Z tego artykułu dowiesz się:

  • Jakie dane dotyczące cyberbezpieczeństwa w Polsce prezentuje najnowszy raport CERT Orange Polska?
  • W jaki sposób sztuczna inteligencja zmienia dynamikę walki z cyberprzestępczością?
  • Które strategie ataku okazały się najbardziej skuteczne i powszechne w 2025 roku?
  • Jakie tendencje zaobserwowano w klasyfikacji i częstotliwości incydentów cybernetycznych?
  • Jakie nowe wyzwania i zagrożenia w cyberprzestrzeni przewiduje się na przyszłość?
  • Jaką rolę odgrywają konflikty geopolityczne w kształtowaniu aktywności w cyberprzestrzeni?

Orange Polska opublikował najnowsze, 12. już wydanie raportu z działalności CERT Orange Polska, czyli jednostki odpowiedzialnej za cyberbezpieczeństwo w sieci tego operatora w 2025 r.

Prawie 350 tys. zablokowanych domen internetowych

– Rok 2025 oznaczał decydujący punkt zwrotny – pojawienie się nowego paradygmatu kształtowanego przez sztuczną inteligencję. AI pozwoliła nam budować inteligentniejsze i szybsze systemy obronne, ale jednocześnie uzbroiła cyberprzestępców w narzędzia o bezprecedensowej, wyrafinowanej technologii. Przeszliśmy od ogólnych oszustw do ery wysoce spersonalizowanego phishingu generowanego przez AI oraz starannie zaplanowanych ataków na łańcuchy dostaw i infrastrukturę krytyczną. Zarówno dla liderów biznesu, jak i obywateli, ten technologiczny skok wyniósł cyberbezpieczeństwo z poziomu problemu technicznego na poziom strategiczny – obejmując zarówno serwerownie, biura, jak i nasze domy – komentuje cytowana we wstępie do raportu Liudmila Climoc, prezeska Orange Polska.

Czytaj więcej

Ochrona zdrowia bez ochrony. Ataki na kolejne placówki medyczne to kwestia czasu
Biznes
Ochrona zdrowia bez ochrony. Ataki na kolejne placówki medyczne to kwestia czasu

Oprogramowanie telekomu – CyberTarcza – w 2025 r. zablokowała 345 tysięcy domen phishingowych – podano w raporcie. Ochronić miała tym samym prawie 5,5 miliona użytkowników, którzy „złapali się” na haczyk hakerów (np. otwierając oszukańczą stronę reklamującą zyski z inwestycji) przed stratami finansowymi i utratą danych. To oznacza wzrosty w porównaniu z 2024 r., gdy zablokowano około 320 tys. domen i ochroniono około 5 mln użytkowników.

Fałszywe inwestycje coraz popularniejszym sposobem ataku w sieci 

Ataki ukierunkowane na kradzież pieniędzy internautów to najczęściej spotykane ataki phishingowe. W 2025 r. ponad 67 proc. zablokowanych domen to domeny rozgrywające scenariusz „fałszywych inwestycji” (rok wcześniej – 60 proc.). Z kolei Robert Grabowski, szef CERT Orange Polska podkreśla rolę, którą w walce z hakerami odgrywają użytkownicy sieci wysyłający maile i wiadomości o atakach. W ub.r. na specjalny numer CERT-u wysłano 15 tys. wiadomości w tej sprawie, niemal cztery razy więcej niż rok wcześniej.

Czytaj więcej:

Fatalny początek roku. Polskie instytucje to nr 1 celów hakerów w regionie
Raporty ekonomiczne Fatalny początek roku. Polskie instytucje to nr 1 celów hakerów w regionie

Pro

Fałszywe giełdy i serwisy oferujące szybki zysk bez ryzyka, promowane głównie przez reklamy na platformach społecznościowych oraz sieciach reklamowych zdominowały ranking najczęściej odwiedzanych fałszywych stron. Drugą rosnącą kategorią były fałszywe sklepy internetowe. Liczba internautów, którzy je odwiedzili wzrosła z 5 proc. do ponad 12 proc. średnio w miesiącu.

Mniej włamań, więcej prób pozyskania danych

Wśród „obsłużonych”, czyli zneutralizowanych, przez specjalistów z CERT Orange Polska incydentów największą grupę stanowiły te z klasy „gromadzenie informacji” (47,5 proc.). W porównaniu z 2024 r. nastąpił ich nieznaczny wzrost (o 2,5 pp.). Na drugim miejscu znalazły się incydenty z kategorii „złośliwe oprogramowanie” (15,8 proc.) – wzrost w stosunku do ubiegłego roku (o 2 pp.). Kolejne miejsce to ataki z kategorii „dostępność zasobów” (13,3 proc.) – spadek w stosunku do ubiegłego roku (o 1,9 pp.).

