Atak trwa godziny, obrona dni. „Zmierzamy do destrukcji”

• „Granica między gangami nastawionymi na zysk a grupami sponsorowanymi przez państwa uległa dalszemu zatarciu”.
• „Ataki sterowane przez autonomiczne AI skróciły czas od wejścia do pełnej kompromitacji sieci z dni do zaledwie godzin. Ludzie działający w czasie biologicznym, (...) po prostu nie są w stanie nadążyć za atakami realizowanymi w czasie maszynowym”.
• „Wyścig z automatyzacją jest dla człowieka z góry przegrany, jeśli nie zaczniemy stosować AI również w automatyzacji procesów obronnych”.
• „Przestępcy coraz częściej stosują taktykę spalonej ziemi. (...) to przejście od wymuszenia okupu do formy cyfrowego terroryzmu”.

Cyberprzestępczość jest zjawiskiem, które dotyka nie tylko instytucje państwowe oraz firmy, ale również nas, zwykłych użytkowników. Taktyki, techniki oraz narzędzia atakujących stale ewoluują z myślą o podniesieniu skuteczności ich działań. 

Ostatnie miesiące pokazały, że paraliż wielkich spółek to realne ryzyko a bierność wobec cyberzagrożeń jest proszeniem się o poważne kłopoty. Świat cyberprzestępczy się zmienia, ale czy jesteśmy na to gotowi?

O trendach i wyzwaniach, z jakimi przyjdzie nam się zmierzyć w najbliższym czasie rozmawiamy z Krzysztofem Dyki, ekspertem ds. cyberbezpieczeństwa, założycielem firmy Quasen oraz niezależnym biegłym sejmowej komisji śledczej ds. Pegasusa. 

Szymon Palczewski, CyberDefence24: Ostatnie miesiące były niezwykle dynamiczne pod kątem rozwoju cyberprzestępczości. Sporo się działo m.in. w zakresie technologii sztucznej inteligencji i jej wykorzystania przez sprawców. Jak zapamiętasz mijający 2025 r.?

Krzysztof Dyki, założyciel firmy Quasen oraz niezależny biegły sejmowej komisji śledczej ds. Pegasusa: Zapamiętam go jako moment, w którym przekroczono kolejny próg technologiczny. Sztuczna inteligencja przestała być jedynie narzędziem wspierającym – „cyfrowym asystentem” hakera – a stała się autonomicznym graczem. To koniec ery „generatywnego AI”, które służyło głównie do pisania wiarygodnych maili phishingowych. Weszliśmy w erę „sprawczego AI”, czyli autonomicznych agentów AI. 

Co kryje się pod tym pojęciem?

Mówimy o agentach AI, którzy nie potrzebują już instrukcji jak coś wykonać krok po kroku. Sami potrafią przeprowadzić rekonesans, wyciągnąć wnioski, a w razie napotkania zabezpieczeń, zmodyfikować swój kod w czasie rzeczywistym, by je ominąć.

Hakerzy przestali hakować laptopy

A jeśli chodzi o same cyberataki, co przykuło Twoją uwagę?

Zmieniła się geometria ataków. Ze względu na fakt, że ludzie są coraz lepiej chronieni przez biometrię i klucze sprzętowe, hakerzy przerzucili się na atakowanie „nie-ludzkich tożsamości”: kluczy API, tokenów czy kont serwisowych.

Czyli możemy powiedzieć, że przestali „hakować laptopy” a zaczęli „hakować tożsamość”.

Dokładnie tak. Jeśli atakujący przejmie cyfrową tożsamość maszyny w chmurze, nie musi wyważać drzwi, po prostu wchodzi frontowym wejściem i porusza się po sieci niezauważony.

Nie bez powodu sporo mówi się o cyberatak dla okupu. Ransomware to główne zagrożenie, które dotyka firmy na całym świecie. Można powiedzieć, że mówimy o ryzyku paraliżujące przedsiębiorstwa na samą myśl, bo przecież nikt nie chce zostać trafionym. Czy tutaj również następują jakieś zmiany?

Obserwujemy ewolucję w samym modelu biznesowym, czyli potrójnym wymuszeniu. 

Na czym ono polega?

Przestępcy już nie tylko szyfrują dane i grożą ich ujawnieniem. Teraz standardem staje się trzeci poziom szantażu: bezpośredni kontakt z klientami ofiary, partnerami biznesowymi, a nawet mediami, by zmaksymalizować presję wizerunkową. To sprawia, że incydent techniczny coraz częściej staje się kryzysem PR-owym.

W przeszłości mogliśmy jasno wskazać, która grupa działa z pobudek finansowych a która na rzecz danego państwa. Teraz coraz więcej słyszy się o przypadkach, gdzie określone podmioty są np. wynajmowane przez służby do przeprowadzenia konkretnych działań. W ostatnim czasie to rozmycie tradycyjnego podziału było bardziej widoczne?

