Rok 2025 nie zmienił natury zagrożeń jednym przełomem. Zmienił natomiast warunki prowadzenia ataku i obrony. W wielu organizacjach atakujący nie muszą już „przełamywać” zabezpieczeń w klasycznym sensie. Wystarczy im legalna ścieżka dostępu: konto użytkownika, token w integracji (token to „cyfrowy klucz”, który pozwala aplikacji działać w imieniu użytkownika lub systemu), poświadczenia partnera (login i hasło albo certyfikat) lub podatność w elemencie wystawionym do Internetu. Z perspektywy zarządzania ryzykiem przesuwa to akcent z ochrony „murów” na ochronę tożsamości, kontrolę zależności oraz szybkość reakcji.
Ten kontekst dobrze oddają dwa obserwowane równolegle zjawiska. Po pierwsze, rośnie ud ział działań bez klasycznego malware, czyli takich, które korzystają z legalnych narzędzi i uprawnień. „Malware” to złośliwe oprogramowanie (np. trojan), a „bez malware” oznacza, że atakujący nie musi nic instalować — używa wbudowanych narzędzi systemowych i skradzionych kont. Po drugie, skraca się czas do eskalacji: w praktyce od wejścia do pierwszych ruchów „w głąb” środowiska często mija mniej niż godzina. To sprawia, że organizacje przegrywają nie dlatego, że nie mają narzędzi, ale dlatego, że decyzje i procedury są wolniejsze niż operacje przeciwnika.
Obraz ogólny – wolumen incydentów kontra wpływ
W 2025 widać wyraźny podział na zdarzenia „masowe” i zdarzenia „kosztowne”. Europejskie zestawienia incydentów pokazują dominację ataków DDoS w ujęciu wolumenu, szczególnie w sektorze publicznym. DDoS (Distributed Denial of Service) to przeciążenie usługi ruchem z wielu źródeł naraz tak, by strona lub system przestały działać albo działały bardzo wolno. Jednocześnie najbardziej dotkliwe biznesowo pozostają wymuszenia i kradzieże danych, często skojarzone z ransomware, bo generują przestój, koszty odtwarzania, konsekwencje prawne i długotrwały ciężar reputacyjny. Ransomware to atak, w którym przestępcy blokują dostęp do danych (najczęściej przez szyfrowanie) i żądają okupu; dziś często dochodzi też szantaż ujawnieniem skradzionych plików.
Organizacja może „żyć w stałym szumie” zdarzeń niskiego progu (np. krótkie przeciążenia usług), a równolegle być narażona na pojedynczy incydent o bardzo dużym wpływie (np. przejęcie konta administracyjnego albo dostęp przez dostawcę systemu branżowego). Jedno i drugie wymaga innych decyzji: DDoS to przede wszystkim odporność infrastruktury i dostawców, a wymuszenia to odporność operacyjna, kopie, segmentacja i kontrola dostępu.
DDoS i hacktywizm – presja ciągłości działania
Europejskie podsumowania 2025 r. opisują DDoS jako najbardziej rozpowszechniony typ zagrożenia w UE (81,4%) oraz wskazują, że sektor publiczny pozostaje najczęściej obserwowanym celem w danych (ok. 38% incydentów).
Hacktywizm to ataki motywowane ideologicznie lub politycznie, często nastawione na widoczność (np. „pokaz siły”), a nie na bezpośredni zysk finansowy. W praktyce oznacza to trwałą presję na organizacje, które świadczą usługi publiczne lub są częścią łańcuchów usług krytycznych (dostawcy IT, operatorzy, platformy). Nawet jeśli pojedyncze ataki nie prowadzą do długotrwałych przerw, ich powtarzalność generuje koszty operacyjne i zwiększa ryzyko błędów wtórnych (np. zmian konfiguracyjnych wykonywanych w pośpiechu).
