Atakujący częściej się loguje niż włamuje. Nowa rzeczywistość cyberzagrożeń w biznesie
Haker nie musi przełamywać zabezpieczeń systemu – często wystarczy, że zaloguje się do niego przy użyciu przejętych danych. Nowe metody szantażu oraz rozwój deepfake’ów sprawiają, że przedsiębiorstwa coraz częściej traktują cyberubezpieczenia jako element strategii zarządzania ryzykiem.
Z tego artykułu dowiesz się…
- Jak zmienia się charakter ataków ransomware i dlaczego same kopie zapasowe nie zawsze wystarczą.
- Co obejmują nowoczesne cyberubezpieczenia i jakie warunki trzeba spełnić, aby je uzyskać.
- W jaki sposób rozwój technologii deepfake zwiększa ryzyko strat finansowych dla firm.
Liczba cyberincydentów w Polsce rośnie w tempie, którego firmy nie mogą już ignorować. W 2025 r. 96 proc. firm w Polsce doświadczyło przynajmniej jednego niebezpiecznego zdarzenia związanego z cyberbezpieczeństwem – to wzrost o 13 punktów procentowych rok do roku i rekordowy wynik w dziewięcioletniej historii „Barometru Cyberbezpieczeństwa” KPMG.
Krajowe zespoły CERT obsłużyły w ubiegłym roku blisko 273 tys. incydentów, czyli o 144 proc. więcej niż rok wcześniej. Jak firmy chronią się przed cyberatakami?
Logowanie zamiast włamania
Charakter dzisiejszych zagrożeń zmienia się w stronę ataków wykorzystujących najsłabsze ogniwo systemu, czyli człowieka.
Albert Szczepaniak, dyrektor Działu Bezpieczeństwa i Jakości w Polcomie, podkreśla, że większość poważnych incydentów zaczyna się od socjotechniki.
Najgroźniejsze zagrożenie nie jest dziś najbardziej widowiskowe, lecz najbardziej przyziemne, ponieważ większość poważnych incydentów zaczyna się od człowieka, a nie od włamania do systemu. Punktem wejścia pozostają najczęściej phishing oraz szeroko rozumiana socjotechnika, czyli nakłonienie pracownika do kliknięcia, podania hasła albo wykonania przelewu.
– Najgroźniejsze zagrożenie nie jest dziś najbardziej widowiskowe, lecz najbardziej przyziemne, ponieważ większość poważnych incydentów zaczyna się od człowieka, a nie od włamania do systemu. Punktem wejścia pozostają najczęściej phishing oraz szeroko rozumiana socjotechnika, czyli nakłonienie pracownika do kliknięcia, podania hasła albo wykonania przelewu, co potwierdzają zarówno dane unijne, jak i krajowe – mówi Albert Szczepaniak.
Dodaje, że ENISA, czyli Agencja Unii Europejskiej ds. Cyberbezpieczeństwa, wskazuje phishing jako główny sposób uzyskania pierwotnego dostępu, a według firmy CrowdStrike zdecydowana większość włamań w 2025 r. obeszła się bez złośliwego oprogramowania i opierała na kradzieży poświadczeń oraz nadużyciu legalnych kont. Szczepaniak podkreśla, że atakujący najczęściej loguje się, a nie włamuje, dlatego same programy antywirusowe niczego nie przesądzają.
Tomasz Pietrzyk, dyrektor techniczny Palo Alto Networks w Europie Środkowo-Wschodniej, uzupełnia ten obraz o rolę automatyzacji.
– Firmy działają dziś w środowisku, w którym cyberataki są coraz szybsze i bardziej zautomatyzowane, a zagrożenia trudniejsze do opanowania. Phishing, ransomware czy przejmowanie kont pracowników nadal pozostają jednymi z najczęstszych metod. Coraz częściej są one jednak elementem szerszych, wieloetapowych scenariuszy ataków obejmujących aplikacje, chmurę, urządzenia końcowe i łańcuchy dostaw. Istotną rolę odgrywa tu sztuczna inteligencja, która pozwala cyberprzestępcom znacznie szybciej wyszukiwać podatności, skalować działania i skracać czas potrzebny na przeprowadzenie ataku – zauważa Tomasz Pietrzyk.
