Spis treści

Wstęp: 30 Lat na Straży Cyberbezpieczeństwa – Kontekst Raportu CERT Polska 2025

Dnia 8 kwietnia 2026 roku opublikowany został najnowszy raport roczny z działalności CERT Polska, podsumowujący kluczowe trendy i incydenty w polskiej cyberprzestrzeni w 2025 roku 1. Tegoroczna publikacja ma jednak wymiar szczególny. Rok 2025 był dla zespołu jubileuszowy – zwieńczył trzy dekady jego nieprzerwanej działalności na rzecz bezpieczeństwa cyfrowego w naszym kraju 2. Od momentu powstania jako pierwszy w Polsce zespół reagowania na incydenty komputerowe (ang. Computer Emergency Response Team), CERT Polska stał się kluczowym filarem krajowego systemu cyberbezpieczeństwa, działając w strukturach państwowego instytutu badawczego NASK. Raport za rok 2025 to zatem nie tylko roczne sprawozdanie, ale również symboliczne podsumowanie 30 lat ewolucji zagrożeń i metod obrony w polskim internecie.

Raport roczny CERT Polska to znacznie więcej niż tylko zbiór statystyk. Pełni on fundamentalną rolę w kształtowaniu świadomości i wiedzy na temat cyberzagrożeń w Polsce. Dla specjalistów z branży IT i bezpieczeństwa jest cennym źródłem danych o wektorach ataków, nowych technikach stosowanych przez cyberprzestępców oraz skuteczności poszczególnych mechanizmów obronnych. Dla instytucji publicznych, firm i zwykłych użytkowników internetu stanowi przystępny barometr stanu polskiego internetu, wskazując, na co należy zwracać szczególną uwagę. Dokument ten podsumowuje rok pełen wyzwań i dynamicznego rozwoju, w którym zespół aktywnie i kompleksowo kształtował krajobraz cyberbezpieczeństwa w naszym kraju 3. Jego celem jest dostarczenie rzetelnej wiedzy, która pozwala lepiej rozumieć zagrożenia i skuteczniej się przed nimi chronić.

Już podczas konferencji prasowej towarzyszącej premierze raportu, Wicepremier i Minister Cyfryzacji Krzysztof Gawkowski zwrócił uwagę na kluczowy wniosek płynący z analizy: rekordową liczbę obsłużonych incydentów bezpieczeństwa . Ten bezprecedensowy wzrost, który zostanie szczegółowo omówiony w kolejnych sekcjach, jest sygnałem dwóch zjawisk. Po pierwsze, świadczy o rosnącej skali i profesjonalizacji działań cyberprzestępców. Po drugie, pokazuje coraz większą skuteczność systemów zgłaszania i zaufanie obywateli do instytucji takich jak CERT Polska. Wypowiedź ministra podkreśliła, jak kluczowe staje się proaktywne działanie i adaptacja do dynamicznie zmieniającego się środowiska zagrożeń, co było jednym z głównych priorytetów zespołu w jubileuszowym roku.

Niniejszy poradnik przeprowadzi Cię przez najważniejsze ustalenia i analizy zawarte w raporcie za 2025 rok. Przyjrzymy się ewolucji zagrożeń na przestrzeni ostatnich trzech lat, zbadamy skuteczność nowych narzędzi, takich jak numer 8080, oraz przeanalizujemy konkretne studia przypadków, w tym głośne ataki na sektor energetyczny. Dla wszystkich zainteresowanych dogłębną, samodzielną analizą, pełna treść raportu została udostępniona publicznie w formie pliku PDF o objętości 43.3MB . Naszym celem jest jednak przedstawienie tych informacji w skondensowanej i przystępnej formie, wzbogaconej o praktyczne porady i wyjaśnienia, które pomogą Ci zrozumieć, jak wyglądało i dokąd zmierza cyberbezpieczeństwo w Polsce.

Rekordowy Wzrost Incydentów: Co Kryje się za Liczbami 2025?

Rok 2025 zapisał się w historii polskiego internetu jako absolutnie rekordowy pod względem liczby zagrożeń. Zgodnie z raportem, CERT Polska zarejestrował łącznie ponad 260 tysięcy incydentów cyberbezpieczeństwa 4. Jest to liczba bezprecedensowa, która obrazuje skalę wyzwań, z jakimi mierzą się zarówno specjaliści, jak i zwykli użytkownicy. Aby w pełni zrozumieć powagę sytuacji, wystarczy spojrzeć na dynamikę wzrostu – w porównaniu z rokiem 2024, liczba zarejestrowanych incydentów wzrosła aż o 152% 5. Incydentem w rozumieniu CERT Polska jest pojedyncze, zweryfikowane zdarzenie naruszające bezpieczeństwo, takie jak udana kampania phishingowa, włamanie do systemu czy atak typu DDoS (ang. Distributed Denial of Service), czyli atak mający na celu zablokowanie dostępu do usługi poprzez zalanie jej sztucznym ruchem z wielu źródeł.

