, a jednocześnie pozostaje jednym z najsłabszych ogniw w firmach. Obejmuje podstawowe praktyki: stosowanie silnych haseł, unikanie ich ponownego użycia, ostrożność wobec phishingu oraz regularne aktualizacje oprogramowania. To właśnie brak tych elementów najczęściej prowadzi do incydentów.

Skalę problemu pokazuje przypadek wycieku danych z Yahoo z lat 2013–2014, obejmującego ponad 3 mld kont. Źródłem ataku nie była wyłącznie luka technologiczna, lecz także niedoskonałości w obszarze bezpieczeństwa operacyjnego i zarządzania dostępem.

Organizacje coraz częściej inwestują w szkolenia i kampanie uświadamiające, ponieważ czynnik ludzki pozostaje kluczowy. Pomocne są także narzędzia wspierające, takie jak menedżery haseł czy systemy wykrywania podejrzanych aktywności. Higiena cyfrowa nie wymaga dużych nakładów, lecz konsekwencji – i często to ona decyduje o skuteczności całej strategii bezpieczeństwa.

Przeczytaj: Dwa lata, 500 mln dolarów na okupy. Tak cyberprzestępcy pokonują firmy

Czego nie aktualizować w ciemno?

Aktualizacje oprogramowania są fundamentem bezpieczeństwa, ale ich bezrefleksyjne wdrażanie może przynieść odwrotny efekt. W środowiskach biznesowych każda zmiana powinna być kontrolowana i testowana, zwłaszcza w systemach krytycznych – takich jak ERP, rozwiązania produkcyjne czy systemy finansowe.

Automatyczne aktualizacje mogą powodować błędy, niekompatybilności lub przestoje. Dlatego firmy stosują tzw. podejście staged rollout – najpierw testy w środowisku testowym, następnie wdrożenie pilotażowe, a dopiero na końcu pełne uruchomienie.

Istotne jest także śledzenie komunikatów producentów i ocena realnego ryzyka. Nie każda poprawka wymaga natychmiastowego wdrożenia. Bezpieczeństwo oznacza nie tylko eliminowanie luk, ale również utrzymanie ciągłości działania.

Przykład? W 2025 r. jedna z kampanii cyberataków opierała się na socjotechnice. Hakerzy kontaktowali się z pracownikami firm w Europie i Ameryce Północnej, próbując nakłonić ich do instalacji zmodyfikowanego oprogramowania powiązanego z systemem Salesforce. Według zespołu badawczego Google wykorzystanie połączeń głosowych pozwoliło im skutecznie uzyskiwać dostęp do środowisk wewnętrznych. Zidentyfikowano co najmniej 20 zaatakowanych organizacji.

Komentarz partnera cyklu

Nie ma jednej recepty na bezpieczeństwo

Raporty bezpieczeństwa m.in. CERT Polska pokazują, że liczba incydentów rośnie, a najczęstszą „furtką” dla atakujących pozostaje człowiek. W cyberbezpieczeństwie liczy się więc nie jeden zamek, ale cały szereg zabezpieczeń i nawyków.

Należy do niego zasada „Zero Trust" – każdy, nawet pracownik, musi się wylegitymować. Coraz więcej firm wdraża takie podejście, ograniczając dostęp tylko do tego, co niezbędne, i zakładając, że każda operacja może być podejrzana, nawet jeśli wykonała ją zaufana osoba.
Kolejny element to Multi Factor Authentication (MFA). Warto stosować ten prosty i skuteczny mechanizm, bo ogranicza możliwość przejęcia dostępu do systemu po wykradzeniu loginu i hasła.

Ważne są też podstawowe zasady higieny cyfrowej: ostrożność wobec podejrzanych wiadomości, regularne aktualizacje czy menedżer haseł, który dba o ich unikalność i trudność.

Nie każdą aktualizację warto instalować od razu. Krytyczne systemy wymagają testów, bo aktualizacja może coś „zepsuć”. Znane są przypadki, kiedy to aktualizacja, przygotowana i podstawiona wcześniej przez przestępców, otwierała furtkę do ataku.