Kamil Smogorzewski, dyrektor komunikacji w Res Futura, powołując się na wyniki wspomnianego raportu KPMG, wskazuje na strukturę najczęstszych ryzyk.
– Jeśli chodzi o konkretne zagrożenia, w najnowszym rankingu pierwsze miejsce zajęły wycieki danych spowodowane przez złośliwe oprogramowanie. Drugie zajął phishing, a trzecie – co stanowi największą zmianę w porównaniu z poprzednimi edycjami – ataki DDoS. Wcześniej plasowały się one na końcowych pozycjach – mówi Kamil Smogorzewski.
Nowe oblicze ransomware
Mimo przetasowań w rankingach ataki typu ransomware pozostają głównym czynnikiem skłaniającym firmy do poszukiwania ochrony ubezpieczeniowej. Albert Szczepaniak wskazuje, że mechanizm ten uległ transformacji.
– Dawniej chodziło głównie o zaszyfrowanie danych. Obecnie coraz częściej o ich kradzież oraz groźbę ujawnienia, a samo szyfrowanie bywa jedynie dodatkowym narzędziem nacisku. Szczególnie niepokojące jest to, że atakujący ingerują w proces tworzenia kopii zapasowych, manipulując harmonogramami lub usuwając wybrane elementy backupu, tak aby problem z odtworzeniem danych ujawnił się dopiero w chwili próby powrotu do pracy – mówi Albert Szczepaniak.
Piotr Rudzki, starszy broker w Aon Polska, wskazuje, że wiele firm nie jest gotowych na scenariusz takiego ataku. Nawet jeśli organizacja wykonuje kopie zapasowe, ich przywracanie może trwać tygodnie.
W niektórych przypadkach backupy okazują się nieskuteczne albo też są szyfrowane przez hakerów, jeżeli nie zostały skutecznie odseparowane od reszty sieci. Tego typu zdarzenia, zwłaszcza dla firm produkcyjnych, przekładają się często na wielotygodniowe zakłócenia działalności, w których to tracą przychody i muszą ponieść znaczące koszty na zarządzanie zdarzeniem i przywracanie danych
– W niektórych przypadkach backupy okazują się nieskuteczne albo zostają zaszyfrowane przez hakerów, jeśli nie zostały skutecznie odseparowane od reszty sieci. Tego typu zdarzenia, zwłaszcza w firmach produkcyjnych, często przekładają się na wielotygodniowe zakłócenia działalności. W tym czasie przedsiębiorstwa tracą przychody i ponoszą znaczące koszty związane z zarządzaniem incydentem oraz przywracaniem danych – mówi Piotr Rudzki.
Szymon Bąk, specjalista ds. ubezpieczeń ryzyk cybernetycznych w EIB, przytacza statystyki potwierdzające tę tendencję.
– Według raportu Verizona „2026 Data Breach Investigations Report” oprogramowanie wymuszające okup pojawia się w 48 proc. incydentów. Ta liczba robi wrażenie, zwłaszcza że mówimy o zagrożeniu dobrze znanym od lat. Drugim czynnikiem, który wyraźnie napędza zainteresowanie cyberpolisami, są ataki z wykorzystaniem skradzionych danych logowania – mówi Szymon Bąk.
Popyt na ubezpieczenia i bariery w sektorze MŚP
Zainteresowanie cyberubezpieczeniami rośnie, jednak rynek jest silnie zróżnicowany.