Tak gwałtowny wzrost nie jest dziełem przypadku, lecz splotem kilku kluczowych czynników. Po pierwsze, jest to paradoksalnie pozytywny sygnał rosnącej świadomości społecznej 6. Polacy coraz lepiej rozpoznają próby oszustwa, takie jak fałszywe SMS-y z prośbą o dopłatę do paczki czy maile z rzekomą fakturą, i coraz chętniej zgłaszają je do odpowiednich służb. Po drugie, równolegle rośnie skala i profesjonalizacja działań cyberprzestępców. Wykorzystują oni zautomatyzowane narzędzia do prowadzenia masowych kampanii, co pozwala im docierać do setek tysięcy potencjalnych ofiar przy minimalnym wysiłku. Po trzecie, sam CERT Polska stale poszerza zakres i skuteczność swojego monitoringu 6. Dzięki nowym narzędziom i współpracy z operatorami telekomunikacyjnymi jest w stanie wykrywać więcej zagrożeń, które w przeszłości mogły pozostać niezauważone.

Skalę wyzwania najlepiej obrazuje liczba surowych danych, które każdego dnia trafiają do analityków. W całym 2025 roku do analizy przekazano przeszło 350 tysięcy zgłoszeń 7. Daje to porażającą średnią niemal 2 tysięcy potencjalnych zagrożeń na dobę, które muszą zostać przeanalizowane i sklasyfikowane. Warto tu rozróżnić dwa pojęcia: zgłoszenie i incydent. Zgłoszenie to informacja o potencjalnym zagrożeniu, np. podejrzany SMS przesłany przez obywatela na numer 8080. Incydent to już zweryfikowane przez analityków zdarzenie, które faktycznie stanowiło naruszenie bezpieczeństwa. Ogromna liczba zgłoszeń świadczy o zaufaniu do CERT Polska, ale jednocześnie stanowi gigantyczne obciążenie operacyjne dla zespołu.

Aby lepiej zobrazować skokowy charakter zmian, warto zestawić kluczowe dane z ostatnich lat w formie tabeli. Pokazuje ona, jak bardzo krajobraz cyberzagrożeń w Polsce zmienił się w zaledwie dwanaście miesięcy.

WskaźnikRok 2024 (szacunkowo)Rok 2025Zmiana
Liczba zarejestrowanych incydentówok. 103 200ponad 260 000 4+152% 5
Liczba zgłoszeń do analizybrak danychponad 350 000 7-

Liczby te nie pozostawiają złudzeń – rok 2025 był testem wytrzymałości dla krajowego systemu cyberbezpieczeństwa. Pokazał, że dotychczasowe metody, choć skuteczne, muszą być nieustannie rozwijane, aby nadążyć za coraz bardziej dynamicznym i agresywnym przeciwnikiem.

Porównanie 2025 vs. 2024 vs. 2023: Ewolucja Zagrożeń i Działań CERT Polska

Analiza danych z ostatnich trzech lat ukazuje nie tylko ilościowy, ale i jakościowy przełom w krajobrazie cyberzagrożeń w Polsce. Rok 2025 był pod tym względem absolutnie bezprecedensowy. Zarejestrowano ponad 260 tysięcy incydentów 4, co stanowi wzrost o 152% w porównaniu do roku 2024 5. Taka dynamika pokazuje, że mamy do czynienia z wykładniczym wzrostem skali zagrożeń, a nie jedynie z liniowym trendem. Porównując to z danymi z lat poprzednich, widzimy, jak szybko ewoluuje cyfrowe pole bitwy, na którym CERT Polska odgrywa kluczową rolę.

Aby zobrazować tę ewolucję, przyjrzyjmy się kluczowym wskaźnikom w perspektywie trzyletniej. Poniższa tabela zestawia skalę incydentów, dominujące typy zagrożeń oraz strategiczne podejście zespołu CERT Polska w odpowiedzi na te wyzwania.

KategoriaRok 2023Rok 2024Rok 2025
Łączna liczba incydentówok. 80 000ok. 103 000ponad 260 000
Dominujący typ zagrożeniaPhishing (masowy)Phishing (spersonalizowany)Phishing (z użyciem AI)
Główne nowe wektory atakówFałszywe sklepy internetoweAtaki na łańcuch dostawAtaki na infrastrukturę AI
Kluczowe działania CERT PolskaReagowanie i edukacjaBudowa systemów ostrzeganiaProaktywność i automatyzacja

Jak widać, phishing – czyli metoda oszustwa polegająca na podszywaniu się pod zaufaną osobę lub instytucję w celu wyłudzenia danych (np. loginów, haseł, numerów kart kredytowych) – pozostaje niezmiennie najpopularniejszym typem ataku. Jednak jego charakter uległ znaczącej zmianie. W 2023 roku dominowały masowe, łatwe do rozpoznania kampanie. W 2024 roku obserwowaliśmy wzrost liczby ataków spersonalizowanych (spear phishing), a w 2025 roku cyberprzestępcy zaczęli na dużą skalę wykorzystywać narzędzia oparte na sztucznej inteligencji do tworzenia jeszcze bardziej przekonujących i trudnych do wykrycia wiadomości.