Nie ma jednej recepty na 100 proc. bezpieczeństwo, ale warto trzymać się uniwersalnych fundamentów. Jest nim np. utrzymywanie kopii bezpieczeństwa w kilku miejscach, co może być kluczem do odzyskania sprawności po ataku ransomware, czy zdolność do wczesnego wykrycia zagrożenia i odpowiedniej reakcji na incydent przez zespół Security Operations Center.

Na koniec warto samemu sprawdzić się w warunkach realnego zagrożenia, wykonując pentest, czyli kontrolowane „włamanie”, które zweryfikuje, czy nasze drzwi i okna są naprawdę są szczelne, a zamki odpowiednio trudne do sforsowania przez włamywacza.

Marcin Juszko

AVP Cyber Threat Response, Standard Chartered

Antywirus vs. EDR i XDR – jak ewoluuje ochrona

Tradycyjne programy antywirusowe bazują głównie na wykrywaniu znanych zagrożeń na podstawie sygnatur. W realiach współczesnych ataków to podejście okazuje się niewystarczające.

Systemy EDR (Endpoint Detection and Response) monitorują zachowanie urządzeń i analizują aktywności w czasie rzeczywistym, umożliwiając reakcję na incydenty – np. izolację zainfekowanego komputera. XDR (Extended Detection and Response) rozwija tę koncepcję, integrując dane z wielu źródeł – sieci, chmury i endpointów – i budując pełniejszy obraz zagrożeń.

W praktyce antywirus nadal odgrywa rolę, ale coraz częściej jako jeden z elementów większego, wielowarstwowego systemu bezpieczeństwa. To właśnie integracja narzędzi i widoczność całego środowiska decydują dziś o skuteczności ochrony.

SOC, czyli jak działa centrum operacji bezpieczeństwa

Security Operations Center (SOC) to wyspecjalizowana jednostka odpowiedzialna za monitorowanie, wykrywanie i reagowanie na incydenty bezpieczeństwa. Działa w trybie ciągłym, analizując dane z systemów SIEM, EDR i XDR. Analitycy identyfikują anomalie, weryfikują alerty i podejmują działania ograniczające zagrożenia w czasie rzeczywistym. W dużych organizacjach SOC funkcjonuje wewnętrznie, ale rośnie popularność modelu SOC-as-a-Service, dostępnego dla mniejszych firm.

– Posiadamy globalny SOC w modelu 24/7, który stale zbiera i koreluje telemetrię w skali globalnej. Zespół łączy kompetencje analityczne, CTI i threat hunting z doświadczeniem operacyjnym zdobytym w sektorach regulowanych, takich jak administracja publiczna, ochrona zdrowia czy edukacja, a także w obszarach związanych z bezpieczeństwem państwowym. Dzięki temu analiza zagrożeń i działania huntingowe są osadzone w realnym kontekście ryzyka, ciągłości działania i wpływu na organizację – komentuje Łukasz Fijałkowski.

Największą wartością SOC jest skrócenie czasu reakcji. Incydenty, które wcześniej wykrywano po godzinach lub dniach, mogą być dziś identyfikowane w ciągu minut, co znacząco ogranicza skalę strat. Budowa własnego SOC wymaga jednak inwestycji w ludzi, procesy i technologie, dlatego wiele organizacji decyduje się na outsourcing.

Kopie zapasowe 3-2-1 – ostatnia linia obrony

Zasada 3-2-1 zakłada przechowywanie trzech kopii danych, na dwóch różnych nośnikach, z czego jedna znajduje się poza główną lokalizacją. W kontekście ataków ransomware to jeden z najważniejszych mechanizmów odzyskiwania danych bez konieczności płacenia okupu.

Kluczowe jest jednak, aby kopie były odseparowane (tzw. air gap) i regularnie testowane. Backup, którego nie da się odtworzyć, w praktyce nie istnieje.

