Jak podają autorzy 12. edycji raportu CERT Orange Polska, rok 2025 przyniósł ważną zmianę. Cyberbezpieczeństwo ostatecznie przestało być domeną działów IT, stając się krytycznym elementem strategii biznesowej na poziomie zarządów. Z czego to wynika?
Według autorów raportu, cyberbezpieczeństwo w 2026 roku będzie wymagało od firm nie tylko nakładów finansowych, ale przede wszystkim odporności organizacyjnej. Infrastruktura telekomunikacyjna i cyfrowa musi być traktowana jako komponent bezpieczeństwa narodowego. Co więcej, kluczem do przetrwania w tej dynamicznej rzeczywistości jest współpraca. Potrzebne jest także ciągłe monitorowanie anomalii behawioralnych. Oprócz tego należy zrozumieć, że w świecie, gdzie uwaga i dane są towarem, bezpieczeństwo zaczyna się od świadomości każdego pracownika. Ponadto cyberbezpieczeństwo będzie odgrywać coraz większą rolę w codziennym funkcjonowaniu biznesu. W dużej mierze jest to zasługa upowszechnienia sztucznej inteligencji.
AI: nowy paradygmat ataku i obrony
Według raportu CERT Orange Polska, sztuczna inteligencja nie tyle zdominowała, co zdefiniowała krajobraz zagrożeń w 2025 roku. Z jednej strony pozwala ona budować inteligentniejsze systemy obronne, z drugiej – wyposażyła przestępców w narzędzia o bezprecedensowej skuteczności. Cyberbezpieczeństwo jest kluczowe w kontekście rosnących zagrożeń ze strony AI. Cyberprzestępstwa są coraz bardziej wyrafinowane, zmierzają w stronę spersonalizowanego phishingu, generowanemu przez AI oraz precyzyjnie zaplanowanych ataków na łańcuchy dostaw.
AI pozwala obecnie napastnikom na automatyzację całego łańcucha ataku – od rozpoznania, przez analizę wycieków danych, aż po dynamiczne modyfikowanie złośliwego oprogramowania w celu uniknięcia detekcji. Natomiast dla liderów biznesu oznacza to konieczność wdrożenia rygorystycznych zasad użycia AI. Dodatkowo muszą monitorować uprawnienia przyznawane autonomicznym agentom.
Komu bije dzwon?
Statystyki za rok 2025 pokazują, że mimo rozwoju technologii, najskuteczniejszym wektorem ataku pozostaje socjotechnika (wykorzystywana w ponad 74% incydentów). Przestępcy mistrzowsko operują psychologicznymi regułami wpływu, takimi jak wzajemność, autorytet czy niedostępność (presja czasu), aby skłonić pracowników do błędu. Warto podkreślić, że cyberbezpieczeństwo powinno uwzględniać aspekty psychologiczne zagrożeń.
Najważniejsze zjawiska odnotowane w 2025 roku przez CERT Orange Polska, to:
- phishing inwestycyjny i zakupowy: aż 72% użytkowników, którzy „złapali się” na złośliwe strony, padło ofiarą fałszywych inwestycji. Co więcej, gwałtowny wzrost odnotowano w kategorii fałszywych sklepów internetowych;
- ewolucja malware: na stacjach roboczych dominują tzw. stealery (np. Lumma.Stealer), których celem jest kradzież danych uwierzytelniających i portfeli kryptowalutowych;
- zagrożenia mobilne: klasyczne trojany bankowe ewoluują w stronę potężnych narzędzi typu Remote Access Trojan (RAT), dających napastnikom pełną kontrolę nad urządzeniem mobilnym pracownika;
- ataki DDoS: obserwujemy „normalizację” ataków hiperwolumetrycznych oraz profesjonalizację modelu DDoS-as-a-Service, co znacząco obniża próg wejścia dla cyberprzestępców.