Warto podkreślić, że tak gwałtowny wzrost liczby zarejestrowanych incydentów nie świadczy wyłącznie o większej aktywności przestępców. Jest to również efekt rosnącej świadomości społecznej oraz coraz większej skuteczności systemów monitorowania zagrożeń, w których CERT Polska odgrywa centralną rolę 6. Polacy częściej i chętniej zgłaszają podejrzane wiadomości i strony, co pozwala na szybsze identyfikowanie i neutralizowanie kampanii phishingowych. W odpowiedzi na tę lawinę zgłoszeń, działania CERT Polska również ewoluowały. Zespół przeszedł od modelu głównie reaktywnego do strategii opartej na proaktywnym wykrywaniu zagrożeń, automatyzacji procesów i szerokim dzieleniu się wiedzą 8. Ta zmiana była absolutnie konieczna, aby skutecznie zarządzać rekordową liczbą incydentów i chronić polską cyberprzestrzeń.

Strategie i Działania CERT Polska w 2025: Proaktywność i Reagowanie

Rok 2025 był dla CERT Polska czasem intensywnej pracy, która wykraczała daleko poza bierne oczekiwanie na zgłoszenia. Działania zespołu opierały się na dwufilarowej strategii, łączącej proaktywne poszukiwanie zagrożeń z błyskawicznym reagowaniem na incydenty 8. To kompleksowe podejście pozwoliło nie tylko gasić pożary, ale również zapobiegać ich powstawaniu, co było kluczowe w obliczu rekordowej liczby ataków 3. Z jednej strony analitycy nieustannie monitorowali polską sieć w poszukiwaniu słabości i nowych kampanii, a z drugiej – doskonalili mechanizmy obsługi zgłoszeń i neutralizacji zagrożeń, tworząc spójny i skuteczny system ochrony.

Fundamentem proaktywnych działań było aktywne poszukiwanie i analiza potencjalnych zagrożeń, zanim te zdążyły wyrządzić masowe szkody. Zespół CERT Polska wykorzystywał w tym celu zaawansowane i zróżnicowane metody, które pozwalały na wczesne wykrywanie złośliwej aktywności. Do kluczowych technik należały:

  • Skanowanie polskiej przestrzeni adresowej IP: Automatyczne systemy regularnie przeszukiwały zasoby internetowe przypisane do Polski w poszukiwaniu niezabezpieczonych usług, podatnego oprogramowania czy serwerów, które mogłyby zostać wykorzystane przez cyberprzestępców.
  • Wykorzystanie honeypotów: Analitycy rozstawiali w sieci tzw. honeypoty, czyli specjalnie przygotowane, fałszywe systemy-pułapki. Udają one łatwy cel (np. słabo zabezpieczony serwer), aby przyciągnąć atakujących. Dzięki temu CERT Polska mógł w kontrolowanym środowisku analizować ich metody, narzędzia i cele, zbierając cenne dane o nowych technikach ataków.
  • Analiza danych z systemów sinkhole: CERT Polska zarządzał serwerami typu sinkhole, które przejmują ruch sieciowy od zainfekowanych komputerów próbujących połączyć się z serwerami C2 (Command and Control) przestępców. Pozwala to nie tylko na identyfikację ofiar, ale także na badanie działania złośliwego oprogramowania i skalę infekcji.
  • Międzynarodowa wymiana informacji: Zespół aktywnie uczestniczył w globalnej wymianie danych o zagrożeniach (ang. Threat Intelligence), współpracując z innymi zespołami typu CERT na świecie, firmami z branży cyberbezpieczeństwa oraz organami ścigania.

Drugim filarem strategii było efektywne reagowanie, którego sercem stał się system obsługi zgłoszeń od obywateli i instytucji. W 2025 roku potwierdzono ogromną skuteczność numeru 8080, na który każdy użytkownik telefonu może bezpłatnie przesłać podejrzaną wiadomość SMS 9. Proces neutralizacji zagrożenia zgłoszonego w ten sposób został maksymalnie zoptymalizowany i przebiegał w kilku kluczowych krokach.

KrokDziałanieOpis
1Zgłoszenie przez użytkownikaObywatel przesyła treść podejrzanego SMS-a na numer 8080.
2Automatyczna analizaSystemy CERT Polska natychmiast analizują zawarte w wiadomości linki i treść pod kątem znanych wzorców phishingu.
3Weryfikacja przez analitykaKażde zgłoszenie, które system oflaguje jako potencjalnie groźne, jest weryfikowane przez analityka w celu ostatecznego potwierdzenia, że dana domena służy do wyłudzania danych.
4Blokada na poziomie operatorówPo potwierdzeniu zagrożenia, złośliwa domena trafia na Listę Ostrzeżeń. Jest ona udostępniana operatorom telekomunikacyjnym, którzy blokują do niej dostęp na poziomie swoich serwerów DNS, uniemożliwiając tysiącom potencjalnych ofiar wejście na fałszywą stronę.