Warto zauważyć, że w 2025 r. DDoS często bywa formą przekazu (pokazania możliwości, protestu, zastraszenia, zwrócenia uwagi): widocznego, łatwego do uruchomienia i relatywnie taniego. Z perspektywy biznesu oznacza to, że odporność na przeciążenia i gotowość do utrzymania minimalnego poziomu usług (continuity, czyli „ciągłość działania”) jest elementem bezpieczeństwa równie realnym jak ochrona przed kradzieżą danych.
Ransomware i wymuszenia – zmiana ekonomii nacisku
W globalnych raportach operacyjnych 2025 r. ransomware pozostaje jednym z najczęstszych składników naruszeń; w danych przekrojowych jego obecność wzrosła do 44% (z 32% rok wcześniej). Jednocześnie spadają mediany wypłat, a rośnie odsetek organizacji, które nie płacą okupu.
To nie jest sygnał „uspokojenia” sytuacji, tylko oznaka, że rynek wymuszeń przechodzi korektę: część ofiar ma lepszą zdolność odtworzeniową i decyduje się nie negocjować, natomiast sprawcy przesuwają nacisk na wyciek danych, presję regulacyjną, szantaż reputacyjny i uderzenia w łańcuch dostaw.
Dobrym przykładem tej logiki są incydenty, w których skutki biznesowe powstają pośrednio, przez awarię lub kompromitację systemów dostawcy usług krytycznych dla operacji. We wrześniu 2025 r. doszło do zakłóceń operacyjnych na lotnisku Berlin Brandenburg, opisywanych jako rezultat cyberataku wpływającego m.in. na systemy odprawy i obsługi bagażu. W komunikatach pojawiała się informacja o zależności od usługodawcy i stopniowym przywracaniu operacji. Taka sytuacja pokazuje, że „incydent IT” może przełożyć się na realny przestój procesów: kolejki, opóźnienia, brak dostępu do systemów obsługi.
W europejskich zestawieniach pojawiają się również przykłady zakłóceń w lotnictwie wiązanych z ransomware Akira, gdzie incydent przekładał się bezpośrednio na proces obsługi pasażerów.
Kradzież tożsamości – dominacja ataków opartych o hasła
Raporty defensywne z 2025 r. wskazują wyraźnie, że ataki na tożsamość są w dużym stopniu masowe i „statystyczne”: ponad 97% obserwowanych ataków tożsamościowych opiera się o hasła (zgadywanie, „password spraying” czyli próby popularnych haseł na wielu kontach, wykorzystanie wcześniejszych wycieków), a dynamika wzrostu ataków tego typu jest wyraźna w ujęciu półrocznym. W praktyce oznacza to, że nawet organizacje, które nie postrzegają się jako „atrakcyjne cele”, są stale testowane, bo przejęte konto jest użyteczne do oszustw finansowych, kradzieży danych lub jako punkt wejścia do partnerów.
To jest jednocześnie obszar, w którym często widać największą rozbieżność między formalnymi zasadami a rzeczywistą praktyką. W wielu firmach nadal spotyka się konta współdzielone, zbyt szerokie uprawnienia, brak separacji ról administracyjnych, brak kontroli nietypowych logowań lub brak konsekwentnego wymuszenia silnego uwierzytelniania w krytycznych usługach. Silne uwierzytelnianie to np. MFA (Multi-Factor Authentication) — logowanie nie tylko hasłem, ale też dodatkowym potwierdzeniem (aplikacja, klucz sprzętowy, biometria). W realiach 2025 r. tożsamość jest nie tyle „elementem IT”, ile mechanizmem kontroli ryzyka biznesowego: od niej zależy możliwość nadużycia procesu płatności, zmiany danych kontrahenta, przejęcia korespondencji lub pozyskania danych klientów.