Dobrym przykładem jest atak na włoskie muzeum Uffizi Galleries z początku 2026 r., który doprowadził do poważnego naruszenia bezpieczeństwa i wyczyszczenia serwerów. Konieczne było m.in. przeniesienie części zasobów do Bank of Italy. Dzięki pełnym kopiom zapasowym instytucji udało się jednak odzyskać dane, w tym kluczowe archiwa zdjęć.

Coraz częściej stosuje się również tzw. immutable backups, których nie można zmodyfikować ani usunąć. Firmy dysponujące dojrzałą strategią backupową znacznie szybciej wracają do działania po incydencie, co w praktyce decyduje o ciągłości biznesu.

Komentarz partnera cyklu

Warto uświadamiać

Skala zagrożeń cybernetycznych rośnie na niespotykaną dotąd skalę, a celem ataków coraz częściej są firmy. Badanie Mastercard, które przeprowadziliśmy na przełomie 2025 i 2026 r. wśród specjalistów odpowiedzialnych za obszar cyberbezpieczeństwa w polskich firmach ujawniło, że doświadczenia ataku ma za sobą już co drugie duże przedsiębiorstwo, 44 proc. średnich i co czwarte (25 proc.) małe. Pod względem rodzaju zagrożeń, dominują przede wszystkim ataki ransomware, manipulacje za pomocą maila lub SMS (social engineering) oraz ataki na systemy uwierzytelnienia, czy na serwer za pomocą urządzeń podłączonych. Niższy odsetek wskazań dotyczył zagrożenia typu zwiady zabezpieczeń (reconnaisance), przeciążenia systemu (DOS), malware, czy resource manipulation, co może sugerować, że organizacje dostrzegają incydenty dopiero w fazie skutków, a nie na etapie wczesnego rozpoznania i przygotowania go przez sprawcę. Nasze badanie pokazało również, że dominującym ryzykiem są ataki z wykorzystaniem pracownika, a nie infrastruktury, ponieważ to człowiek często jest najsłabszym ogniwem dla cyberprzestępców.

Dlatego tak duże znaczenie ma stałe zwiększanie świadomości na temat cyberzagrożeń oraz edukacja pracowników. Zgodnie z wynikami badania Mastercard, 64 proc. dużych podmiotów deklaruje, że szkoli pracowników w obszarze cyberbezpieczeństwa przynajmniej raz w roku, ale już 54 proc. małych przyznało, że jeszcze nigdy nie przeprowadzili tego typu szkoleń. W przypadku przedsiębiorców, którzy zostali już zaatakowani, tylko 16 proc. dużych organizacji przeprowadza ocenę szkód i analiz, które dane i systemy zostały naruszone, a 12 proc. aktywuje plan reagowania na incydenty. To oznacza, że firmy skupiają się głównie na tym, aby zminimalizować skutki ataku „tu i teraz”, a niewielu myśli długoterminowo, aby zabezpieczyć się również na przyszłość. Tymczasem działania prewencyjne są niezwykle istotne dla budowania i wzmacniania cyberodporności organizacji i mogą mieć kluczowe znaczenie, aby utrzymać ciągłość biznesu.

W Mastercard od lat tworzymy holistyczne i skalowalne rozwiązania, które zapewniają bezpieczeństwo ekosystemu finansowego i MŚP. Chętnie dzielimy się naszą wiedzą i doświadczeniem z innymi podmiotami, ponieważ jest to nasz wspólny interes, a współdziałanie daje przewagę i pozwala często uprzedzić przestępców.

Małgorzata Domagała

VP, dyrektorka ds. produktów i rozwiązań Mastercard na Polskę, Czechy i Słowację

Ryzyka związane z Wi-Fi i hotspotami

Publiczne sieci Wi-Fi pozostają jednym z najprostszych punktów wejścia dla atakujących. Brak odpowiedniego szyfrowania lub słabe zabezpieczenia umożliwiają przechwytywanie danych i prowadzenie ataków typu man-in-the-middle. Szczególnie ryzykowne jest korzystanie z takich sieci przez pracowników mających dostęp do systemów firmowych.