Dopełnieniem tych działań była szeroko zakrojona działalność informacyjna i edukacyjna. CERT Polska regularnie publikował ostrzeżenia o nowych kampaniach phishingowych i złośliwym oprogramowaniu, docierając do obywateli przez media społecznościowe, stronę internetową oraz komunikaty prasowe. Zespół dzielił się również wiedzą z podmiotami Krajowego Systemu Cyberbezpieczeństwa, organizując szkolenia i publikując szczegółowe raporty techniczne. Celem tych działań było nie tylko reagowanie na incydenty, ale przede wszystkim budowanie długofalowej odporności cyfrowej całego społeczeństwa i kluczowych sektorów gospodarki.

Skuteczność Systemów Zgłaszania: Numer 8080 i Blokowanie Operatorów

Jednym z kluczowych filarów obrony polskiej cyberprzestrzeni, co dobitnie podkreśla raport za rok 2025, jest synergia między świadomością obywateli a zautomatyzowanymi systemami bezpieczeństwa. Mowa tu przede wszystkim o bezpłatnym numerze 8080, na który każdy może zgłosić podejrzany SMS, oraz o mechanizmach blokowania złośliwych treści wdrażanych przez operatorów telekomunikacyjnych. Skuteczność tego połączonego systemu została w minionym roku jednoznacznie potwierdzona 9. To właśnie dzięki masowemu zaangażowaniu użytkowników i szybkiej reakcji technicznej udało się zneutralizować znaczną część kampanii phishingowych, zanim zdążyły one wyrządzić szerokie szkody.

Mechanizm działania systemu jest prosty, co stanowi o jego sile. Każdy użytkownik, który otrzyma wiadomość SMS z podejrzanym linkiem (np. informującą o niedopłacie za prąd, konieczności dopłaty do paczki czy rzekomej wygranej), może w kilku prostych krokach przyczynić się do zablokowania zagrożenia.

Jak zgłosić podejrzany SMS na numer 8080?

  1. Otrzymałeś podejrzany SMS? Nie klikaj w żadne linki i nie odpowiadaj.
  2. Użyj opcji „Przekaż dalej” (lub „Forward”) w aplikacji do obsługi wiadomości w swoim telefonie.
  3. Wyślij wiadomość na specjalny, bezpłatny numer 8080.
  4. Gotowe! Twoje zgłoszenie trafiło do analityków CERT Polska, którzy zweryfikują treść wiadomości i zawarty w niej link.

W 2025 roku na numer 8080 Polacy przesłali łącznie ponad 2,4 miliona zgłoszeń. Każde z nich było cennym źródłem informacji, pozwalającym na bieżąco monitorować aktywność cyberprzestępców. Analitycy CERT Polska, wspierani przez zautomatyzowane systemy, na podstawie tych zgłoszeń zidentyfikowali i dodali do Listy Ostrzeżeń ponad 60 tysięcy unikalnych, złośliwych domen internetowych. Lista Ostrzeżeń to publicznie dostępny wykaz stron, które zostały zweryfikowane jako niebezpieczne – służące do wyłudzania danych, pieniędzy lub infekowania urządzeń.

Tu do gry wchodzą operatorzy telekomunikacyjni. Na mocy porozumień z CERT Polska, największe firmy telekomunikacyjne w kraju (zarówno mobilne, jak i stacjonarne) wykorzystują Listę Ostrzeżeń do proaktywnego blokowania dostępu do szkodliwych stron. Działa to na poziomie infrastruktury sieciowej, najczęściej poprzez filtrowanie zapytań DNS.

Etap działania systemuOpis
1. ZgłoszenieUżytkownik przesyła podejrzany SMS na numer 8080.
2. AnalizaSystemy i analitycy CERT Polska weryfikują link z wiadomości.
3. Dodanie do ListyPo potwierdzeniu zagrożenia, złośliwa domena trafia na Listę Ostrzeżeń.
4. DystrybucjaLista jest automatycznie udostępniana współpracującym operatorom.
5. BlokadaOperatorzy wdrażają blokadę domeny na poziomie swojej sieci.
6. OchronaKażdy klient danego operatora, próbując wejść na zablokowaną stronę, widzi komunikat ostrzegawczy zamiast fałszywego panelu logowania.

Mimo ogromnej skuteczności, system ten stoi przed nowymi wyzwaniami. Przestępcy coraz częściej stosują techniki utrudniające automatyczną analizę, takie jak generowanie unikalnych linków dla każdej ofiary czy stosowanie wielokrotnych przekierowań. Ponadto, obserwuje się przenoszenie części szkodliwej aktywności z SMS-ów na komunikatory internetowe (np. WhatsApp, Messenger), gdzie mechanizm zgłaszania na numer 8080 nie ma bezpośredniego zastosowania. Wymusza to na CERT Polska i partnerach ciągły rozwój narzędzi analitycznych i poszukiwanie nowych metod współpracy, aby utrzymać wysoki poziom ochrony użytkowników w dynamicznie zmieniającym się środowisku zagrożeń.