Jakie są wektory wejścia? – phishing i podatności jako dwa stałe filary
Z perspektywy „initial access” (pierwszego wejścia do organizacji) 2025 r. jest niezmienny: dominują socjotechnika oraz eksploatacja podatności. Socjotechnika to manipulacja człowiekiem, a nie systemem. Najczęstszy przykład to phishing — wiadomość (mail/SMS/komunikator), która udaje zaufaną i ma skłonić do kliknięcia w link, podania hasła albo pobrania pliku. Europejskie zestawienia wskazują phishing jako najczęściej identyfikowany wektor wejścia (ok. 60%), a eksploatację podatności jako kolejny istotny komponent (21,3%).
W ujęciu globalnym rośnie też znaczenie podatności jako wektora wejścia w incydentach, szczególnie w obszarze elementów wystawionych do Internetu. W praktyce chodzi często o urządzenia „na brzegu” infrastruktury, takie jak VPN (Virtual Private Network — zdalny dostęp do sieci firmowej), bramy dostępowe czy urządzenia bezpieczeństwa, które muszą być osiągalne z Internetu, więc są atrakcyjnym celem.
Wniosek jest prosty: dwa pozornie „nudne” obszary nadal decydują o wyniku – szybkie łatanie newralgicznych systemów oraz odporność procesów biznesowych na manipulację (np. weryfikacja dyspozycji płatności poza jednym kanałem komunikacji).
Łańcuch dostaw – od dostawców branżowych po CI/CD i zależności
W 2025 r. łańcuch dostaw jest jednym z najbardziej praktycznych źródeł ryzyka, bo dotyczy zarówno relacji z dostawcami usług, jak i komponentów technologicznych, które mogą trafić do organizacji pośrednio. Często myślimy o „dostawcy” jako o firmie, ale w świecie IT dostawcą bywa też biblioteka programu, wtyczka, integracja albo automatyzacja, która ma dostęp do kluczy i danych.
W tym kontekście pojawiają się terminy typu CI/CD. CI/CD to skrót od Continuous Integration / Continuous Delivery (lub Deployment), czyli praktyk automatyzujących tworzenie i wdrażanie oprogramowania. W uproszczeniu: to „taśma produkcyjna” dla aplikacji, która automatycznie pobiera kod, testuje go i publikuje nowe wersje. Ponieważ taka taśma musi mieć dostęp do systemów i kluczy (żeby publikować i wdrażać), jej kompromitacja bywa bardzo groźna.
Przykładowo, w 2025 r. publikowano ostrzeżenia dotyczące kompromitacji popularnego komponentu automatyzacji w GitHub Actions. GitHub Actions to mechanizm automatyzacji w serwisie GitHub, często używany właśnie w CI/CD. Konsekwencją kompromitacji mogło być ujawnienie sekretów w logach workflow. „Sekrety” to np. klucze API, tokeny dostępu, hasła serwisowe — czyli dane, które dają dostęp do systemów. Incydent otrzymał identyfikator CVE-2025-30066. CVE to standardowy numer publicznie opisywanej podatności (Common Vulnerabilities and Exposures), który ułatwia jednoznaczne odwołania.
W tym samym roku ostrzegano też o incydentach w ekosystemie zależności, gdzie przejęcia kont deweloperów i wstrzykiwanie złośliwego kodu do pakietów mogły wpływać na wiele organizacji jednocześnie. Tu pojawia się skrót npm: to popularny „rejestr paczek” (bibliotek) — firmy często korzystają z takich paczek bezpośrednio lub pośrednio przez swoich dostawców. Jeśli ktoś wstrzyknie złośliwy kod do popularnej zależności, problem może rozlać się szeroko.
Ryzyko dostawców to nie tylko pytanie „czy dostawca ma certyfikat”. A jeśli już mówimy o certyfikatach, to często pada skrót ISO. Najczęściej w tym kontekście chodzi o ISO/IEC 27001 — standard zarządzania bezpieczeństwem informacji. To dobry sygnał dojrzałości procesowej, ale nie jest gwarancją braku incydentów. Ważniejsze jest, jakie realne kontrole są wdrożone: kto ma dostęp, jak są zarządzane klucze, jak wygląda reagowanie, jak szybko dostawca informuje o zdarzeniach i jak ogranicza skutki.
