Klikając „Akceptuj wszystkie pliki cookie”, zgadzasz się na przechowywanie plików cookie na swoim urządzeniu w celu ułatwienia nawigacji po stronie, analizy korzystania ze strony oraz wspierania naszych działań marketingowych. Zobacz naszą Politykę prywatności, aby uzyskać więcej informacji.
PreferencjeOdrzućAkceptuj
Powrót na stronę główną bloga
Raport

ENISA 2025: wyzwania i zalecenia dla UE

Autor/ka
Davidson Consulting
ikona facebook
ikona linkedin

Eksperci ds. zarządzania kryzysowego i ciągłości działania

Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) opublikowała raport Threat Landscape 2025, przedstawiający przegląd ekosystemu cyberzagrożeń w Europie wokresie od lipca 2024 do czerwca 2025 roku.

Krajobraz zagrożeń dojrzewa, cechując się szybkim wykorzystywaniem luk w zabezpieczeniach i rosnącą złożonością w śledzeniu sprawców. Aktywność intruzyjna pozostaje znacząca, z ransomware w centrum uwagi.

Kto, co i dlaczego jest atakowane?

Analiza niemal 4900 incydentów wykazała, że cyberataki ukierunkowane na UE charakteryzują się konkretnymi wzorcami. Cele są bardzo klarowne.

Najczęściej atakowane sektory

Według raportu ENISA sektorem najbardziej dotkniętym incydentami była administracja publiczna (38,2% wszystkich zarejestrowanych incydentów po odliczeniu nieokreślonych), co jest spowodowane głównie atakami DDoS prowadzonymi przez hakerów-aktywistów. Pięć najczęściej atakowanych sektorów w UE to:

  • Administracja publiczna (38,2%incydentów).
  • Transport (7,5% incydentów).
  • Infrastruktura i usługi cyfrowe (4,8%incydentów).
  • Finanse (4,5% incydentów).
  • Produkcja (2,9% incydentów).

Warto zauważyć, że transport i infrastruktura / usługi cyfrowe pozostają celami strategicznymi dla operacji cyber-szpiegostwa i ransomware. W sektorze transportu, najbardziej dotknięte podsektory to transport lotniczy (58,4%) i logistyka (20,8%).

Dominujące motywacje

Większość odnotowanej aktywności cybernetycznej skierowanej przeciwko UE była napędzana motywacjami ideologicznymi.

  • Motywacja ideologiczna – 79,4% (prawie wyłącznie ataki DDoS prowadzone przez hakerów-aktywistów).
  • Motywacja finansowa – 13,4% (głównie przez przestępców cybernetycznych).
  • Cyber-szpiegostwo – 7,2%.

Jakie metody ataku i zagrożenia dominują?

W analizowanym okresie dominowały dwie główne kategorie incydentów: ataki DDoS i intruzje.

Wektory początkowej Intruzji

Phishing pozostaje głównym wektorem początkowej intruzji, stanowiąc aż 60% zaobserwowanych przypadków. W ciągu roku zaobserwowano, że kampanie phishingowe wspierane przez sztuczną inteligencję stanowią ponad 80% światowej aktywności inżynierii społecznej.

Drugim głównym wektorem jest wykorzystanie luk w zabezpieczeniach (ang.Vulnerabilities), odpowiadające za 21,3% przypadków.

DominująceZagrożenia

Wśród zidentyfikowanych złośliwych kodów, zdecydowanie przeważa Ransomware.

  • Ransomware – 83,5.
  • Łączny udział ransomware, trojanów bankowych i infostealerów (złodziei informacji) to 87,3%.

Najczęściej odnotowywanym rodzajem incydentu jest DDoS (DistributedDenial-of-Service), stanowiący aż 76,7% wszystkich zarejestrowanych przypadków. Jest to w przeważającej mierze zasługa grup hakerów-aktywistów.

Rosnące ryzyko zależności i łańcucha dostaw

Adwersarze coraz częściej wykorzystują zależności cyfrowe, uderzającw dostawców usług, repozytoria oprogramowania oraz rozszerzenia przeglądarek. Ryzyka związane z łańcuchem dostaw stanowią10,6% wszystkich kategorii zagrożeń.

Kluczowe trendy i konwergencja

Krajobraz zagrożeń charakteryzuje się kilkoma kluczowymi, wzajemnie powiązanymi trendami.

Konwergencja grup zagrożeń

Zacierają się granice między hakerstwem-aktywizmem,cyberprzestępczością a działaniami powiązanymi z państwami.

  • Faketivism: Grupy powiązane z państwami (ang. State-aligned) podszywają się pod hakerów-aktywistów, np. Cyber Army of Russia Reborn powiązany z Rosją (Sandworm).
  • Ransomware u hacktivistów: Grupy hakerów-aktywistów, np. FunkSec i CyberVolk, zaczynają stosować ransomware, łącząc przesłanie polityczne z wymuszeniami finansowymi.
  • Współpraca grup państwowych i cyberprzestępczych: Grupy związane z państwami wykorzystują metody i infrastrukturę cyberprzestępczą, np. Kimsuky używający techniki Clickfix.