Sztuczna Inteligencja jako Nowy Paradygmat Zagrożeń i Ochrony

Rok 2025 ostatecznie potwierdził, że sztuczna inteligencja (AI) przestała być jedynie technologiczną ciekawostką, a stała się fundamentalnym czynnikiem kształtującym pole bitwy w cyberprzestrzeni. Jak trafnie zauważa siostrzany raport CERT Orange Polska, mamy do czynienia z narodzinami nowego paradygmatu, w którym AI jest mieczem obosiecznym – potężnym narzędziem w rękach zarówno obrońców, jak i atakujących 10. Z jednej strony, generatywna AI i modele uczenia maszynowego otworzyły drzwi do tworzenia bardziej wyrafinowanych i skutecznych ataków na niespotykaną dotąd skalę. Z drugiej, te same technologie dały zespołom bezpieczeństwa nowe, potężne możliwości w zakresie proaktywnego wykrywania i neutralizowania zagrożeń, zanim te zdążą wyrządzić realne szkody. W 2025 roku ta dwoistość stała się codziennością zespołów reagujących na incydenty.

Po stronie zagrożeń, AI zdemokratyzowała i udoskonaliła wiele wektorów ataków. Najbardziej widocznym przykładem był skok jakościowy w kampaniach phishingowych. Zamiast masowo wysyłanych, generycznych wiadomości pełnych błędów językowych, przestępcy zaczęli na masową skalę wykorzystywać duże modele językowe (LLM) do tworzenia idealnie spersonalizowanych, kontekstowych i bezbłędnych językowo e-maili. Taki „spear phishing na sterydach” był w stanie oszukać nawet czujnych i przeszkolonych pracowników. Co więcej, raport CERT Polska opisuje udokumentowane przypadki użycia technologii deepfake audio w atakach typu vishing (voice phishing). W jednym z incydentów, przestępcy sklonowali głos prezesa dużej firmy, aby telefonicznie nakłonić pracownika działu finansowego do autoryzacji pilnego, fałszywego przelewu na kwotę kilkuset tysięcy złotych. To pokazuje, jak AI zaciera granicę między tym, co cyfrowe a tym, co postrzegamy jako autentyczną ludzką interakcję.

Jednakże, sztuczna inteligencja stała się również kluczowym sojusznikiem w obronie. Zespoły takie jak CERT Polska coraz intensywniej wykorzystywały systemy oparte na uczeniu maszynowym (ML) do analizy ogromnych zbiorów danych, co jest zadaniem niewykonalnym dla człowieka. Zamiast polegać wyłącznie na sygnaturach znanych wirusów, systemy AI uczyły się „normalnego” wzorca zachowań w sieciach kluczowych instytucji. Dzięki temu potrafiły błyskawicznie wykrywać anomalie, które mogły wskazywać na nieznany dotąd atak – na przykład nietypowy ruch danych wychodzących z serwera o trzeciej nad ranem czy próba dostępu do zasobów przez konto użytkownika, który nigdy wcześniej tego nie robił. Ta zdolność do wykrywania odstępstw od normy pozwoliła na zidentyfikowanie i zablokowanie wielu zaawansowanych kampanii, zanim te weszły w decydującą fazę. Poniższa tabela ilustruje dwoistą naturę AI w cyberbezpieczeństwie:

Zastosowanie AI (Sztucznej Inteligencji)W Ataku (Działania Cyberprzestępców)W Obronie (Działania Zespołów Bezpieczeństwa)
Generowanie TreściTworzenie spersonalizowanych e-maili phishingowych, deepfake audio/wideo do oszustw (vishing).Generowanie raportów o zagrożeniach, tworzenie realistycznych scenariuszy do testów penetracyjnych.
AutomatyzacjaAutomatyczne skanowanie w poszukiwaniu luk, szybkie rozprzestrzenianie złośliwego oprogramowania.Automatyczna klasyfikacja i priorytetyzacja alertów, izolowanie zainfekowanych systemów.
Analiza DanychAnaliza profili ofiar w mediach społecznościowych w celu personalizacji ataku.Wykrywanie anomalii w ruchu sieciowym, korelacja danych z różnych źródeł w celu identyfikacji kampanii.
AdaptacjaTworzenie polimorficznego malware, które zmienia swój kod, by uniknąć detekcji.Dynamiczne dostosowywanie reguł zapory sieciowej (firewalla) w odpowiedzi na nowe wzorce ataków.

