Najczęściej bagatelizowane zagrożenia są zarazem najbardziej powszechne: phishing, fałszywe wiadomości, prośby o pilny przelew, a także brak aktualizacji systemów. To właśnie te „proste” pomyłki stoją za około 70-85% udanych ataków, a według raportów CERT Polska i firm security (np. Check Point) ponad 80-90% incydentów zaczyna się od błędu popełnionego przez człowieka. Tradycyjne filtry i procedury przestają wystarczać, jeśli nie towarzyszy im świadome zachowanie użytkowników. Dlatego dziś kluczowym elementem cyberodporności nie są wyłącznie technologie, lecz kultura bezpieczeństwa, regularne szkolenia oraz budowanie nawyku zatrzymania się i weryfikacji – zwłaszcza wtedy, gdy pojawia się presja czasu lub emocji.
Tam, gdzie zawodzi rutyna, zaczynają się straty
Cyberbezpieczeństwo firm przegrywa dziś rzadziej z wyrafinowanym hakerem, a częściej z codzienną rutyną: kliknięciem w fałszywy link, podaniem hasła na spreparowanej stronie, otwarciem zainfekowanego załącznika czy presją czasu w dziale finansów. Ten czynnik pozostaje najtańszą i najskuteczniejszą drogą wejścia do organizacji. Jednocześnie sztuczna inteligencja wzmacnia cyberprzestępców – usuwa typowe „czerwone flagi”, przyspiesza personalizację ataków i umożliwia ich prowadzenie na masową skalę.
Jak zauważa Adam Kassenberg, kierownik specjalizacji Cybersecurity w Polsko-Japońskiej Akademii Technik Komputerowych, w realnym świecie nie wygrywa najbardziej zaawansowana technologia, ale konsekwentne przestrzeganie podstawowych zasad.
– To rutynowy phishing, podszywanie się pod przełożonego czy kontrahenta oraz brak aktualizacji oprogramowania odpowiadają za realne straty — mówi. – Te zagrożenia są na pierwszy rzut oka „nudne”, więc łatwo je zlekceważyć, aż do momentu, gdy firma staje przed zablokowanymi danymi lub przelewem kilkuset tysięcy złotych w ręce oszusta – podkreśla ekspert.
Rośnie wykrywalność, ale spora część ataków pozostaje „niewidzialna”
Rośnie wykrywalność incydentów, ale wciąż spora część ataków pozostaje „niewidzialna”. – Skala zgłoszeń rośnie, jednak liczby pokazują jedynie to, co zostało zaraportowane. Tylko 10-20% poważniejszych incydentów trafia do CERT/CSIRT lub UODO – reszta pozostaje w „szarej strefie” z obawy przed konsekwencjami wizerunkowymi, presją kontrahentów albo po prostu nie mają procedur, by rozpoznać, który incydent wymaga formalnego zgłoszenia – podkreśla Adam Kassenberg.
Z danych CERT Polska wynika, że w 2025 r. zarejestrowano 658 tys. zgłoszeń, a obsłużono/zarejestrowano ok. 261 tys. incydentów (wobec ok. 103 tys. w 2024 r.). Wzrost o ponad 150% wynika głównie z lepszych narzędzi wykrywania i większej świadomości, a niekoniecznie z lawinowego przyrostu liczby ataków.
– Wiele firm żyje w przekonaniu, że nic się nie stało, bo niczego nie zauważyły. Tymczasem brak wykrycia nie oznacza braku incydentu – zwraca uwagę Kassenberg. – Te liczby pokazują skalę problemu, ale nie pokazują pełnego obrazu. Widać głównie to, co zostało wykryte i zgłoszone.
W praktyce najtrudniejsze do zauważenia są małe wycieki danych oraz przypadki, w których firma nieświadomie pełni rolę „pomostu” w kolejnych cyberatakach. – W praktyce „niewidzialne” są szczególnie drobne wycieki i sytuacje, w których organizacja staje się punktem pośrednim do kolejnych ataków i, co gorsza, odkrywa to dopiero po czasie – dodaje ekspert. Tego typu zagrożenia pozostają ukryte, a ich skutki stają się widoczne dopiero po czasie – od naruszenia bezpieczeństwa partnerów, przez utratę zaufania klientów, aż po poważne konsekwencje finansowe i prawne.