AI – akcelerator skali socjotechniki i wiarygodności podszywania
W 2025 r. AI nie tyle tworzy „nowe ataki”, co zwiększa skuteczność znanych mechanizmów. Najbardziej praktyczne zmiany widać w socjotechnice: łatwiej jest pisać wiarygodne wiadomości, personalizować treść i prowadzić rozmowę tak, by brzmiała „jak człowiek”. Coraz większe znaczenie ma też podszywanie głosowe (voice cloning), czyli generowanie wypowiedzi brzmiącej jak konkretna osoba.
Opisywano działania organów ścigania związane z oszustwem polegającym na podszywaniu głosem znanej osoby publicznej w celu wyłudzeń od liderów biznesu. Praktyczny morał jest prosty: samo „potwierdzenie głosowe” przestaje być wystarczającą formą weryfikacji poleceń finansowych.
Równolegle raporty kosztowe pokazują, że organizacje same potrafią zwiększać ryzyko, wdrażając narzędzia AI bez kontroli dostępu i zasad użycia (tzw. governance). W skrócie: jeśli pracownicy wklejają do narzędzi AI fragmenty danych klientów, umów czy ofert, a organizacja nie ma jasnych zasad i kontroli, rośnie ryzyko ujawnienia informacji.
Ekonomia incydentu: koszt, przestój i czas reakcji
Dane kosztowe z ostatniego roku pokazują, że globalna średnia kosztu naruszenia spadła do 4,44 mln USD, przy jednoczesnym utrzymaniu bardzo wysokich kosztów na wybranych rynkach. Najbardziej praktyczny wniosek dotyczy mechanizmu: koszt rośnie, gdy organizacja późno wykrywa incydent, gdy nie potrafi ograniczyć eskalacji i gdy traci ciągłość działania procesów krytycznych. W warunkach 2025 r. przewaga wynika z przygotowania do scenariusza „zwiększonej dynamiki” — czyli z posiadania zdolności do szybkiego odcięcia, szybkiego odtworzenia i szybkiej komunikacji kryzysowej.
Podsumowanie: co 2025 utrwalił jako standard ryzyka
Rok 2025 utrwalił trzy reguły. Po pierwsze, tożsamość jest dominującą powierzchnią ataku, a działania oparte o legalne narzędzia i uprawnienia są normą. Po drugie, zależności od dostawców i komponentów są jednym z najszybciej rosnących źródeł ryzyka, przy czym skutki biznesowe często są pośrednie i ujawniają się jako przerwy operacyjne. Po trzecie, czas reakcji staje się parametrem strategicznym: jeśli organizacja podejmuje decyzje wolniej niż przeciwnik jest w stanie eskalować, narzędzia techniczne nie zrekompensują opóźnienia.
Źródła
[1] ENISA, ENISA Threat Landscape 2025, 2025.
[2] Verizon, 2025 Data Breach Investigations Report (DBIR), 2025.
[3] IBM Security (Ponemon Institute), Cost of a Data Breach Report 2025, 2025.
[4] Microsoft, Microsoft Digital Defense Report 2025, 2025.
[5] CrowdStrike, Global Threat Report 2025, 2025.
[6] Reuters – materiały nt. incydentu na lotnisku Berlin Brandenburg (BER), 2025.
[7] Berlin Brandenburg Airport (BER) – komunikaty operacyjne, 2025.
[8] CISA – alert dot. tj-actions/changed-files (CVE-2025-30066), 2025.
[9] CISA – alert dot. łańcucha dostaw (npm), 2025.
[10] Reuters – materiały nt. oszustw z użyciem klonowania głosu, 2025.