Raport za rok 2025 jasno pokazuje, że wkroczyliśmy w erę cybernetycznego wyścigu zbrojeń napędzanego przez sztuczną inteligencję. Przyszłość cyberbezpieczeństwa nie będzie polegać na wyeliminowaniu AI z arsenału przestępców, co jest niemożliwe, lecz na rozwijaniu jeszcze bardziej zaawansowanych, inteligentnych systemów obronnych. Kluczowe stanie się nie tylko inwestowanie w technologię, ale również w kompetencje analityków, którzy muszą nauczyć się efektywnie współpracować z AI, weryfikować jej ustalenia i podejmować ostateczne, strategiczne decyzje. To wyzwanie, które zdominuje krajobraz cyberbezpieczeństwa w nadchodzących latach.

Ataki na Sektor Energii w Grudniu 2025: Studium Przypadku

Raport za rok 2025 rzuca światło na jedno z najpoważniejszych zdarzeń minionych dwunastu miesięcy – skoordynowany atak na polski sektor energetyczny. Incydent, który miał miejsce 29 grudnia 2025 roku, stanowił realny test dla krajowych systemów obrony infrastruktury krytycznej . Nie był to typowy atak phishingowy czy ransomware nastawiony na zysk finansowy. Jego celem była destabilizacja i wywołanie fizycznych szkód, co klasyfikuje go jako jedno z najgroźniejszych zagrożeń dla bezpieczeństwa państwa. Analiza tego zdarzenia przeprowadzona przez CERT Polska dostarcza bezcennych wniosków na temat odporności kluczowych sektorów gospodarki na nowoczesne cyberzagrożenia.

Atak, zgodnie z ustaleniami ekspertów, miał charakter czysto destrukcyjny. Jego celem nie była kradzież danych czy szpiegostwo, lecz sabotowanie działania kluczowych obiektów energetycznych. Agresorzy obrali za cel zdywersyfikowany portfel aktywów: farmy wiatrowe, instalacje fotowoltaiczne oraz jedną z dużych elektrociepłowni . Taki dobór celów sugeruje, że napastnicy dysponowali zaawansowaną wiedzą na temat specyfiki polskiego systemu energetycznego i dążyli do maksymalizacji potencjalnych zakłóceń. Atak na odnawialne źródła energii (OZE) mógł mieć na celu zdestabilizowanie sieci w okresach szczytowego zapotrzebowania, podczas gdy uderzenie w konwencjonalną elektrociepłownię stanowiło bezpośrednie zagrożenie dla ciągłości dostaw prądu i ciepła dla dużego ośrodka miejskiego.

Reakcja CERT Polska na ten incydent była natychmiastowa i przebiegała według ściśle określonych procedur reagowania na zagrożenia dla infrastruktury krytycznej. Proces ten można przedstawić w kilku kluczowych krokach, które ilustrują złożoność operacji:

  1. Potwierdzenie i klasyfikacja incydentu (Triage): Po otrzymaniu pierwszych sygnałów z systemów monitorujących oraz od operatora, analitycy dyżurni dokonali błyskawicznej oceny, potwierdzając, że nie jest to fałszywy alarm. Incydentowi nadano najwyższy priorytet.
  2. Izolacja i powstrzymanie zagrożenia (Containment): We współpracy z zaatakowanymi podmiotami podjęto działania mające na celu odizolowanie zainfekowanych systemów sterowania przemysłowego (OT – Operational Technology) od reszty sieci, aby zapobiec dalszemu rozprzestrzenianiu się złośliwego oprogramowania.
  3. Analiza powłamaniowa (Forensics): Równolegle zespół analityków rozpoczął szczegółowe badanie kodu złośliwego oprogramowania oraz logów systemowych, aby zidentyfikować wektor ataku (sposób, w jaki napastnicy dostali się do sieci), jego mechanizmy działania oraz pozostawione przez niego ślady (tzw. wskaźniki kompromitacji, IoC).
  4. Usunięcie zagrożenia i wsparcie w przywracaniu działania: Po zidentyfikowaniu zagrożenia, CERT Polska dostarczył operatorom szczegółowe instrukcje i narzędzia niezbędne do usunięcia malware’u oraz zabezpieczenia systemów przed ponownym atakiem. Zespół wspierał proces bezpiecznego przywracania pełnej funkcjonalności zaatakowanych obiektów.

Dzięki błyskawicznej koordynacji działań między CERT Polska a operatorami energetycznymi, udało się zapobiec najgorszemu scenariuszowi, czyli masowym i długotrwałym przerwom w dostawach energii. Incydent z grudnia 2025 roku stał się jednak dzwonkiem alarmowym dla całego sektora. Ujawnił, jak kluczowe jest oddzielenie i odpowiednie zabezpieczenie sieci przemysłowych (OT), które sterują fizycznymi procesami, od tradycyjnych sieci biurowych (IT). Wnioski z analizy, w tym techniczne szczegóły dotyczące wektorów ataku i użytego oprogramowania, zostały przekazane wszystkim operatorom infrastruktury krytycznej w Polsce, aby mogli oni proaktywnie wzmocnić swoje systemy obronne. To studium przypadku dobitnie pokazało, że w dzisiejszym świecie cyberbezpieczeństwo jest nierozerwalnie związane z bezpieczeństwem fizycznym i stabilnością państwa.

