4-7 minut

Cyberbezpieczeństwo: lekcja z 2025 roku

Przyzwyczailiśmy się już, że w obszarze zagrożeń i ochrony danych każdy kolejny rok oznaczał „jeszcze więcej tego samego” – więcej ataków, wyższe zagrożenie ransomware i wzrost kosztów związanych z obsługą incydentów. W ubiegłym roku zmaterializowały się jednak obawy związane z wykorzystaniem AI i luk w zabezpieczeniu łańcucha dostaw. W praktyce oznacza to redefinicję zagrożeń i technik obrony.

CZEGO SIĘ DOWIESZ Z TEGO MATERIAŁU:

  1. JAK GLOBALNIE ROŚNIE ZAGROŻENIE INFRASTRUKTURY IT DZIAŁANIAMI PRZESTĘPCÓW.
  2. JAKIE SĄ NAJCZĘSTSZE WEKTORY ATAKU,
  3. CZY SZTUCZNA INTELIGENCJA ZNALAZŁA ZASTOSOWANIE W CYBERBEZPIECZEŃSTWIE.
  4. W JAKI SPOSÓB ZMIENIŁO SIĘ PODEJŚCIE DO OBRONY ZASOBÓW IT.

Na początek kilka liczb. Globalne koszty cyberprzestępczości w 2025 roku szacowane są na 10,5 bln dolarów, co oznacza wzrost o ok. 10 proc. w porównaniu z poprzednim rokiem[1]. Wykorzystanie luk w zabezpieczeniach stanowiło ok. 20 proc. przypadków włamań, podczas gdy ataki wykorzystujące wykradzioną tożsamość stanowiły nieco więcej, bo 22 proc.  W niemal połowie (44 proc.) incydentów doszło również do ataku ransomware, a średni okup za uwolnienie danych to 115 tys. dolarów.

Sumaryczny średni globalny koszt ataku na dane wyniósł w 2025 roku 4,4 mln dolarów, co jest wartością niższą niż rok wcześniej. Nieznacznemu skróceniu uległ również czas przywracania normalnego działania zaatakowanych systemów – z 258 dni w 2024 roku do 241 dni w roku ubiegłym[2]. I to właściwie koniec dobrych wiadomości.

W 2025 roku CISO musieli stawić czoła nowym wyzwaniom, które z całą pewnością jeszcze przybiorą na znaczeniu w 2026 r. Oto pięć najistotniejszych naszym zdaniem zjawisk, które warto wziąć pod uwagę planując działania na najbliższe miesiące.

Sztuczna inteligencja stała się bronią

Rok 2025 był pierwszym, w którym AI została wykorzystana do ataków na tak dużą skalę. Z analizy „2025 Data Breach Investigations Report” wynika, że sztuczna inteligencja najczęściej wykorzystywana była do generowania tekstów e-mailach phishingowych oraz do automatyzacji ataków ransomware[3]. Według różnych źródeł liczba ataków phishingowych wzrosła od 900 proc. do 1265 proc. właśnie za sprawą AI[4]. I nie chodzi tylko o e-maile – wykorzystywane są również sfabrykowane materiały audio i wideo.

Niepokój CISO może budzić jednak inne zjawisko – systemy generatywnej sztucznej inteligencji są rutynowo wykorzystywane przez pracowników korporacji, w dodatku wykorzystujących prywatne konta do logowania się na platformach AI. To stosunkowa nowa droga, którą firmowe dane mogą „wyciekać”.

Wniosek dla CISO jest oczywisty. W zderzeniu z ofensywą AI koniecznie jest sięgnięcie po AI do tworzenia lepszych zabezpieczeń, monitorowania i oceny poziomu zagrożeń. Według „2025 Thales Data Threat Report” 68 proc. zapytanych organizacji już inwestuje w narzędzia bezpieczeństwa wykorzystujące AI. Jednak tylko jedna piąta z nich ma na to wydzielone środki – u większości oznacza to ograniczenia inwestycji w inne techniki zabezpieczeń[5]. Jak natomiast wskazują dane IBM organizacje, które korzystają z automatyzacji i sztucznej inteligencji są mniej narażone na udany atak, niższy jest również koszt ewentualnego incydentu. Wydaje się również, że konieczne jest opracowanie reguł korzystania z platform AI na potrzeby firmowe i ich egzekwowanie.