Podstawą ochrony jest stosowanie VPN, segmentacja dostępu oraz jasne polityki określające zasady korzystania z zewnętrznych sieci. Równie istotna pozostaje edukacja pracowników – sieć o nazwie łudząco przypominającej hotelową wcale nie musi być autentyczna. Mobilność zwiększa efektywność pracy, ale jednocześnie rozszerza powierzchnię ataku.

Bezpieczeństwo łańcucha dostaw – security by contract

Coraz więcej incydentów wynika nie z bezpośredniego ataku na firmę, lecz z naruszeń po stronie dostawców. Dlatego bezpieczeństwo łańcucha dostaw staje się integralnym elementem strategii cyberbezpieczeństwa.

Podejście „security by contract” oznacza uwzględnianie wymogów bezpieczeństwa w umowach z partnerami – od standardów ochrony danych po procedury reagowania na incydenty. Firmy prowadzą audyty dostawców, wymagają certyfikacji i monitorują zgodność z przyjętymi politykami.

W praktyce bezpieczeństwo przestaje być wyłącznie wewnętrzną sprawą organizacji. Poziom ochrony całego systemu jest tak silny, jak jego najsłabsze ogniwo. Przykłady takich ataków pojawiały się również w Polsce, m.in. w kontekście incydentów dotyczących infrastruktury energetycznej.

Pentesty. Kontrolowany atak na własną firmę

Testy penetracyjne (pentesty) polegają na symulowaniu ataku hakerskiego w celu identyfikacji luk w zabezpieczeniach. Pozwalają wykryć słabe punkty, zanim zrobią to cyberprzestępcy.

Zakres pentestów może obejmować aplikacje webowe, infrastrukturę sieciową, a nawet działania socjotechniczne. Ich przewaga polega na praktycznym podejściu – zamiast deklaracji bezpieczeństwa organizacja otrzymuje realny test swoich zdolności obronnych.

Na koniec – ciągłe monitorowanie

– Z perspektywy regulacji takich jak NIS2 i UKSC kluczowe jest zapewnienie ciągłego monitorowania, szybkiej detekcji oraz skutecznej reakcji. Model MDR realizuje te wymagania operacyjnie w trybie 24/7, zapewniając gotowość do obsługi incydentów, ograniczanie ich skutków oraz wsparcie w raportowaniu i zarządzaniu ryzykiem bez konieczności budowy własnych struktur SOC – dodaje Łukasz Fijałkowski.

Stałe monitorowanie nie jest dodatkiem do strategii bezpieczeństwa, lecz jej fundamentem.

Główne wnioski

1. Choć struktura cyberzagrożeń wobec polskich firm pozostaje względnie stabilna, metody działania przestępców zmieniają się dynamicznie. Phishing nadal odpowiada za niemal połowę incydentów, ale jego forma wyraźnie ewoluowała – dziś dominują zaawansowane oszustwa inwestycyjne, szybko skalowane dzięki automatyzacji i sztucznej inteligencji.
2. Coraz większe znaczenie ma podejście wielowarstwowe. Skuteczna ochrona to nie pojedyncze narzędzie, lecz spójny system działań, obejmujący m.in. modele Zero Trust, uwierzytelnianie wieloskładnikowe oraz rozwiązania klasy EDR i XDR. Kluczowe pozostają także ciągłe monitorowanie i szybka reakcja na incydenty, często realizowane przez centra SOC lub usługi zewnętrzne.
3. Mimo rosnącej złożoności zagrożeń wiele skutecznych działań pozostaje dostępnych także dla mniej zaawansowanych organizacji. Fundamentem wciąż jest higiena cyfrowa, edukacja pracowników i konsekwentne stosowanie dobrych praktyk – takich jak zarządzanie aktualizacjami, tworzenie kopii zapasowych czy kontrola dostępu. To czynnik ludzki i organizacyjny często decyduje o realnym poziomie bezpieczeństwa, a nie sama skala inwestycji technologicznych.