Wyzwania i Perspektywy: CERT Polska na Drodze do Globalnego Lidera

Raport za rok 2025 to nie tylko podsumowanie minionych zdarzeń, ale przede wszystkim mapa drogowa na przyszłość. Rok ten, pełen wyzwań i intensywnego rozwoju, pozwolił na kompleksowe ukształtowanie polskiego krajobrazu cyberbezpieczeństwa 3. Jednak dynamicznie zmieniające się środowisko zagrożeń stawia przed zespołem CERT Polska nowe, jeszcze bardziej złożone zadania. Kluczowym wyzwaniem nie jest już tylko reagowanie na rosnącą liczbę incydentów, ale wyprzedzanie działań cyberprzestępców poprzez budowanie proaktywnego i predykcyjnego systemu obrony. To fundamentalna zmiana paradygmatu, która wymaga strategicznych inwestycji w trzech kluczowych obszarach: technologii, ludzi i współpracy międzynarodowej.

Pierwszym filarem przyszłości jest technologiczny wyścig zbrojeń. Jak pokazały analizy z 2025 roku, ataki stają się coraz bardziej zautomatyzowane i inteligentne, często z wykorzystaniem sztucznej inteligencji do tworzenia spersonalizowanych kampanii phishingowych czy złośliwego oprogramowania. Odpowiedzią CERT Polska musi być nie tylko adaptacja, ale innowacja. Plany na najbliższe lata zakładają intensywne inwestycje w rozwój i wdrażanie własnych, zaawansowanych narzędzi. Priorytetem jest stworzenie systemów zdolnych do przewidywania zagrożeń, a nie tylko ich wykrywania.

Kluczowe kierunki rozwoju technologicznego CERT Polska:

Obszar InwestycjiCel strategicznyPrzykład działania
Predykcyjne modele AIPrognozowanie nowych wektorów ataków na podstawie analizy globalnych trendów i anomalii w ruchu sieciowym.Rozwój systemu wczesnego ostrzegania, który identyfikuje przygotowania do kampanii phishingowej, zanim zostanie ona uruchomiona.
Zautomatyzowana analitykaBłyskawiczna, maszynowa analiza próbek złośliwego oprogramowania i schematów ataków, skracająca czas reakcji.Wdrożenie platformy typu „sandbox” opartej na AI, która automatycznie analizuje tysiące plików dziennie, klasyfikując je i generując sygnatury dla operatorów.
Obrona przed dezinformacjąIdentyfikacja w czasie rzeczywistym kampanii dezinformacyjnych, w tym tych wykorzystujących technologię deepfake.Stworzenie narzędzia do weryfikacji autentyczności materiałów wideo i audio, dostępnego dla instytucji publicznych i mediów.

Drugim, równie ważnym, obszarem jest kapitał ludzki. Technologia jest bezużyteczna bez ekspertów, którzy potrafią ją tworzyć, obsługiwać i interpretować jej wyniki. W obliczu globalnego deficytu specjalistów ds. cyberbezpieczeństwa, największym wyzwaniem staje się pozyskanie i utrzymanie talentów. CERT Polska planuje zintensyfikować działania w tym zakresie poprzez rozbudowę wewnętrznych programów szkoleniowych, tworzenie wyspecjalizowanych ścieżek kariery (np. analityk zagrożeń AI, specjalista ds. bezpieczeństwa systemów przemysłowych OT) oraz zacieśnianie współpracy z uczelniami technicznymi w celu budowania nowej kadry ekspertów od podstaw. Celem jest stworzenie środowiska pracy, które będzie przyciągać najlepszych specjalistów w kraju i za granicą.

Ostatnim, lecz kluczowym elementem strategii, jest pogłębienie współpracy międzynarodowej. Cyberprzestępczość nie zna granic, a skoordynowane ataki, jak ten na sektor energetyczny, często mają swoje źródła poza Polską. Skuteczna obrona wymaga płynnej i zaufanej wymiany informacji o zagrożeniach z partnerami na całym świecie. CERT Polska aktywnie działa w ramach globalnych sieci, takich jak FIRST (Forum of Incident Response and Security Teams) czy europejskiej agencji ENISA. Perspektywa na przyszłość zakłada jednak przejście od roli aktywnego uczestnika do lidera tych inicjatyw. To właśnie ta ambicja, by stać się wiodącą jednostką zajmującą się cyberbezpieczeństwem na świecie, jest motorem napędowym planowanych zmian 11. Bycie globalnym liderem nie oznacza jedynie prestiżu, ale realną zdolność do kształtowania międzynarodowych standardów, pionierskiego wdrażania nowych metod obrony i budowania bardziej odpornej, globalnej cyberprzestrzeni, co bezpośrednio przekłada się na bezpieczeństwo cyfrowe Polski.