– Duże organizacje z reguły są bardziej świadome ryzyka i wiele z nich ma już cyberpolisę. Wśród małych i średnich przedsiębiorstw takie ubezpieczenie nadal pozostaje jednak rzadkością. Często firmy te nie spełniają nawet wymogów ubezpieczycieli dotyczących zabezpieczeń technicznych – mówi Piotr Rudzki.
Mateusz Manuszak, lider ubezpieczeń cybernetycznych w Attis Broker, wskazuje na specyficzne wyzwania, które napotyka się w przypadku mniejszych graczy.
Ransomware przestał być domeną dużych korporacji. MŚP są dziś równie częstym celem ataków. Nadal duża część organizacji nie ma odpowiednich procedur ani zasobów, aby skutecznie zareagować na incydent.
– Ransomware przestał być domeną dużych korporacji. MŚP są dziś równie częstym celem ataków. Nadal duża część organizacji nie ma odpowiednich procedur ani zasobów, aby skutecznie zareagować na incydent w obszarze cyberbezpieczeństwa. Widać tu trzy główne bariery: niedobór specjalistów, ograniczony budżet IT – szczególnie w sektorze MŚP – oraz niską świadomość zarządów, które wciąż postrzegają cyberbezpieczeństwo jako problem techniczny, a nie jako strategiczny priorytet biznesowy. Ubezpieczenie cybernetyczne wypełnia tę lukę i zapewnia natychmiastowy dostęp do ekspertów, których zatrudnienie zwykle przekracza możliwości finansowe firm – mówi Mateusz Manuszak.
Co oferuje nowoczesna polisa i jak ją uzyskać?
Wybór ubezpieczenia przestaje być kwestią wyłącznie ceny.
Ubezpieczenie cyber obejmuje szereg elementów: koszty reakcji na incydent, w tym informatykę śledczą, obsługę prawną i PR kryzysowy, koszty przywrócenia danych i systemów, koszty przestojów w działalności, odpowiedzialność cywilną z tytułu wycieku danych, a także kary administracyjne.
– Ubezpieczenie cyber obejmuje szereg elementów: koszty reakcji na incydent, w tym informatykę śledczą, obsługę prawną i PR kryzysowy, koszty przywrócenia danych i systemów, koszty przestojów w działalności, odpowiedzialność cywilną z tytułu wycieku danych, a także kary administracyjne – wymienia Mateusz Manuszak.
Piotr Rudzki dodaje, że klienci coraz częściej dociekają, jakie usługi w zakresie reakcji na zdarzenie zapewnia polisa oraz kto je świadczy.
– Składka i zakres są parametrami, na które klienci patrzą w pierwszej kolejności, ale diabeł tkwi w szczegółach. Warto dokładnie przeanalizować, jakiego typu zdarzenia faktycznie uruchamiają ochronę polisową – mówi Piotr Rudzki.
Ważnym aspektem jest też kwestia okupu.
Jednym z najważniejszych pytań jest to dotyczące możliwości opłacenia z polisy okupu w związku z zaszyfrowaniem danych przez złośliwe oprogramowanie typu ransomware. W przypadku ubezpieczycieli refinansowanie okupu często zależy od ścisłego rachunku ekonomicznego.
– Jednym z najważniejszych pytań jest to dotyczące możliwości opłacenia z polisy okupu w związku z zaszyfrowaniem danych przez złośliwe oprogramowanie typu ransomware. W przypadku ubezpieczycieli refinansowanie okupu często zależy od ścisłego rachunku ekonomicznego. Czy mniej kosztowne będzie zapłacenie okupu i ograniczenie potencjalnych strat, czy trzeba liczyć się ze zwiększonymi kosztami dalszej likwidacji szkody? Ubezpieczyciele mają odpowiednie narzędzia i metody, dzięki którym mogą również ocenić, jaka jest szansa na odzyskanie danych po zapłaceniu okupu – tłumaczy Szymon Bąk.
Uzyskanie polisy wymaga jednak spełnienia rygorystycznych warunków technicznych.
