Raport CERT Polska 2025 – jesteśmy na cyfrowym celowniku?

Cyfrowy plac boju w 2025 roku

Najnowszy raport roczny z działalności CERT Polska za 2025 rok, opublikowany 8 kwietnia 2026 roku, potwierdza jednoznacznie: wysoka intensywność zagrożeń stała się nową normą operacyjną, a nie incydentalnym pikiem. W skali całego roku CERT Polska zarejestrował 260,8 tys. incydentów wobec 103,4 tys. w 2024 roku – wzrost o 152%. Liczba zgłoszeń osiągnęła 658,3 tys. (wzrost o 10% rok do roku). Dla ilustracji skali: w samym grudniu 2025 roku odnotowano 51,8 tys. zgłoszeń i 24,7 tys. incydentów.

Kluczowy kontekst interpretacyjny: autorzy raportu wskazują, że część wzrostu wynika z lepszej skuteczności systemów detekcji CERT Polska, a nie wyłącznie z faktycznej eskalacji ataków. To rozróżnienie jest istotne dla prawidłowej oceny sytuacji przez CISO i architektów bezpieczeństwa – narracja wyłącznie „paniki operacyjnej” jest tu tak samo nieuzasadniona jak bagatelizowanie zagrożeń.

Przy takiej skali tradycyjne podejście oparte na „gaszeniu pożarów” przestaje być wystarczające. Chociaż adwersarze coraz śmielej wykorzystują automatyzację, fundamentem obrony w 2026 roku nie będą wyłącznie systemy klasy AI, lecz dojrzałość organizacyjna i dyscyplina regulacyjna.

Dojrzałość CSIRTów – poziom „Basic” to konieczność, nie wybór

Zgodnie z „Rekomendacjami zespołu CERT Polska dla ustanawiania zespołów CSIRT” (sierpień 2025), ocena dojrzałości polskich zespołów opiera się na modelu SIM3 (Security Incident Management Maturity Model) – europejskim standardzie opracowanym przez Open CSIRT Foundation, stosowanym w ramach procesu certyfikacji Trusted Introducer. Model klasyfikuje dojrzałość w czterech obszarach:

• Organizacja (O): formalny mandat, uprawnienia i odpowiedzialność względem obsługiwanej grupy (constituency).
• Zasoby Ludzkie (H): kodeks postępowania, kompetencje techniczne oraz odporność kadrowa.
• Narzędzia (T): systemy śledzenia incydentów, bezpieczna komunikacja i infrastruktura analityczna.
• Procesy (P): procedury triażu, eskalacji oraz raportowania do organów nadzorczych.

Analiza parametrów SIM3 obnaża istotna asymetrię: poziom Basic wymaga wyniku 3 (formalne zatwierdzenie przez kierownictwo) dla parametrów organizacyjnych jak O-1 (mandat), podczas gdy dla H-5 (szkolenia techniczne) wystarczy poziom 1 (wiedza ustna). Ryzyko budowy zespołów „formalnie doskonałych”, lecz „technicznie surowych” jest realne – bez kompetencji technicznych procesy pozostaną jedynie na papierze.

Anatomia ataku – ransomware po operacji organów ścigania

Grupa 8Base to modelowy przykład zjawiska „recyklingu technologii” w cyberprzestępczości. Wykorzystując infrastrukturę oraz warianty oprogramowania wywodzące się z operacji Phobos, grupa przeprowadziła ponad 1000 ataków na całym świecie, wymuszając łącznie ponad 16 mln USD okupów. Ofiarami były głównie firmy z sektora MŚP i ochrony zdrowia.

Model działania 8Base opierał się na trzech filarach: (1) dostęp przez phishing i exploit-kity; (2) szyfrowanie danych wariantem Phobos z rozszerzeniami takimi jak .8base; (3) strategia double extortion – jednoczesne szyfrowanie i eksfiltracja danych w celu szantażu publikacją na stronach leak site. Do zacierania śladów finansowych używano kryptowalutowych mikserów.

Kluczowy fakt operacyjny: 10 lutego 2025 roku operacja PHOBOS AETOR (FBI, Europol i partnerzy) doprowadziła do zatrzymania czterech liderów grupy i przejęcia całej infrastruktury, w tym strony z wyciekami danych. Działalność 8Base została tym samym faktycznie unieszkodliwiona. Dla obrońców najważniejszy wniosek pozostaje aktualny: monitoring historycznych wskaźników kompromitacji (IoC) z rodziny Phobos jest jedną z najskuteczniejszych metod wczesnej detekcji podobnych kampanii.

Kryptowaluty pod lupą – konfiskata aktywów cyfrowych

Polskie organy ścigania (CBSŚP, KAS) w 2025 roku rozwijały kompetencje w zakresie analityki blockchain. Ramy prawne zajmowania aktywów cyfrowych opierają się na rozporządzeniu MiCA (Markets in Crypto-Assets), które od 30 grudnia 2024 roku zastąpiło dotychczasowy rejestr VASP nowym reżimem licencjonowania CASP. To MiCA – a nie dyrektywa 5AMLD, obowiązująca w Polsce od 2021 roku – stanowi kluczową zmianę regulacyjną roku 2025.