Nie ufaj nikomu

Ataki przeprowadzone w 2025 roku udowodniły także, że wykradziona tożsamość lub słabość zabezpieczeń po stronie dostawców (o czym za chwilę) mogą pomóc przestępcom ominąć nawet najbardziej zaawansowany firewall i inne zabezpieczenia ustawione przez dział IT. Standard zero trust – zerowego zaufania – nie jest już tylko określeniem jednej z zalet SASE, ale koniecznością w każdej organizacji. W największym skrócie oznacza to weryfikowanie tożsamości dla każdego użytkownika, każdego urządzenia, każdej aplikacji niezależnie od tego, czy połączenie następuje wewnątrz firmowej infrastruktury sieciowej, czy przychodzi z zewnątrz.

Aby wdrożenie zero trust miało sens niezbędne jest uruchomienie uwierzytelnienia wieloskładnikowego (MFA), a w niektórych przypadkach bezhasłowego (FIDO2), a także generalną zasadę przyznawania najniższych możliwych uprawnień niezbędnych do wykonania zadania.

Dla wielu CISO wdrożenie zero trust może być dużym wyzwaniem, łączącym się ze zmianą kultury korporacyjnej oraz dostosowaniem infrastruktury IT i niektórych narzędzi lub aplikacji do nowych wymogów.

Łańcuch dostaw ma słabe ogniwa

Ataki na łańcuchy dostaw stały się w 2025 roku codziennością. Cyberprzestępcy wykorzystują międzynarodowe połączenia biznesowe i współzależności szukając najłatwiejszych sposobów dotarcia do cennych zasobów przedsiębiorstw. Wiele dużych firm jest już odpowiednio przygotowanych do ataków hakerskich i wymuszeń ransomware, dlatego przestępcy biorą na celownik firmy o niższej kulturze technicznej – mniejszych dostawców usług i dostawców sprzętu. Tak było m.in. z infekcją platformy wykorzystywanej do budowy sklepów online, zmanipulowanymi skryptami na GitHub, czy z włamaniem do dostawcy usług monitoringu i zarządzania IT i wykorzystaniem jego narzędzi do dystrybucji ransomware[6].

Wniosek? Takie ataki dowodzą, że 2026 rok to ostatni moment dla organizacji wdrażających rozwiązania ustawy o krajowym systemie bezpieczeństwa, która nakłada obowiązek „zainteresowania się” własnymi łańcuchami dostaw i zidentyfikowania potencjalnych słabych punktów poza własną infrastrukturą IT.

Wyzwanie dla zarządu

Choć zjawisko przeniesienia odpowiedzialności o decyzyjności w obszarze cyberbezpieczeństwa na poziom zarządu nie jest nowe (o rosnącej pozycji CIO/CISO pisaliśmy wielokrotnie), to ostatni rok przyniósł nowe wyzwania dla menedżerów. Jak wskazuje „Harvard Business Review”, podstawowym problemem jest brak znajomości tematyki ochrony danych i infrastruktury IT u kadry zarządzającej[7] – zarówno na poziomie praktycznym, jak i formalnym. Drugim wyzwaniem jest powszechna chęć do wdrożenia rozwiązań AI, przy jednoczesnym ignorowaniu potencjalnych zagrożeń, jakie się z tą technologią wiążą. Wreszcie trzecim problemem, na który zwraca uwagę „HBR”, jest traktowanie zgodności z regulacjami jako gwarancji bezpieczeństwa – ma to szczególne znaczenie w momencie wdrażania rozwiązań „zgodnych z NIS2”.

Odporność ważniejsza niż prewencja

Skuteczne ataki z wykorzystaniem sztucznej inteligencji, luk bezpieczeństwa u dostawców i skutecznego przechwytywania tożsamości użytkowników oznaczają jeszcze jedno: organizacje każdej wielkości muszą liczyć się z tym, że mimo posiadania nawet najlepszych systemów obrony i tak zostaną „trafione”. Grupy przestępcze stojące za ransomware są coraz lepiej zorganizowane, szybsze w działaniu i wykorzystujące najnowsze technologie wspierające socjotechniczne sztuczki.