– Konieczne jest wdrożenie podstawowych standardów cyberhigieny: aktualizowania oprogramowania, stosowania uwierzytelniania wieloskładnikowego (MFA), segmentacji dostępu zgodnie z zasadą „need-to-know” oraz szyfrowania danych wrażliwych. Brak podstawowych rozwiązań może w praktyce uniemożliwić uzyskanie ochrony lub znacząco ją ograniczyć – zauważa Mateusz Manuszak.
Piotr Rudzki precyzuje listę oczekiwań wobec mniejszych firm.
– Oczekuje się od nich m.in. stosowania MFA przy zdalnym logowaniu do sieci, tworzenia i odpowiedniego zabezpieczania kopii zapasowych danych, posiadania odpowiedniej ochrony punktów końcowych sieci (EPP) oraz regularnego usuwania krytycznych podatności – mówi Piotr Rudzki.
Ataki deepfake i utrata 25 mln dolarów
Jednym z najbardziej dynamicznych zagrożeń jest wykorzystanie sztucznej inteligencji do tworzenia materiałów deepfake. Kamil Smogorzewski ostrzega przed niskim poziomem świadomości tego zjawiska.
– Z raportu „Cyberportret polskiego biznesu 2025” wynika, że 58 proc. pracowników w Polsce nie zna pojęcia deepfake. Co więcej, 27 proc. przyznaje, że uznało takie nagranie za wiarygodne, a kolejne 30 proc. nie potrafi tego jednoznacznie ocenić. Mechanika ataku jest prosta i nie wymaga wielu zasobów. Cyberprzestępca wybiera osobę, pod którą chce się podszywać. Najczęściej są to prezesi lub dyrektorzy wysokiej rangi. Następnie pozyskuje krótką próbkę głosu. Kilka sekund materiału zwykle wystarcza – wyjaśnia Kamil Smogorzewski.
Ekspert opisuje głośny przypadek dotyczący firmy Arup.
Pracownik firmy finansowej przelał 25 mln dolarów wierząc, że uczestniczy w autentycznej wideokonferencji z dyrektorem finansowym. Oszuści wykorzystali technologię deepfake, aby spreparować realistyczny obraz i głos przełożonego. Konsekwencje były wielowymiarowe, a strata finansowa to tylko jedna z nich
– Pracownik firmy finansowej przelał 25 mln dolarów, wierząc, że uczestniczy w autentycznej wideokonferencji z dyrektorem finansowym. Oszuści wykorzystali technologię deepfake, aby spreparować realistyczny obraz i głos przełożonego. Konsekwencje były wielowymiarowe, a strata finansowa to tylko jedna z nich. Prawdziwym kosztem okazało się to, że pomimo rosnącego zagrożenia aż 80 proc. organizacji nie ma planu działania w przypadku ataku deepfake – mówi Kamil Smogorzewski.
Ubezpieczenie to tylko część ochrony
W obliczu takich zdarzeń oferta ubezpieczycieli ewoluuje.
– Jeszcze do niedawna polisy cyber chroniły w bardzo ograniczonym stopniu przed tego typu zdarzeniami. Ubezpieczyciele jednak wychodzą naprzeciw oczekiwaniom klientów. Coraz częściej oferują także ochronę przed kradzieżą środków finansowych wskutek ataków socjotechnicznych – mówi Piotr Rudzki.
Kamil Smogorzewski wskazuje na kolejny istotny aspekt zarządzania.
– Liczba firm, które mają stanowisko CISO, czyli dyrektora ds. bezpieczeństwa informacji, wzrosła w Polsce dwukrotnie. Ponad jedna czwarta organizacji ma już taką funkcję. Jednocześnie największą barierą dla zespołów cyberbezpieczeństwa nie jest już brak budżetu ani brak technologii. Problemy to niewystarczające wsparcie ze strony najwyższego kierownictwa oraz brak zaangażowania ze strony biznesu – mówi Kamil Smogorzewski.
