Z tego artykułu dowiesz się:
- Jaki był obraz dynamiki i skali zagrożeń cybernetycznych w Polsce w 2025 roku?
- Jakie wyniki odnotowały państwowe zespoły CSIRT w obszarze obsługi incydentów?
- Jak zmienił się zasięg poważnych incydentów oraz ile podmiotów państwowych zostało nimi dotkniętych?
- Które grupy hakerskie i jakie techniki cyberataków dominowały w krajobrazie zagrożeń w 2025 roku?
- Jakie inwestycje finansowe podjęto w programach wzmacniających cyberbezpieczeństwo państwa?
Trzy państwowe zespoły reagowania na zagrożenia cyberbezpieczeństwa (CSIRT-y), czyli CSIRT NASK, CSIRT GOV (prowadzi go Agencja Bezpieczeństwa Wewnętrznego) i CSIRT MON (resortu obrony) otrzymały w 2025 r. 682,25 tys. zgłoszeń naruszeń bezpieczeństwa systemów teleinformatycznych. To o niecałe 10 proc. więcej niż w 2024 r. i istotny spadek dynamiki wobec odnotowanej między rokiem 2023 i 2024 (plus 64 proc.).
Pełnomocnik rządu ds. cyberbezpieczeństwa: przybyło realnych zagrożeń
To dane z najnowszego sprawozdania pełnomocnika rządu ds. cyberbezpieczeństwa za 2025 r. Jest nim Krzysztof Gawkowski, wicepremier i minister cyfryzacji. Jego sprawozdanie jest dostępne w części jawnej. Jeden z załączników utajniono.
Jak podkreślono w publicznej części raportu, choć liczba zgłoszeń wzrosła relatywnie niewiele, to liczba realnych zagrożeń wzrosła dynamicznie, bo o 152 proc.
Czytaj więcej
Choć wiedza o atakach hakerskich w sieci jest coraz powszechniejsza, nadal dajemy się na nie nabrać. Szczególnie gdy oferują zyski czy tanie zakupy...
„Pokazuje to również drastyczny wzrost wskaźnika »skuteczności« lub celności ataków – stosunek potwierdzonych incydentów do wszystkich zgłoszeń zwiększył się o 22,6 punktu procentowego i zbliżył się do granicy 40 proc.” – podano.
W sumie państwowe CSIRT-y obsłużyły blisko 273 tys. incydentów, czyli o ponad 144 proc. więcej niż w 2024 r. „Sam tylko zespół CSIRT NASK odnotował skokowy wzrost obsłużonych incydentów do ponad 260 tysięcy, co stanowi wzrost o 152 proc. w stosunku do roku ubiegłego, CSIRT MON – 7 125 incydentów (wzrost o blisko 69 proc.), a CSIRT GOV obsłużył 5 033 incydenty (wzrost o 26 proc.)” – poinformował we wstępie do sprawozdania Krzysztof Gawkowski.
Mniej poważnych incydentów. Więcej podmiotów dotkniętych atakami
Klasyfikacja cyberataków zgodna z przepisami o systemie cyberbezpieczeństwa uwzględnia zdarzenia krytyczne, poważne i istotne. W masie obsłużonych przez CSIRT-y przypadków wymienione trzy kategorie stanowią niewielką część, ale ich zasięg wzrósł.
W 2025 r. państwowe CSIRT-y nie obsłużyły ani jednego incydentu krytycznego. Liczba obsłużonych incydentów poważnych spadła do 40 (z 63 w 2024 r.). Zanotowano jeden incydent z kategorii istotnych (w 2024 r. żadnego).
Natomiast liczba podmiotów państwowych, których dotyczyły ataki dość mocno wzrosła. O ile w 2024 r. incydenty krytyczne, poważne i istotne objęły 3,49 tys. podmiotów, o tyle w ubiegłym roku 5,2 tys. (wzrost o prawie 50 proc.).
– Rok 2025 potwierdził, że cyberprzestrzeń stała się jednym z kluczowych obszarów bezpieczeństwa państwa, a skala i tempo zagrożeń systematycznie rosną. Sprawozdanie pokazuje ich skalę i to, jak państwo na nie odpowiada, wzmacniając odporność Polski w cyberprzestrzeni – podkreśla Krzysztof Gawkowski.
Ile pieniędzy państwo wydało na cyberochronę w 2025 r.?
