Ataki na wodociągi, zhakowane firmy, wycieki haseł. Rekordowa liczba incydentów w Polsce

Od pierwszych dni 2025 roku polskie firmy i instytucje znalazły się na celowniku cyberprzestępców. Aby nie być gołosłownym wystarczy przypomnieć atak na Eurocert, do którego doszło 12 stycznia br. Mówimy o firmie świadczącej m.in. usługi podpisu kwalifikowanego.

W wyniku incydentu naruszono ochronę danych osobowych - pojawiło się ryzyko, że uzyskają do nich dostęp osoby nieuprawnione. Wśród klientów przedsiębiorstwa znajdziemy np. miasto stołeczne Warszawa, Polskie Koleje Państwowe, Pocztę Polską, Scanię, Warbud czy IBM. O sprawie pisaliśmy w styczniu.

Z kolei w lutym w ręce cyberprzestępców trafiły dane logowania do ponad 24,5 mln polskich kont. Na naszych łamach redaktor Oskar Klimczuk przyjrzał się ponad 21 milionom rekordów.  Analiza ujawniła kilka ciekawych wniosków dotyczących danych logowania.  Tematyce haseł i bezpieczeństwa poświęciliśmy również kilka artykułów, które warto przypomnieć: 1, 2, 3, 4.

W październiku klienci platformy Sky-Shop zostali poinformowani, że ich dane wyciekły, narażając użytkowników na utratę prywatnych informacji. Może to być aż 9 tysięcy różnych kont internetowych, a wśród wykradzionych danych znajdowały się imiona i nazwiska, adresy e-mail, adresy korespondencyjne, numery telefonów oraz hashe haseł. Więcej o tym incydencie znajdziecie w artykule.

Ransomware w Polsce

Liczba ataków ransomware wciąż rośnie i pozostają jednym z największych wyzwań w naszym kraju. Wśród zaatakowanych firm znalazły się takie marki jak np. Suder, Smyk, Marma oraz Ekotrade.

Na polskim „podwórku” cyberprzestępcy testują nowe rodzaje złośliwego oprogramowania, a przykładem takiego incydentu był atak na polską firmę z branży hotelarskiej. Sprawdzano tam działanie ulepszonej wersji oprogramowania szyfrującego DevMan 2.0.

Ataki na infrastrukturę krytyczną

W tym roku szczególną uwagę poświęciliśmy infrastrukturze krytycznej. Na naszych łamach ujawniliśmy kilka poważnych incydentów, które mogły wpłynąć na bezpieczeństwo sieci i systemów wielu miejscowości.

Celem cyberprzestępców stały się stacje uzdatniania wody w Tolkmicku, Małdytach i Sierakowie (luty 2025) oraz Szczytnie (lipiec 2025), w tym polska elektrownia wodna. Opisywaliśmy również ataki na spalarnie odpadów, basen i fontannę (08.2025), małą elektrownię wodną (05.2025), kompresory i wentylację restauracji (08.2025).

Rok 2025 jednoznacznie potwierdził, że infrastruktura krytyczna w Polsce stała się realnym i systematycznym celem cyberataków. Szczególnie niepokojące jest to, że wiele z tych systemów było zabezpieczonych w sposób niewystarczający, co umożliwiało zdalną ingerencję w ich działanie. Choć w większości przypadków nie doszło do poważnych zakłóceń w świadczeniu usług, potencjał skutków był bardzo wysoki i mógł bezpośrednio wpłynąć na bezpieczeństwo mieszkańców.

Wzrost incydentów o 100 proc.

Wicepremier i minister cyfryzacji Krzysztof Gawkowski podczas inauguracji roku akademickiego na Politechnice Bydgoskiej ujawnił, że dzienna liczba cyberataków kierowanych przeciwko w Polsce waha się od 2 do 4 tysięcy.CERT Polska obsłużył 236 tys. incydentów, co jest wzrostem o ok. 100% wobec poprzedniego roku, jak wskazuje szef jednostki Marcin Dudek. W 2025 r. zgłoszono 620 tys. incydentów.

Wzrost liczby zgłoszeń nie zawsze oznacza więcej ataków, ale także większą świadomość, lepsze możliwości monitorowania i wykrywania incydentów, a tym samym wyższe zdolności powołanych do tego instytucji.

Kto atakuje Polskę?

Analiza incydentów cyberbezpieczeństwa z 2025 roku pokazuje, że Polska jest celem zróżnicowanego spektrum aktorów zagrożeń, których motywacje, metody działania i poziom zaawansowania znacząco się różnią.

Najczęściej identyfikowanym kierunkiem pochodzenia cyberataków pozostają państwa wschodnie, przede wszystkim Białoruś i Rosja. Jednocześnie odnotowywana jest także aktywność grup powiązanych z Chinami, które koncentrują swoje działania na infrastrukturze krytycznej i administracji publicznej.

W przeciwieństwie do działań rosyjskich, operacje prowadzone przez chińskie podmioty mają zazwyczaj bardziej dyskretny charakter i są realizowane w sposób znacznie mniej demonstracyjny, jak wskazuje Marcin Dudek z CERT Polska w wywiadzie z znaszym portalem podczas konferencji CyberDay24.

Samorządy to najsłabsze ogniwo?

W kwietniu 2025 roku jednym z głównych wniosków raportu NIK był niski poziom cyberbezpieczeństwa w samorządach. W 71 proc. kontrolowanych urzędów nie było przygotowanych do zapewnienia ciągłości działania systemów informatycznych.

Wśród stwierdzanych nieprawidłowości znalazło się m.in. brak polityki ciągłości działania lub brak planów ich zapewnienia czy odtworzenia, a także wykazano niewystarczające zabezpieczenia fizyczne serwerowni, brak szkoleń dla pracowników itd.

Ministerstwo Cyfryzacji, odnosząc się do raportu NIK, wskazało na objęcie samorządów wsparciem w ramach programu „Cyberbezpieczny Samorząd”. Od momentu uruchomienia programu w 2023 roku poziom cyberbezpieczeństwa w samorządach uległ poprawie, jednak nadal identyfikowane są istotne braki i wyzwania, których rozwiązanie będzie wymagało dalszych inwestycji oraz systemowych działań.

Polska niezmiennie jest atrakcyjnym celem

Rok 2025 pokazał, że polska cyberprzestrzeń pozostaje obszarem rosnących zagrożeń. Wycieki danych, ataki ransomware i próby ingerencji w infrastrukturę krytyczną ujawniły techniczne i organizacyjne słabości, zwłaszcza w samorządach i mniejszych podmiotach. Nasz kraj pozostaje celem zarówno cyberprzestępców, jak i grup powiązanych z państwami. $$