Komentarz partnera cyklu
Cyberubezpieczenia dojrzewają wraz z rynkiem
To się jednak powoli zmienia. Popyt napędzają nie tylko same ataki, lecz także regulacje, takie jak NIS2/KSC2, DORA i RODO, oraz rosnąca świadomość, że koszt incydentu to nie tylko okup. Część strat stanowią przestoje i utracone przychody, odbudowa systemów, obsługa prawna i odpowiedzialność wobec klientów. Dlatego polisa cyber przestaje być „ubezpieczeniem IT”, a staje się narzędziem ochrony ciągłości działania.
Najczęściej obejmowane ochroną są ryzyka związane z ransomware, phishingiem, kradzieżą danych, przejęciem poczty firmowej, atakami na zdalny dostęp, naruszeniem danych osobowych, przerwą w działalności oraz odpowiedzialnością cywilną wobec klientów i kontrahentów. Coraz większe znaczenie mają także koszty informatyków śledczych, PR, obsługi prawnej, odtworzenia danych oraz kar administracyjnych.
Kluczowe jest jednak jedno: ubezpieczenie nie zastępuje zabezpieczeń. Dobra polisa działa jak poduszka bezpieczeństwa wtedy, gdy mimo aktualizacji, MFA, backupów i szkoleń atak się powiedzie. Na rynku wygrywać będą nie ci, którzy „kupią papier”, lecz ci, którzy połączą technologię, procedury i transfer ryzyka w jeden system odporności.
Nowy standard i odpowiedzialność zarządów
Katalizatorem zmian w polskim biznesie są nowe regulacje prawne, w szczególności dyrektywa NIS2.
– Coraz bardziej medialne cyberincydenty i wdrażanie nowych przepisów, w tym NIS2 czy DORA, narzucają coraz bardziej rygorystyczny system cyberbezpieczeństwa. Obserwujemy, że w ostatnim roku coraz więcej takich organizacji zaczęło interesować się ubezpieczeniem – mówi Piotr Rudzki.
Albert Szczepaniak wskazuje na wzrost liczby podmiotów objętych rygorem prawnym.
– Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wdrożyła dyrektywę NIS2. Wraz z nią pojawiły się bezpośrednia odpowiedzialność kadry kierowniczej za zaniedbania oraz obowiązek zarządzania ryzykiem w całym łańcuchu dostaw technologii informatycznych. Zmiana obejmuje także mniejsze firmy. Dostawca usług zarządzanych w zakresie cyberbezpieczeństwa podlega nowym przepisom już od progu małego przedsiębiorcy – tłumaczy Albert Szczepaniak.
Kamil Smogorzewski dodaje, że dyrektywa NIS2 rozszerzyła w Polsce liczbę podmiotów objętych nowymi regulacjami z 400 do nawet 38 tys.
Z raportu KPMG wynika, że 86 proc. ankietowanych organizacji dostrzega wpływ NIS2 na wdrażanie nowych technologii. Szymon Błaszczyk, kierownik działu informatyki w ZUE, zauważa, że regulacje coraz częściej stają się impulsem do definiowania dobrych praktyk.
– To, co jeszcze niedawno było postrzegane jako koszt regulacyjny, dziś może stać się fundamentem budowania przewagi konkurencyjnej – mówi Szymon Błaszczyk.
Główne wnioski
- Większość skutecznych cyberataków rozpoczyna się od phishingu, socjotechniki i kradzieży danych logowania, a nie od technicznego przełamywania zabezpieczeń.
- Ubezpieczyciele wymagają m.in. uwierzytelniania wieloskładnikowego (MFA), bezpiecznych kopii zapasowych, aktualizacji systemów i kontroli dostępu, zanim obejmą firmę ochroną.
- Ransomware ewoluowało z blokowania danych w szantaż oparty na ich kradzieży. Coraz częściej celem atakujących jest wyciek informacji oraz długotrwałe zakłócenie działalności przedsiębiorstwa.