W odpowiedzi na rosnące zagrożenia Ministerstwo Cyfryzacji realizowało programy ochronne i inwestycyjne. Ich wartość w raporcie przekracza 2 mld zł, ale to nie oznacza, że tyle wydano w 2025 r.
Na „Cyberbezpieczne Wodociągi”, czyli wzmocnienie odporności systemów sterowania przemysłowego (OT/ICS) w przedsiębiorstwach wodno-kanalizacyjnych przeznaczono ponad 590 mln zł. To środki zabudżetowane, które są wypłacane stopniowo – uściśla resort cyfryzacji.
Na „Cyberbezpieczny Rząd” – czyli modernizację sieci IT podmiotów administracji rządowej i urzędów wojewódzkich wypłacono granty o wartości 258 mln zł.
Projekt „Cyberbezpieczny Samorząd”, czyli modernizacja infrastruktury jednostek samorządu terytorialnego i szkolenia, to koszt 1,3 mld zł. Pieniądze zaczęto wydawać w 2024 r.
Ponadto podano także, że w ubiegłym roku minister cyfryzacji zawarł 152 umowy o udzielenie wsparcia ze środków Funduszu Cyberbezpieczeństwa na kwotę 377,3 mln zł. Świadczenie teleinformatyczne otrzymało blisko 7000 osób. Świadczenie to to forma wynagrodzenia dla osób pracujących w sektorze publicznym na rzecz cyberochrony: w CSIRT-ach, służbach odpowiedzialnych za bezpieczeństwo państwa oraz bezpieczeństwo powszechne, a także w niektórych urzędach administracji publicznej.
Jako ważną zmianę wskazano przyjętą już w 2026 r. nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC).
Grupy hakerskie z Rosji i Białorusi nadal aktywne
„Krajobraz zagrożeń w 2025 r. zdominowały zjawiska związane z profesjonalizacją cyberprzestępczości oraz aktywnością grup APT powiązanych ze służbami specjalnymi Rosji i Białorusi” – napisał Gawkowski.
„Kluczowym wektorem ataków stało się wykorzystanie sztucznej inteligencji (AI), która umożliwiła m.in. masową automatyzację kampanii socjotechnicznych” – podał pełnomocnik.
Według niego, największym systemowym wyzwaniem dla krajowego systemu cyberbezpieczeństwa w minionym roku był niedobór wysoko wykwalifikowanych specjalistów oraz ograniczenia finansowe w sektorze publicznym.
Czytaj więcej
Hakerzy, którzy powiązani są z irańską grupą Handala poinformowali, że włamali się do prywatnej skrzynki mailowej dyrektora FBI Kasha Patela – poda...
„Nowelizacja KSC skokowo zwiększy liczbę objętych systemem podmiotów kluczowych i podmiotów ważnych, z których wiele – szczególnie w sektorze ochrony zdrowia czy samorządach – charakteryzuje się stosunkowo niską odpornością i będzie wymagało znacznego wsparcia technicznego, merytorycznego i finansowego” – ocenił wicepremier.
W sprawozdaniu wskazano najważniejsze trendy w cyberprzestępczości. Ważnym tematem jest aktywność grup państwowych (tzw. APT) wywodzących się z Rosji i Białorusi, nasilona podczas działań wojennych w Ukrainie. Chodzi o cyberszpiegostwo, kradzież danych i operacje destrukcyjne. Według pełnomocnika, najpoważniejszym tego przykładem był skoordynowany atak z końca grudnia 2025 r. wymierzony w sektor energii polegający na użyciu oprogramowania typu wiper (mające na celu nieodwracalne zniszczenie danych) do ataku na ponad 30 farm wiatrowych i fotowoltaicznych oraz dużą elektrociepłownię.
Obserwowano wysoką aktywność prorosyjskich grup haktywistycznych, przeprowadzających potężne ataki wolumetryczne DDoS m.in. na infrastrukturę finansową w trakcie wyborów prezydenckich w Polsce.
Jednym z zagrożeń o niszczycielskich skutkach pozostawały ataki typu ransomware (z wykorzystaniem zainfekowanego oprogramowania). „Silnie dotknięty tym wektorem był m.in. sektor zdrowia, czego przykładem był poważny paraliż infrastruktury podmiotu medycznego MSWiA w Krakowie” – czytamy w sprawozdaniu.