Dalej są: incydenty z grupy obraźliwych i nielegalnych treści (11,6 proc.) – nieznaczny spadek w stosunku do ubiegłego roku (12,5 proc. w 2024 r.), czy oszustwa sieciowe (4,6 proc.) – wzrost w stosunku do ubiegłego roku (o 1,5 pp.).

Czytaj więcej:

Jak wdrożyć NIS2? Przewodnik po zmianach w cyberbezpieczeństwie
Biznes Cyberbezpieczeństwo w nowym wydaniu – zmiany wchodzą w życie

Pro

Relatywnie mało incydentów to próby włamań (2,8 proc., spadek w stosunku do ubiegłego roku o 4,1 pp.), a włamania sieciowe stanowiły poniżej 1 proc. obsłużonych spraw.

Trendy w cyberbezpieczeństwie w 2026 roku. Nie tylko AI 

Poza statystykami dowodzącymi, że prób ataków na infrastrukturę i użytkowników internetu jest ciągle bez liku, a hakerzy uczą się i wykorzystują coraz to nowe sposoby. Eksperci wskazali w raporcie, jakie zagrożenia będą dominowały w przyszłości.

Pierwszym obszarem jest AI. Jak podkreślają, rozwój generatywnej AI zaczyna wpływać na sposób tworzenia i rozwijania złośliwego oprogramowania. „Obserwujemy pierwsze przykłady złośliwego oprogramowania, w którym modele AI służą do generowania fragmentów kodu podczas ich działania lub podejmowania decyzji, jakie kroki w infekcji należy dalej podjąć” – czytamy w raporcie.

Jednocześnie narzędzia oparte na LLM (ang. duże modele językowe) są coraz częściej wykorzystywane przez cyberprzestępców do tworzenia stron oraz wiadomości phishingowych, złośliwego oprogramowania oraz dynamicznego jego modyfikowania, co pozwala uniknąć wykrycia.

„Przewidujemy, że narzędzia AI będą wykorzystywane do automatyzacji kolejnych etapów ataków” – sądzą eksperci z CERT Orange Polska i ostrzegają, że to podejście spowoduje znaczący wzrost szybkości oraz skali ataków. Spodziewają się wzrostu liczby dynamicznie modyfikowanych wariantów złośliwego oprogramowania powstających przy wsparciu narzędzi AI.

Atakowane są już teraz tzw. agenci AI, czyli modele działające z dostępem do wewnętrznych danych lub systemów operacyjnych firm i innych podmiotów.

Drugi obszar, na który zwracają uwagę, to oszukańcze kampanie reklamowe. Rozwijają się one w zaskakująco szybkim tempie. Przygotowywane z pomocą AI deepfake'i będą dalej tanieć i zyskiwać na jakości, a ponieważ skala ruchu reklamowego na platformach społecznościowych jest ogromna, wyzwaniem pozostaje filtrowanie oszukańczych treści. 

Trzecia sprawa to mobilne złośliwe oprogramowanie: przechodzi ono, zdaniem specjalistów, wyraźną transformację. Nie chodzi już o proste aplikacje pozwalające np. na przechwytywanie SMS-ów czy danych do logowania, ale o rozbudowane narzędzia typu Remote Access Trojan (RAT), które zapewniają niemal pełną kontrolę nad urządzeniem.

W CERT Orange Polska obserwują także intensyfikację ataków na środowiska chmurowe – rośnie liczba incydentów wykorzystujących błędne konfiguracje oraz poświadczenia do przejmowania dostępu do zasobów chmurowych. Prowadzi to do masowych wycieków informacji klientów czy nadużycia infrastruktury do celów obliczeniowych (np. uruchamianie koparek kryptowalut).

Konflikty geopolityczne rozgrywają się także w internecie 

Konflikty geopolityczne pozostają jednym z kluczowych czynników kształtujących aktywność w cyberprzestrzeni. Szczególnie widoczna jest intensyfikacja działań związanych z wojną rosyjsko-ukraińską oraz konfliktami na Bliskim Wschodzie, gdzie obserwuje się zarówno operacje sabotażowe, jak i długotrwałe kampanie cyberszpiegowskie prowadzone przez grupy powiązane z państwami – ostrzegają specjaliści.

„W kontekście tych konfliktów kinetycznych sponsorowani przez państwa aktorzy zagrożeń wykorzystują zdolności cybernetyczne przede wszystkim w roli wsparcia – np. w celu uzyskania wglądu w działania rządowych i wojskowych podmiotów docelowych, wspierania wysiłku wojennego lub wzmacniania operacji informacyjnych oraz dezinformacyjnych. Koordynacja domen kinetycznej i cyber jako norma operacyjna to zmiana strukturalna, nie incydentalna” – czytamy.