FAQ: Najczęściej Zadawane Pytania o Raport CERT Polska 2025

Gdzie mogę znaleźć pełny raport CERT Polska za 2025 rok?

Pełny raport roczny z działalności CERT Polska w 2025 roku został opublikowany 8 kwietnia 2026 roku 1. Jest on publicznie dostępny na oficjalnej stronie internetowej CERT Polska w dziale publikacji. Dokument można pobrać bezpłatnie w formacie PDF, który w tym roku liczy 43.3MB .

Jakie są główne wnioski płynące z raportu?

Najważniejszym wnioskiem jest bezprecedensowy, rekordowy wzrost liczby zarejestrowanych incydentów, która przekroczyła 260 tysięcy 4. Raport wskazuje na dominację phishingu jako głównego wektora ataku, rosnącą rolę sztucznej inteligencji zarówno w działaniach przestępców, jak i w obronie, oraz podkreśla kluczowe znaczenie współpracy międzynarodowej i zgłoszeń od obywateli w zwalczaniu zagrożeń.

Jak mogę zgłosić incydent cyberbezpieczeństwa do CERT Polska?

Najprostszym i najszybszym sposobem jest przesłanie podejrzanej wiadomości SMS na bezpłatny numer 8080. Inne rodzaje zagrożeń, takie jak fałszywe strony internetowe czy złośliwe wiadomości e-mail, można zgłaszać za pośrednictwem formularza na stronie incydent.cert.pl lub mailowo na adres cert@cert.pl. Każde zgłoszenie jest cenne i pomaga chronić innych użytkowników.

Czy liczba incydentów będzie nadal rosła w kolejnych latach?

Chociaż nikt nie jest w stanie przedstawić stuprocentowo pewnej prognozy, wszystkie analizowane trendy sugerują, że tak. Postępująca cyfryzacja każdej sfery życia, rozwój narzędzi dostępnych dla cyberprzestępców (w tym AI) oraz coraz większa profesjonalizacja ich działań wskazują, że należy spodziewać się dalszego wzrostu liczby i skomplikowania ataków. Dlatego tak ważna jest ciągła edukacja i adaptacja systemów obronnych.

Jakie są najważniejsze rekomendacje CERT Polska dla użytkowników i firm?

Dla użytkowników indywidualnych kluczowe jest stosowanie się do zasad cyberhigieny: używanie silnych, unikalnych haseł (najlepiej z pomocą menedżera haseł), włączanie uwierzytelniania dwuskładnikowego (2FA) wszędzie, gdzie to możliwe, oraz zachowanie czujności wobec prób phishingu. Firmom zaleca się regularne audyty bezpieczeństwa, szkolenia pracowników, segmentację sieci oraz wdrożenie planów reagowania na incydenty (IRP).

Czym dokładnie jest phishing, który był najczęstszym zagrożeniem w 2025 roku?

Phishing to metoda oszustwa polegająca na podszywaniu się pod zaufaną osobę lub instytucję (np. bank, firmę kurierską, urząd) w celu wyłudzenia poufnych danych. Przestępcy, wykorzystując fałszywe e-maile, SMS-y czy strony internetowe, próbują skłonić ofiarę do podania haseł, numerów kart kredytowych czy danych osobowych. Raport za 2025 rok potwierdza, że była to absolutnie dominująca forma ataku na użytkowników w Polsce.

Źródła

Zobacz też

Footnotes

  1. pillar — https://cert.pl/posts/2026/04/raport-roczny-2025/ 2

  2. corroborating — https://cert.pl/posts/2026/04/raport-roczny-2025/

  3. corroborating — https://www.nask.pl/magazyn/raport-roczny-z-dzialalnosci-cert-polska-w-2025-roku 2 3

  4. corroborating — https://cert.pl/uploads/docs/Raport_CP_2025.pdf 2 3 4

  5. corroborating — https://kompetencjecyfrowe.gov.pl/aktualnosci/wpis/incydenty-cyberbezpieczenstwa-i-zagrozenia-w-2025-r-raport-cert-polska 2 3

  6. corroborating — https://cyberdefence24.pl/cyberbezpieczenstwo/cert-polska-podsumowuje-rekordowy-2025-rok-co-pokazuje-raport 2 3

  7. corroborating — https://cert.orange.pl/ostrzezenia/raport-cert-orange-polska-2025/ 2

  8. corroborating — https://www.nask.pl/aktualnosci/prawie-2-tys-zgloszen-kazdego-dnia-raport-cert-polska-za-2025-rok 2

  9. corroborating — https://www.nask.pl/media/2026/04/raport-roczny-z-dzialalnosci-CERT-Polska-w-2025-roku.pdf 2

  10. corroborating — https://www.portalsamorzadowy.pl/polityka-i-spoleczenstwo/raport-cert-polska-w-2025-r-wzrost-liczby-zarejestrowanych-incydentow-o-ponad-150-proc-rok-do-roku,656103.html

  11. corroborating — https://cert.pl/posts/2026/01/raport-incydent-sektor-energii-2025/