Przewidywalne wykorzystanie AI

AI stało się kluczowym elementem krajobrazu, zwiększając skalowalność i efektywność złośliwej działalności.

  • Phishing oparty na AI: Duże modele językowe (LLM) są wykorzystywane do tworzenia bardziej przekonujących e-maili phishingowych.
  • Deepfakes i vishing: AI jest używana w wyłudzeniach głosowych (vishing) i oszustwach online, w tym do tworzenia deepfake'ów, zwiększając skuteczność inżynierii społecznej.
  • AI jako Przynęta: Wzrasta proliferacja fałszywych stron internetowych podszywających się pod legalne narzędzia AI, co służy do dystrybucji złośliwego oprogramowania.

Ewoluująca cyberprzestępczość

Ransomware nadal dominuje, pomimo działań organów ścigania (LEA).

  • Fragmentacja ransomware: Przestępcy decentralizują operacje, a usunięte programy RaaS (Ransomware-as-a-Service) są szybko zastępowane nowymi wariantami.
  • EDR Killers: Wzrasta wykorzystanie narzędzi zaprojektowanych do wyłączania rozwiązań do wykrywania i reagowania na punkcie końcowym (EDR), takich jak AvNeutralizer i EDRKillShifter, w celu bardziej ukradkowego wykradania danych.
  • Taktyki wymuszania prawnego: Nowe funkcje, takie jak opcja „zadzwoń do prawnika” w oprogramowaniu Qilin, imitują eskalację prawną, wywierając presję na ofiary.

Zalecenia ENISA dla odporności cybernetycznej w październiku 2025

W oparciu o zidentyfikowane techniki, taktyki i procedury (TTP) oraz luki w zabezpieczeniach, Agencja ENISA sformułowała kompleksowe zalecenia. Podstawą obrony powinna być proaktywna higiena cybernetyczna i podejście oparte na analizie zagrożeń (ang.intelligence-driven).

Wzmacnianie systemów i kontrola dostępu

  • Egzekwowanie podstawowej higieny cybernetycznej: Szybka dostępność i wdrożenie łatek jest kluczowe, ponieważ luki są wykorzystywane w ciągu dni od ich ujawnienia.
  • Zapobieganie wykonywaniu (Execution Prevention): Ograniczanie rejestru, instalacji oprogramowania oraz użycie podpisów kodu.
  • Wieloskładnikowe uwierzytelnianie (MFA): Wzmocnienie tożsamości w celu przeciwdziałania nadużyciom po kradzieży poświadczeń.
  • Zarządzanie przywilejami: Wdrożenie zasad najmniejszych przywilejów.

Ochrona sieci i Monitorowanie

  • Segmentacja sieci (Network Segmentation): Izolowanie stref w celu ograniczenia rozprzestrzeniania się zagrożeń.
  • Filtrowanie ruchu sieciowego (Filter Network Traffic): Zapewnienie wykrywania i blokowania na linii frontu.
  • Audyt i logowanie: Skuteczny nadzór zapewnia wczesne wykrycie złośliwej działalności.

Odporność i Szkolenia

  • Kopia zapasowa danych i zdalne przechowywanie (Data Backup & Remote Data Storage): Zapewnienie ciągłości działania w przypadku udanego ataku ransomware.
  • Szkoleni e-użytkowników (User Training): Wyposażenie personelu w wiedzę do rozpoznawania i przeciwstawiania się próbom inżynierii społecznej (phishing).

Davidson Consulting oferuje szkolenia w zakresie Zarządzanie Cyberbezpieczeństwem - poziom Specjalista - serdecznie Wasz zapraszamy do skorzystania z naszej propozycji i wyszkolenia swoich pracowników.

Krajobraz zagrożeń ewoluuje w kierunku konwergencji, automatyzacjii industrializacji. Ataki w łańcuchu dostaw, AI i eskalacja taktyk wymuszeń finansowych stanowią strategiczne priorytety dla adwersarzy. Organizacje powinny przejść na strategie obronne opartena analizie zagrożeń, kładąc nacisk na aktywne wykrywanie zagrożeń, detekcję behawioralną i integrację zarządzania ryzykiem cybernetycznym w szersze ramy operacyjne.

Zapisz się już teraz! 

Subskrybując newsletter Davidson Consulting, otrzymujesz merytoryczne analizy z zakresu zarządzania ryzykiem, ciągłości działania, cyberbezpieczeństwa i compliance (m.in. DORA, NIS2), a także informacje o naszych usługach i produktach, które pomogą Ci skutecznie wdrożyć prezentowane strategie.  