W publicznej wyobraźni dominują spektakularne ataki APT (Advanced Persistent Threat), często sponsorowane przez państwa, jednak w praktyce codzienną presję na biznes wywierają masowe kampanie wyłudzeń i złośliwe załączniki trafiające regularnie do setek tysięcy polskich użytkowników i firm. – Prawdziwe straty generuje rutynowy phishing, oszustwa takie jak podszywanie się pod szefa lub kontrahenta oraz brak aktualizacji oprogramowania – zauważa ekspert. – Te zagrożenia są „nudne”, więc łatwo je bagatelizować, aż do momentu, gdy firma stoi z zablokowanymi danymi lub przelewem kilkuset tysięcy złotych na konto oszusta.
Ekspert wymienia m.in. fałszywe wiadomości od znanych firm, dostawców benefitów czy nawet zgubione pendrive’y. To ważny wniosek dla zarządów: ryzyko nie zawsze rośnie wraz z technologicznym zaawansowaniem atakującego, często rośnie po prostu wraz z natężeniem i skalą prób. W końcu „ktoś w firmie kliknie w podesłany link”.
Łańcuch dostaw: jedno słabe ogniwo otwiera drzwi do dziesiątek firm
Drugim niedocenianym trendem są ataki na łańcuch dostaw (supply chain). W polskich firmach temat bywa traktowany jako problem wielkich korporacji, podczas gdy realnie dotyczy także średnich i mniejszych podmiotów korzystających z popularnych narzędzi i podwykonawców.
– Jeden zhakowany podwykonawca może otworzyć drzwi do dziesiątek, a nawet setek firm jednocześnie – ostrzega Kassenberg. Zwraca także uwagę na to, że organizacje rzadko wymagają od dostawców audytów bezpieczeństwa, nie monitorują dostępu osób trzecich i nie analizują, skąd pochodzą biblioteki lub aktualizacje oprogramowania. Problem dotyczy nie tylko dostawców. Czasem mogą to być firmy serwisowe czy podmioty mające fizyczny dostęp do infrastruktury.
AI ułatwia cyberataki: perfekcyjny phishing, deepfake’i i złośliwe programy
Sztuczna inteligencja nie tworzy nowej kategorii ryzyka. Ona wzmacnia stare, znane techniki, czyniąc je tańszymi i skuteczniejszymi. – Na razie przewagę zyskują atakujący. AI ułatwia phishing, deepfake’i i automatyzację ataków – mówi Adam Kassenberg, wskazując, że w krótkim czasie przestępcy szybciej zaadaptują AI do ofensywy niż organizacje przygotują się do obrony.
W praktyce sztuczna inteligencja otwiera nowe możliwości dla cyberprzestępców. Pozwala na tworzenie spersonalizowanego phishingu, wolnego od typowych błędów językowych i precyzyjnie dopasowanego do roli oraz kontekstu ofiary. Umożliwia masową produkcję deepfake’ów – zarówno głosowych, jak i wideo – co może prowadzić do oszustw sięgających setek tysięcy, a nawet milionów złotych. AI wspiera też automatyzację spear-phishingu wymierzonego w kadrę zarządzającą oraz przyspiesza tworzenie wariantów złośliwego oprogramowania, w tym polimorficznego malware, który łatwiej omija tradycyjne mechanizmy wykrywania.
W 2025 r. sztuczna inteligencja znacząco obniżyła próg wejścia do skutecznego phishingu i tworzenia deepfake’ów. Ataki, które kiedyś wymagały tygodni pracy, dziś można przygotować i skalować w ciągu godzin.
Dla biznesu oznacza to przede wszystkim obniżenie kosztów przygotowania ataku oraz skrócenie czasu jego realizacji. Tam, gdzie wcześniej oszust musiał „ręcznie” tworzyć wiadomości i narażał się na błędy, dziś kampanie mogą być prowadzone szybciej, efektywniej i znacznie taniej.