Budowanie cyberodporności
W obliczu wyrafinowanych zagrożeń, pasywna ochrona jest niewystarczająca. Raport przytacza np. dane na temat CyberTarczy – w 2025 r. zablokowała ona 345 tys. domen phishingowych, chroniąc 5,5 mln użytkowników. Jednak technologia to tylko połowa sukcesu. Nowoczesny biznes musi postawić na podejście skoncentrowane na człowieku i automatyzację obrony. Ostatecznie cyberbezpieczeństwo jest fundamentem każdej strategii rozwoju.
- Autonomiczne Centra Operacji Bezpieczeństwa (SOC): integracja AI z procesami detekcji pozwala na automatyczne odrzucanie fałszywych alarmów i priorytetyzację realnych zagrożeń. W ten sposób uwalnia ekspertów od żmudnej pracy;
- Zero Trust i MCP Gateway: wdrażanie silnej tożsamości (OIDC) i precyzyjne zarządzanie dostępami technicznymi jest kluczowe, aby uniknąć chaosu w uprawnieniach. Jest to szczególnie ważne w systemach korzystających z LLM;
- edukacja: narzędzia takie jak Hasło Alert pozwalają użytkownikom na bieżąco sprawdzać, czy ich dane nie wyciekły. W efekcie drastycznie skraca się czas reakcji na incydent. Co więcej, cyberbezpieczeństwo odgrywa coraz ważniejszą rolę w edukacji pracowników.
Raport CERT Orange Polska za rok 2025, który można pobrać z archiwum zawierającego wszystkie dotychczasowe wydania raportu, zawiera szereg danych, które ilustrują krajobraz cyber w ub. roku:
Aktywność użytkowników i CyberTarczy
- Zgłoszenia SMS: 15 tys. informacji o podejrzanych wiadomościach i stronach na numer 508 700 900, co oznacza niemal czterokrotny wzrost w porównaniu do lat ubiegłych;
- Hasło Alert: z usługi monitorującej wycieki danych logowania korzysta już niemal 40 tysięcy subskrybentów;
- Dynamika blokad: w porównaniu do 2024 roku nastąpił 15-proc. wzrost liczby zrealizowanych blokad
Statystyki incydentów obsługiwanych przez CERT
Rozkład kategorii incydentów (obsłużonych nieautomatycznie):
- Gromadzenie informacji (np. phishing, skanowanie portów): 47,5% wszystkich przypadków (wzrost o 2,5 pp. r/r)
- Złośliwe oprogramowanie: 15,8% (wzrost o 2 pp.)
- Ataki DDoS: 13,3% (spadek o 1,9 pp.)
- Oszustwa sieciowe: 4,6% (wzrost o 1,5 pp.)
- Próby włamań: 2,8% (spadek o 4,1 pp. w stosunku do 2024 roku)
- Włamania sieciowe (skuteczne): 0,5%
Ewolucja smishingu i socjotechniki
Źródła SMS: drastyczna zmiana modelu wysyłki – wiadomości z aplikacji biznesowych (SMS A2P) stanowiły aż 74,9% blokowanych treści (skok o ok. 28 pp.), podczas gdy wysyłka z numerów prywatnych (SMS P2P) spadła do 25,1%;
Model VERIS: w pojedynczym incydencie często występuje wiele metod: obok socjotechniki (74,1%), najczęstsze to hakowanie (72,3%) oraz użycie malware (67,3%).
Ataki DDoS w liczbach
Rekordowa siła: najwyższe natężenie ruchu w szczycie ataku w sieci Orange Polska wyniosło ok. 1,5 Tbps (dla porównania w 2024 r. było to 586 Gbps);
Czas trwania: zdecydowanie przeważają krótkie ataki – 90,1% alertów trwało poniżej 10 min;
Krytyczność: większość to alerty o niskim stopniu krytyczności (57,5%), podczas gdy te o najwyższym poziomie stanowiły 2,5%;
Rankingi złośliwego oprogramowania
Stealery na stacjach roboczych: Lumma.Stealer (36,3%) oraz RedLine (34,5%);
RATy (Remote Access Trojans): Remcos.Rat – 70,06%;
Malware mobilny: adware i fraud reklamowy (72,28%), w tym HiddenAds (28,27%) oraz Badbox (19,21%).