Jak trafnie zauważyłeś, cyberprzestępczość przeszła ewolucję w stronę konwergencji i profesjonalizacji. Granica między gangami nastawionymi na zysk a grupami sponsorowanymi przez państwa uległa dalszemu zatarciu. Mamy do czynienia z grupami, które działają na styku biznesu i geopolityki. Realizują one cele polityczne przy użyciu metod i narzędzi typowo kryminalnych, co utrudnia przypisanie odpowiedzialności.

Ale to nie jedyne moje obserwacje. 

Co masz na myśli?

Rynek przestępczy uległ specjalizacji i fragmentacji. Niektóre duże, monolityczne grupy ransomware, jakie znaliśmy z lat ubiegłych, rozpadły się na mniejsze, bardziej zwinne komórki. Stworzyło to miejsce dla nowej kasty: wyspecjalizowanych brokerów dostępu. Ci pośrednicy zajmują się wyłącznie „wyważaniem drzwi” i sprzedażą gotowych wejściówek do firm na czarnym rynku. W rezultacie cena włamania stała się towarem giełdowym, dostępnym dla każdego, kto ma portfel kryptowalutowy.

Na wojnie z hakerami. Jesteśmy skazani na porażkę?

Mam wrażenie, że też coraz bardziej zauważalna jest różnica tempa między atakującymi a broniącymi się. Oni biegną szybciej a my wolniej ich gonimy. Też masz takie odczucie?

W branży nazywamy to „różnicą tempa”. To koncepcja tłumacząca obecną bezradność obrońców: ataki sterowane przez autonomiczne AI skróciły czas od wejścia do pełnej kompromitacji sieci z dni do zaledwie godzin. Ludzie działający w czasie „biologicznym”, obciążeni koniecznością snu i analizy, po prostu nie są w stanie nadążyć za atakami realizowanymi w czasie „maszynowym”.

Ta nowa dynamika rzeczywiście jest najbardziej uderzająca. 

Po czym najlepiej to widać?

W skurczeniu się okna na reakcję. Czas od ujawnienia luki w oprogramowaniu do jej masowego wykorzystania przez przestępców spadł średnio do zaledwie 5 dni, a dla 30% eksploitów czas ten wyniósł mniej niż jeden dzień. Tradycyjne procedury łatania systemów, słynne „patch Tuesdays”, stały się zbyt wolne. Wyścig z automatyzacją jest dla człowieka z góry przegrany, jeśli nie zaczniemy stosować AI również w automatyzacji procesów obronnych, a nie tylko technologii obronnych.

„Polowanie na wieloryby”. Klucz do drzwi setek klientów

Skoro jesteśmy już przy potencjalnych celach/poszkodowanych, co rzuciło Ci się w oczy?

Widać podział na rynku ofiar. Z jednej strony obserwujemy zautomatyzowane masowe ataki uderzające w małe i średnie firmy, które rzadziej płacą okupy. Z drugiej strony odbywa się „polowanie na wieloryby”, gdzie precyzyjnie wycelowane ataki w korporacje kończą się rekordowymi okupami sięgającymi nawet kilkudziesięciu milionów dolarów płaconych przez pojedynczą ofiarę.

Zmieniła się też skala wejścia: zamiast atakować setki firm z osobna, przestępcy uderzają w łańcuch dostaw. W Europie 28% incydentów wynikało z naruszeń u podwykonawców. Atakujący wiedzą, że jeden dostawca usług IT to klucz do drzwi setek jego klientów.

Powiedziałeś o „polowaniu na wieloryby”. Jednym z głośniejszych cyberataków w ostatnim roku był incydent w Jaguarze. Sporo o nim pisaliśmy, zapewne wielu doskonale go kojarzy. Jeśli chodzi o te mniej oczywiste i medialne przypadki, to co byś wymienił?

Dla mnie zaskoczeniem była np. skala i efektywność nowych botnetów. W 2025 roku ujawniono istnienie sieci „BadBox 2.0”, która zainfekowała ponad 10 milionów urządzeń IoT – od smart TV po rzutniki i systemy samochodowe. Niektóre z tych urządzeń miały zaszyte złośliwy kod jeszcze w fabryce, co pokazuje, jak głęboko przestępcy spenetrowali łańcuch dostaw.

Atak jako broń psychologiczna

Cyberataki, zwłaszcza te prowadzone w ramach działań wielodomenowych, pełnią również ważną rolę psychologiczną. Mają wywoływać niepewność, strach, poczucie zagrożenia i siły wroga. A gdy dochodzą do tego „operacje” poza domeną cyber, zwłaszcza informacyjne, wrażenia są potęgowane. Jak Ty osobiście podchodzisz do tej kwestii? Mówię „wojna kognitywna”, myślisz…?

Myślę, że to niebezpieczne zjawisko, co pokazał chociażby incydent z dronami na polskim niebie we wrześniu 2025 roku. Proszę zwrócić uwagę, że fizycznym naruszeniom przestrzeni powietrznej towarzyszyła skoordynowana dezinformacja, mająca na celu – jak wspomniałeś – wywołanie paniki, strachu, paraliżu decyzyjnego i podważenie zaufania do wojska. 