Wniosek strategiczny: Państwo skutecznie wymusza współpracę na giełdach (VASP/CASP), jednak dla inżynierów i architektów prawdziwym wyzwaniem pozostają protokoły DeFi oraz portfele non-custodial. Gdzie nie ma centralnego pośrednika, jurysdykcja napotyka barierę technologiczną. Należy przy tym odnotować, że w lutym 2026 roku Prezydent RP zawetował po raz drugi ustawę wdrażającą MiCA do polskiego porządku prawnego, co utrzymuje stan prawnej niepewności na rynku kryptoaktywów.

Lekcja z Pegasusa – ryzyko braku akredytacji

W lutym 2026 roku Prokuratura Krajowa postawiła zarzuty byłym szefom ABW i SKW. Sednem sprawy nie jest sama natura narzędzia Pegasus, lecz złamanie procedur bezpieczeństwa teleinformatycznego (zarzuty z art. 231 § 1 k.k.). Z perspektywy inżynierii bezpieczeństwa kluczowe uchybienia to:

1. Brak akredytacji: dopuszczenie systemu do pracy bez formalnego potwierdzenia odporności architektury na próby penetracji.
2. Ryzyko dekonspiracji: utrzymywanie systemu mimo wiedzy o zagrożeniu ekspozycją operacyjną służb.
3. Brak weryfikacji klauzul: przetwarzanie danych o klauzulach „tajne” i „ściścle tajne” bez audytu ochrony informacji niejawnych.

Dla każdego architekta w sektorze publicznym jest to ostrzeżenie: pójście „na skróty” przy wdrażaniu systemów analitycznych („shadow IT” w służbach) to nie tylko ryzyko techniczne, ale i prosta droga do odpowiedzialności karnej za niedopełnienie obowiązków służbowych.

Nowa struktura obrony – konsolidacja służb w 2026 roku

Rok 2026 przynosi fundamentalną przebudowę polskiego sektora bezpieczeństwa. Zgodnie z planami Komendy Głównej Policji ogłoszonymi w listopadzie 2025 roku, tworzone jest Narodowe Biuro Śledcze (NBŚ), które przejmie zadania zarówno CBSŚP, jak i Centralnego Biura Zwalczania Cyberprzestępczości (CBZC). Równocześnie powstaje odrębne Biuro do Walki z Cyberprzestępczością w KGP oraz analogiczne komórki w komendach wojewódzkich – co oznacza specjalizację cyber, a nie prostą fuzję dwóch jednostek.

Celem konsolidacji jest przejście od rozproszonych „wysp kompetencyjnych” do scentralizowanego ośrodka uderzeniowego, łączącego doświadczenie operacyjne CBSŚP z technicznym know-how CBZC w walce z ransomware i zorganizowaną cyberprzestępczością. Powinno to skrócić czas reakcji na kampanie wymierzone w polski sektor finansowy i infrastrukturę krytyczną.

Co robić dalej? Pragmatyka ponad hype

Dane z Raportu Rocznego CERT Polska 2025 są jednoznaczne: odporność buduje się na procesach, a nie na produktach. Każdy CISO i architekt bezpieczeństwa powinien podjąć trzy konkretne kroki:

1. Audyt dojrzałości SIM3: zweryfikuj, czy Twój zespół osiągnął poziom Basic. Skup się na parametrze P-1 (eskalacja), który zapewnia realną ścieżkę decyzyjną w sytuacjach kryzysowych.
2. Weryfikacja akredytacji: upewnij się, że systemy przetwarzające dane krytyczne posiadają aktualne akredytacje bezpieczeństwa. Sprawa Pegasusa pokazuje, że „działające rozwiązanie” bez dokumentacji to bomba zegarowa.
3. Automatyzacja raportowania: wymogi NIS2/UKSC nakładają obowiązek wstępnego raportowania incydentów poważnych w ciągu 24 godzin. Jeśli proces triażu nie jest zautomatyzowany, dotrzymanie tego terminu jest nierealne.

Czy Twój zespół jest faktycznie gotowy na raportowanie incydentu w 24 godziny? Czy poziom dojrzałości Basic to wciąż odległy cel? Odpowiedź na te pytania zdefiniuje odporność Twojej organizacji w 2026 roku.

Zachęcamy do przeczytania Raportu Rocznego 2025 z działalności CERT Polska. Masz pytania? Umów spotkanie z naszym doradcą ds. cyberbezpieczeństwa.

Źródła:

Raport Roczny z działalności CERT Polska w 2025 roku (NASK/CERT Polska, kwiecień 2026)

Podsumowanie Miesiąca CERT Polska CSIRT NASK nr 4/2025 (grudzień 2025)

Europol – Operacja PHOBOS AETOR (luty 2025)

Open CSIRT Foundation – model SIM3

Rozporządzenie MiCA 2023/1114