Europejska agencja przeanalizowała tysiące incydentów. Oto wnioski
Autor. Pexels/Dušan Cvetanović
Raport ENISA Threat Landscape 2025 obejmuje analizę tysięcy zarejestrowanych incydentów, które miały miejsce w UE. Największe strategiczne znaczenie mają działania powiązane z państwami oraz systematyczne wykorzystywanie podatności w powszechnie stosowanym oprogramowaniu.
Raport przygotowany przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) obejmuje analizę incydentów zarejestrowanych w Unii Europejskiej w okresie od lipca 2024 do czerwca 2025.
Zagrożenia systematycznie się zmieniają. W obecnym roku można było zaobserwować zacieranie się granic między aktywościami haktywistycznymi, cyberprzestępczością oraz działaniami aktorów państwowych.
Działania Rosji w UE
Jednym z najbardziej wyraźnych wątków raportu jest ciągła aktywność aktorów zagrożeń powiązanych z Rosją. ENISA wskazuje, że rosyjskie grupy typu state-nexus należą do najbardziej konsekwentnych i długofalowych zagrożeń dla instytucji europejskich.
Autor. ENISA
Ich działania nie mają charakteru masowego, lecz są precyzyjnie ukierunkowane na administrację publiczną, dyplomację, sektor obronny oraz infrastrukturę cyfrową. Tego rodzaju operacje są zazwyczaj podporządkowane celom wywiadowczym i politycznym, a ich intensywność koreluje z wydarzeniami geopolitycznymi, w szczególności z wojną w Ukrainie oraz wsparciem udzielanym jej przez państwa UE.
Wielokrotnie na łamach CyberDefence24 przybliżaliśmy działalność rosyjskich grup APT oraz grup cyberprzestępczych na terenie nie tylko kraju, ale także UE.
Raport zwraca uwagę, że rosyjska aktywność w cyberprzestrzeni coraz rzadziej ogranicza się wyłącznie do klasycznego cyberwywiadu. Coraz częściej mamy do czynienia z działaniami hybrydowymi, w których ataki techniczne są łączone z kampaniami dezinformacyjnymi oraz presją psychologiczną.
Polska zauważa obecne trendy i dostosowuje swoją politykę do działań, które mają zabobiegać szerzeniu się dezinformacji powiązanej z atakami hybrydowymi w naszym kraju.
Jak zapowiadał wicepremier i minister cyfryzacji Krzysztof Gawkowski:
W przyszłym roku przeznaczymy znacznie więcej środków na przeciwdziałanie dezinformacji w Polsce.
ENISA w swoim raporcie opisuje zjawisko tzw. konwergencji zagrożeń, w ramach którego te same techniki są wykorzystywane zarówno przez cyberprzestępców, jak i przez aktorów państwowych. W przypadku Rosji dodatkowym elementem jest wykorzystywanie środowisk haktywistycznych lub grup działających pod ich przykrywką, co utrudnia jednoznaczną atrybucję i pozwala maskować rzeczywiste cele operacyjne.
Podatności w oprogramowaniach
Drugim istotnym wątkiem raportu ENISA jest rosnąca rola podatności w oprogramowaniu jako jednego z głównych wektorów ataku. W analizowanym okresie eksploatacja luk bezpieczeństwa była drugim najczęściej obserwowanym sposobem uzyskania początkowego dostępu do systemów, ustępując jedynie phishingowi.
Agencja podkreśla, że problemem nie jest wyłącznie liczba podatności, ale tempo, w jakim są wykorzystywane przez atakujących, często jeszcze zanim organizacje zdążą wdrożyć poprawki.
Autor. ENISA
W tym kontekście szczególnie istotna jest pozycja Microsoftu. Z danych przywoływanych w raporcie wynika, że w 2025 roku najwięcej zgłoszonych podatności dotyczyło systemów opartych na Linuxie, co jest w dużej mierze konsekwencją jego powszechnego wykorzystania oraz złożoności ekosystemu open source.
Bezpośrednio za nim uplasował się jednak Microsoft, którego produkty odpowiadały za drugą co do wielkości liczbę ujawnionych podatności. Co istotne, w przypadku Microsoftu szczególnie wysoki był udział podatności faktycznie wykorzystywanych w realnych atakach, czyli tzw. known exploited vulnerabilities.
Autor. ENISA
ENISA pośrednio pokazuje, że ekosystem Microsoftu pozostaje jednym z głównych celów atakujących nie dlatego, że jest wyjątkowo słabo zabezpieczony, lecz dlatego, że jest wszechobecny. Systemy Windows, usługi katalogowe, serwery oraz platformy chmurowe Microsoftu stanowią fundament cyfrowej infrastruktury administracji publicznej i biznesu w Europie.
Kluczowe wnioski z raportu
Raport podkreśla, że obecne tendencje będą się utrzymywać i nasilać. ENISA przewiduje, że w najbliższych latach cyberzagrożenia wobec Unii Europejskiej będą narastać, z kilku kluczowych powodów: podmioty atakujące ponownie wykorzystują znane narzędzia i techniki, wprowadzają nowe modele ataku, coraz bardziej automatyzują swoje działania oraz promują współpracę między różnymi typami aktorów zagrożeń, co czyni ich działania bardziej złożonymi i skutecznymi.
Podobne wnioski w swoim raporcie zawarło Trend Micro. Wskazywano wówczas na możliwości sztucznej inteligencji do przeprowadzania zautomatyzowanych ataków oraz współpracę grup APT w formie sojuszy.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?