A jeśli chodzi o cyberataki jako narzędzie w wojnie kognitywnej, pełna zgoda: przestały być jedynie problemem informatycznym; stały się bronią psychologiczną. 

Destrukcja, sabotaż, „spalona ziemia”. Co nas czeka w 2026 r.?

W takim razie w którą stronę – Twoim zdaniem – ewoluuje świat cyberprzestępczy?

Nie mam pozytywnych wniosków…

Tylko szczere odpowiedzi.

W stronę destrukcji, sabotażu i walki o percepcję. Jak już wspomniałem, obserwujemy odejście od kradzieży danych na rzecz „hakowania umysłów”. Nowoczesny atak nie kradnie już tylko informacji, ale manipuluje przekonaniem społeczeństwa o tym, co jest prawdą. Wykorzystuje się do tego deepfake’i i skoordynowane kampanie w mediach społecznościowych, by wywołać niepokoje społeczne lub wpłynąć na wyniki wyborów.

Dotyczy to również świata ransomware?

Już teraz obserwujemy niepokojący zwrot ku sabotażowi. Przestępcy coraz częściej stosują taktykę „spalonej ziemi” – celowo niszczą kopie zapasowe, również te w chmurze, zanim ofiara w ogóle zorientuje się, że jest atakowana. Chodzi o to, by odcięcie możliwości odzyskania danych zmusiło ofiarę do płacenia. A jeśli ta nadal odmawia, atakujący przechodzą do fizycznej destrukcji systemów OT (technologii operacyjnej), co może prowadzić do realnych szkód w infrastrukturze przemysłowej czy energetycznej. 

W skrócie: to przejście od wymuszenia okupu do formy cyfrowego terroryzmu.

A od strony typowo technicznej – dokąd zmierzamy?

Jeśli chodzi o technologię, ewolucja zmierza ku modelowi „zbieraj teraz, deszyfruj później”. Niektóre grupy APT kradną dziś zaszyfrowane dane o długim okresie przydatności – tajemnice państwowe, dane medyczne czy własność intelektualną – licząc na ich odszyfrowanie w przyszłości, gdy komputery kwantowe osiągną odpowiednią moc.

Czego zatem powinniśmy się spodziewać w 2026 r. w odniesieniu do cyberprzestępczości?

Uważam, że 2026 r. będzie punktem zwrotnym dla zaufania cyfrowego. Spodziewam się, że zobaczymy pierwszy, globalny wyciek danych spowodowany w całości przez autonomicznego agenta AI. 

Jak sobie to wyobrażasz?

Przykładowo, może dojść do sytuacji, w której korporacyjny system AI zostanie zmanipulowany (tzw. prompt injection – red.) i sam opublikuje miliony wrażliwych rekordów bez wiedzy operatora. To będzie przebudzenie dla firm, które wdrażają AI, nie dbając o bezpieczeństwo.

Wspomniałeś o firmach, a co z perspektywy nas, zwykłych użytkowników? Czy pojawi się jakiś nowy trend, którego możemy doświadczyć w najbliższych miesiącach?

Moim zdaniem, na poziomie codziennym czeka nas stopniowe ograniczanie weryfikacji telefonicznej. Deepfake audio oraz wideo mogą osiągnąć w 2026 roku i kolejnych latach taką jakość, że wideorozmowa z prezesem czy dyrektorem finansowym przestanie być wiarygodnym dowodem tożsamości. Powróci debata o spotkaniach fizycznych przy kluczowych decyzjach oraz potrzebie wdrażania zaawansowanej kryptografii.

Na samej „górze” są kwestie polityczne i strategiczne. Tu dojdzie do złagodzenia czy zaostrzenia podejmowanych działań? Bo przecież geopolityka odgrywa ogromne znaczenie w świecie cyber i tech.

W odpowiedzi na omówione zagrożenia, rządy mogą zacząć działać bardziej zdecydowanie. Możliwa jest stopniowa „nacjonalizacja” bezpieczeństwa telekomunikacyjnego. W obliczu zagrożeń dla kabli podmorskich i systemów telekomunikacyjnych, państwa mogą uznać, że infrastruktura ta jest zbyt krytyczna, by zostawić ją w rękach prywatnych i poddać ją bezpośredniemu nadzorowi. 

Nadchodzi era, w której cyberbezpieczeństwo przestanie być opcją „na życzenie klienta”, a stanie się twardym, prawnie wymaganym standardem, wymuszonym przez nowe regulacje, takie jak unijny Cyber Resilience Act.

Na zakończenie, co chciałbyś przekazać czytelnikom?

Pamiętajcie: nie wygramy wyścigu z maszyną na szybkość obliczeń, ale wciąż możemy go wygrać mądrością. Rok 2026 będzie testem, czy potrafimy użyć AI do obrony naszych wartości, zanim ktoś użyje jej do ich podważenia.

Dziękuję za rozmowę.