CERT Polska podsumowuje rekordowy 2025 rok. Co pokazuje raport?

W 2025 roku zespół CERT Polska otrzymał 658 320 zgłoszeń. Odnotowano również 260 783 unikalnych incydentów bezpieczeństwa. Pomimo niewielkiego wzrostu liczby zgłoszeń (ok. 10%) liczba zarejestrowanych incydentów wzrosła o 152% - kierownik CERT Polska Marcin Dudek zaznaczył, że jest to spowodowane m.in. lepszym wykrywaniem zdarzeń przez CERT.

Wzrost liczby zgłoszeń oraz zarejestrowanych incydentów cyberbezpieczeństwa wynika m.in. z rosnącej świadomości społecznej w zakresie zagrożeń, a także z roli zespołu CERT Polska w monitorowaniu i analizowaniu incydentów cyberbezpieczeństwa oraz reagowaniu na nie.
Raport CERT Polska za 2025 rok

Oszustwa wciąż dominują

W 2024 roku oszustwa komputerowe stanowiły 95% obsłużonych incydentów (97 995 z 103 449). W 2025 roku odsetek wzrósł do 97% (253 238 z 260 783).

30 procent wszystkich zarejestrowanych zdarzeń (ok. 78 tys.) było próbami wyłudzenia poufnych danych (phishingiem) – mowa tutaj o próbach kradzieży m.in. loginów i haseł do poczty elektronicznej czy portali społecznościowych.

Cyberprzestępcy niezmiennie podszywali się pod sklepy internetowe. Najczęściej w przestępczych celach wykorzystywano wizerunek OLX (28,5 tys.) i Allegro (22,5 tys.).

Na drugim miejscu znalazło się szkodliwe oprogramowanie, odpowiedzialne za 3438 incydentów. CERT Polska odnotował również 179 ataków ransomware. Podium domykają podatne usługi (1732 incydenty).

Jednocześnie wskazano, że lista ostrzeżeń CERT Polska faktycznie spełnia swoją rolę - oprócz twardych danych liczbowych świadczą o tym… wpisy cyberprzestępców narzekających na to rozwiązanie.

Nowe ataki, stare techniki

Dudek podczas prezentacji raportu wyróżnił trzy główne wektory ataku, takie jak:

• wykradzione poświadczenia logowania do VPN-ów;
• RDP (usługa zdalnego pulpitu) widoczne z poziomu Internetu;
• podatności w urządzeniach widocznych z poziomu Internetu.

Kierownik CERT Polska zaznaczył, że główne zagrożenie dotyczy urządzeń brzegowych, które muszą być widoczne z poziomu sieci – mowa m.in. o gateway’ach VPN-owych (pozwalających na nawiązanie połączenia VPN-owego spoza danej organizacji, np. przez pracowników zdalnych).

Dudek przekazał także, że również w droższych produktach występują podatności pozwalające na zdalne wykonanie kodu (RCE). „Nie ma tutaj innej obrony niż aktualizacja” – podkreślił jasno.

Ataki na automatykę przemysłową

W 2025 roku na naszym portalu opisywaliśmy liczne ataki na polską infrastrukturę przemysłową – m.in. na stacje uzdatniania wody (np. Tolkmicko, Jabłonna Lacka), oczyszczalnie ścieków (np. Chodaczów) czy stację regazyfikacji LNG.

Widzieliście na pewno Państwo tego typu filmiki propagandowe zamieszczane przez haktywistów rosyjskich (odnośnie manipulowania parametrami stacji uzdatniania wody – przyp. red.). Niestety takie rzeczy się zdarzają. To są często małe obiekty, ale wydźwięk propagandowy jest bardzo duży. Tego typu systemy monitorujemy i informujemy właścicieli, ale problemem jest często to, żeby faktycznie znaleźć kontakt
Marcin Dudek, Kierownik CERT Polska

W Raporcie CERT Polska wskazano, że jeden z ataków na stację uzdatniania wody polegał na zmianie ustawień pomp, co „doprowadziło do wyczerpania zasobów w zbiorniku, a w konsekwencji spowodowało przerwę w dostawie wody”.

Incydent spowodował przerwę w dostarczaniu wody na ok. 6 godzin dla ok. 2,5 tys. mieszkańców gminy
Raport z działalności CERT Polska w 2025 roku

Wicepremier Gawkowski o 2025 roku

„(…) nowe incydenty, które widzicie Państwo w energetyce, w szpitalach, w administracji samorządowej - widzicie je coraz częściej też w firmach, również prywatnych. To szerokie pojęcie sabotażu cyfrowego, które można wprost nazywać terroryzmem cyfrowym” – stwierdził wicepremier i minister cyfryzacji Krzysztof Gawkowski podczas konferencji prasowej poświęconej omawianemu raportowi.

W ciągu jednej sekundy blokowane są cztery niebezpieczne (możliwe) wejścia użytkowników na strony internetowe
Wicepremier Krzysztof Gawkowski o codziennej pracy CERT Polska

Dyrektor NASK Radosław Nielek zachęcał do zarejestrowania się w systemie moje.cert.pl – funkcjonalności tego rozwiązania opisaliśmy na łamach naszego portalu.

Aplikacje mobilne podmiotów publicznych

Marcin Dudek przybliżył funkcjonowanie programu Deckard, służącego do analizy bezpieczeństwa aplikacji mobilnych sektora publicznego. W ramach projektu przeanalizowano 283 aplikacji mobilnych na Androidzie. „Zastosowane podejście umożliwia szybkie wykrywanie powtarzalnych, bazowych błędów bezpieczeństwa oraz porządkowanie wyników w sposób spójny i skalowalny” – czytamy w raporcie.

Struktura wszystkich wyników testów prezentuje się następująco:

• 56,4% - brak wykrytych błędów;
• 14,9% - niezabezpieczona komunikacja sieciowa;
• 7,7% - integralność aplikacji i odporność na manipulację;
• 7,3% - ekspozycja powierzchni ataku i komunikacja między komponentami;
• 7% - błędy kryptograficzne i zarządzanie kluczami;
• 6,7% - błędy konfuguracji środowiska uruchomieniowego.

Warto jednocześnie zwrócić uwagę na częstość występowania błędów w aplikacjach. Poniższy wykres prezentuje „odsetek aplikacji, w których wykryto co najmniej jedno znalezisko z danej kategorii nieprawidłowości”.

Kluczowe wnioski

Liczba zarejestrowanych incydentów oraz wzrost liczby ataków ransomware (179 wobec 163 w 2024 roku) pokazuje, że polskie organizacje nieustannie pozostają na celowniku cyberprzestępców.

Ważnym elementem Krajowego Systemu Cyberbezpieczeństwa będą CSIRT-y sektorowe, co podkreślano m.in. w debacie wszystkich dotychczasowych kierowników CERT Polska. Zapowiedziano również pogłębioną współpracę sektora publicznego i prywatnego w zakresie obsługi incydentów.

Zachęcamy do zapoznania się z raportem.