1%: ryzyko nie w liczbie prób, tylko w skutkach
Choć większość prób ataków jest skutecznie blokowana przez zabezpieczenia, ryzyko koncentruje się w tej niewielkiej części ataków, które przełamują ochronę, oraz w drobnych incydentach, które bywają ignorowane, aż eskalują. – Ten przysłowiowy „1%” może zatrzymać firmę na tygodnie. Ale drobne incydenty, jeśli są ignorowane, mogą prowadzić do eskalacji i poważniejszych naruszeń – podkreśla Adam Kassenberg, ostrzegając jednocześnie przed konkretnymi liczbami.
Według szacunków z lat 2024–2025 średni koszt incydentu dla polskiej firmy wynosił ok. 30–35 tys. zł, jednak w przypadku średnich i większych przedsiębiorstw realne straty (w tym przestoje, kary, utrata kontraktów, odszkodowania) często sięgały od 500 tys. do kilkunastu milionów złotych.
Ekspert zwraca uwagę, że często koszty pośrednie, takie jak utrata zaufania klientów czy przerwa w działalności, są znacznie wyższe niż sam okup czy naprawa systemów.
Kto jest najbardziej narażony?
Z perspektywy rynku nie wszystkie organizacje są atakowane „tak samo”. Najbardziej narażone sektory (2024–2025) to: produkcja i przemysł, usługi profesjonalne/BPO/IT/telekom, ochrona zdrowia, retail i e-commerce, sektor publiczny oraz infrastruktura krytyczna (dostawcy wody, energii elektrycznej i odbiorcy odpadów). W 2025 r. CERT odnotował wyraźny wzrost ransomware w sektorze produkcyjnym i energetycznym (np. incydent z 29 grudnia 2025 r. w farmach wiatrowych i elektrociepłowni).
Są też wyraźne różnice w profilu ryzyka. Małe firmy częściej padają ofiarą prostego phishingu i „commodity ransomware”, bo mają słabszą ochronę i rzadziej aktualizują systemy; częściej też nie raportują incydentów, więc statystyki są zaniżone. Natomiast duże firmy częściej padają ofiarą ukierunkowanych ataków, ransomware-as-a-service, kradzieży danych w celu szantażu oraz ataków przez łańcuch dostaw, ponieważ dysponują znacznie większą „powierzchnią” narażoną na zagrożenia.
To oznacza, że „jedna strategia dla wszystkich” nie działa oraz że średnie firmy mogą być paradoksalnie w najtrudniejszym położeniu: są już wystarczająco atrakcyjne dla ransomware, a nadal niedoinwestowane w procesy i ekspertów od cyberzagrożeń.
Dlaczego to temat dla zarządu, nie tylko dla IT
Adam Kassenberg zwraca uwagę, że największą barierą w firmach jest sposób myślenia o cyberbezpieczeństwie: bywa ono traktowane jako „problem działu IT”, a nie jako ryzyko strategiczne. – Statystyki w większości zarządów pozostają abstrakcyjnymi liczbami. Dopiero przełożenie ich na konkretne scenariusze biznesowe – przestój, straty, kary – robi różnicę — podkreśla.
Wśród decyzji zarządczych, które najczęściej prowadzą do poważnych incydentów, wymienia się m.in. cięcie budżetów na bezpieczeństwo „w imię optymalizacji”, brak wdrożenia MFA na wszystkich kontach, brak ćwiczeń reakcji na incydenty, nieegzekwowanie aktualizacji oraz brak audytu bezpieczeństwa dostawców. W tle pojawia się jeszcze jedno zjawisko, określane jako „malowanie trawy na zielono” – raportowanie bezpieczeństwa jako dobrego, ponieważ formalnie istnieją procedury, choć w praktyce nie funkcjonują one skutecznie.
W tym kontekście Adam Kassenberg podsumowuje jasno sedno problemu: – Cyberbezpieczeństwo nie jest tematem pobocznym ani jednorazowym zakupem – to element kultury organizacyjnej. W debacie publicznej najbardziej brakuje uczciwej rozmowy o kosztach ludzkich błędów oraz o tym, że najdroższą ochroną jest ta, której w ogóle nie trzeba uruchamiać – czyli prewencja przez kulturę bezpieczeństwa, regularne symulacje phishingowe i egzekwowanie podstawowych zasad (MFA, aktualizacje, weryfikacja przelewów pod presją).
Zostaw komentarz