Co to oznacza dla CISO? Nawet jeżeli firma zrobi wszystko, co powinna, nawet jeżeli przygotowała się na NIS2 i UKSC, i tak może zostać skutecznie zaatakowana. Dlatego coraz bardziej liczyć się będzie odporność, zdolność do utrzymania lub szybkiego przywrócenia ciągłości biznesowej po udanym ataku hakerskim. Ceną za brak zdolności przywrócenia działania organizacji będą nie tylko okup i straty spowodowane przerwą w działaniu, ale też utrata reputacji zaufania klientów i partnerów.

Najważniejsze wnioski

W szybko zmieniającym się krajobrazie zagrożeń cyberbezpieczeństwo zyskało nową definicję. Nie chodzi wyłącznie o odpieranie ataków – choć nadal jest to fundament ochrony własnych zasobów IT. Tu kluczowe wydaje się wykorzystanie nowoczesnych rozwiązań bazujących na sztucznej inteligencji oraz ściślejsza kontrola dostawców sprzętu i usług. Ogromne znaczenie ma także świadomość pracowników – to oni są na linii frontu i to od ich zachowania zależy bezpieczeństwo danych. CISO powinien zatem przekonać zarząd do organizowania szkoleń i testowania wiedzy pracowników – m.in. w dziedzinie odporności na socjotechniczne sztuczki przestępców. Sami członkowie zarządu również powinni w takich szkoleniach brać udział.

Coraz istotniejsze jest jednak zrozumienie, że obok obrony niezbędny jest również plan na wypadek, gdyby cyberprzestępcom się udało. A to oznacza m.in. korzystanie z nowoczesnych technologii backupu i nienaruszalnych kopii bezpieczeństwa odpornych na ransomware. To również – o czym wiele organizacji „zapomina” – testowanie samych kopii oraz procesu przywracania danych. W szerszym kontekście dbałość o ciągłość biznesową to również osiągnięcie zgodności z regulacjami, minimalizowania strat wynikających z przestojów oraz wdrażanie strategii zero trust pozwalającej ograniczyć potencjalne szkody.

[1] https://www.fortinet.com/resources/cyberglossary/cybersecurity-statistics

[2] https://www.ibm.com/reports/data-breach

[3] https://www.verizon.com/business/resources/reports/dbir/

[4] https://deepstrike.io/blog/ai-cyber-attack-statistics-2025

[5] https://cpl.thalesgroup.com/healthcare-lifesciences-data-threat-report

[6] https://www.kaspersky.com/blog/supply-chain-attacks-in-2025/55522/

[7] https://hbr.org/2026/04/boards-are-falling-short-on-cybersecurity

Security Operations Center

Ten artykuł dotyczy produktu

Security Operations Center

Przejdź do produktu

Data publikacji: 30.04.2026

Wróć na stronę główną strefy wiedzy

powrót

Chcesz dostawać informacje o nowych wpisach?

Chcesz dostawać informacje o nowych wpisach?

Zapisz się do newslettera, żeby
dostawać inforamcje o nowych wpisach

Wysyłając formularz akceptuję Regulamin Serwisu Internetowego.

Informacje o przetwarzaniu danych osobowych przez T‑Mobile Polska S.A. i T‑Mobile Polska Business Solutions sp. z o.o.

Zgodę można wycofać w każdej chwili, wysyłając wiadomość e-mail na adres leadadmin@t-mobile.pl z tematem Wypisuje się.

Dziękujemy, dane zostały wysłane.
Wystąpił błąd, spróbuj ponownie później.

Dziękujemy za zapisanie się
do naszego newslettera

Może zainteresuje Cię również nasz profil na LinkedIn

Twoja przeglądarka jest nieaktualna

Może to powodować błędy w działaniu strony.
Zaktualizuj przeglądarkę, żeby poprawnie przeglądać naszą stronę.