Pamiętaj, Twoja subskrypcja jest w pełni dobrowolna i możesz ją anulować w każdej chwili jednym kliknięciem.
* - Pole obowiązkowe
Dziękujemy za zapisanie się do Forum Ekspertów Odporności Operacyjnej.
Ups! Coś poszło nie tak podczas uzupełnienia formy. Spróbuj ponownie lub skontaktuj się bezpośrednio.

Najnowsze artykuły:

Strategiczna cisza po cyberataku na system wizowy w UK
Awaria Porsche w Rosji
Plan ciągłości działania, czyli instrukcja przetrwania dla Twojej firmy
Atak Shai Hulud 2.0.
Niewidzialne zagrożenia

Kategorie:

ICT Navigator
Geopolityka a biznes
Ochrona ludności
Bezpieczeństwo łańcucha dostaw
Zarządzanie kryzysowe
Incydenty
Szkolenia
Wydarzenia
Komunikacja kryzysowa
Audyt
Sygnaliści
Zgodność
Cyberbezpieczeństwo
Ciągłość działania

Oferta Davidson Consulting:

Business ContinuityZarządzanie ryzykiemCyberbezpieczeństwoRozmowy o ryzykuRaporty

Najnowsze artykuły

Strategiczna cisza po cyberataku na system wizowy w UK

prezentacja
Czytaj dalej
Case Study

Strategiczna cisza po cyberataku na system wizowy w UK

Incydenty
wojna, atak, cybertak, system wizowy, uk, Wielka Brytania,
Administracja publiczna

Awaria Porsche w Rosji

Analiza SPOF
Czytaj dalej
Raport

Awaria Porsche w Rosji

Bezpieczeństwo łańcucha dostaw
Ciągłość działania
Geopolityka a biznes
awaria Porsche Rosja 2025, Porsche VTS awaria, Vehicle Tracking System problem, Porsche nie uruchamia się, blokada silnika Porsche, cyberbezpieczeństwo samochodów, connected cars security, software-defined vehicle ryzyko, GPS spoofing samochody, zagłuszanie GPS Rosja, systemy antykradzieżowe VTS, zdalne wyłączenie pojazdu kill switch, cyfrowy kill switch technologia, single point of failure SPOF, awaria łańcucha dostaw technologia, supply chain risk management, zarządzanie ryzykiem dostawców, third party risk management TPRM, vendor risk management VRM, supplier risk management SRM, ryzyko technologiczne motoryzacja, sankcje technologiczne a dostępność usług, licencje oprogramowania ryzyko operacyjne, disaster recovery plan DRP, business continuity management BCM, cyber resilience organizacji, ryzyko geopolityczne technologii, UN R155 cybersecurity automotive, automotive cybersecurity 2025, analiza ryzyka dostawcy, vendor risk assessment, ERAMIS metodologia, cyfrowa suwerenność technologiczna, zależność od dostawcy technologii, bezpieczeństwo infrastruktury krytycznej
Transport i logistyka
E-commerce & retail
Motoryzacja

Insider threat. Sabotaż Davisa Lu jako przykład wewnętrznego zagrożenia dla ciągłości działania

Sprawa Lu dostarcza materiału analitycznego, nad którym powinna pochylić się każda organizacja.
Czytaj dalej
Case Study

Insider threat. Sabotaż Davisa Lu jako przykład wewnętrznego zagrożenia dla ciągłości działania

Cyberbezpieczeństwo
Incydenty
insider threat, zagrożenia wewnętrzne, cyberbezpieczeństwo, sabotaż w firmie, zarządzanie ryzykiem IT, ciągłość działania, bezpieczeństwo informacji, ochrona infrastruktury, Davis Lu, Eaton Corporation, złośliwy kod, zarządzanie uprawnieniami, audyt bezpieczeństwa, Business Continuity Plan, ryzyko osobowe, incydenty bezpieczeństwa, ochrona danych, zwolnienie pracownika IT, separacja obowiązków
Podmioty ważne i kluczowe

Atak Shai Hulud 2.0.

Ujawnienie krytycznych sekretów środowiska wykonawczego!
Czytaj dalej
Case Study

Atak Shai Hulud 2.0.

Cyberbezpieczeństwo
Ciągłość działania
Bezpieczeństwo łańcucha dostaw
Incydenty
Shai Hulud 2.0, atak supply chain npm, bezpieczeństwo CI/CD, złośliwe pakiety npm, non-human identities, zarządzanie sekretami, kradzież kluczy API, ochrona środowiska wykonawczego, rotacja poświadczeń, wyciek danych GitHub, dostęp Just-in-Time, malware w potokach CI/CD, audyt bezpieczeństwa ICT, environment.json, cyberbezpieczeństwo 2025
IT i technologia
Przejdź do wszystkich wpisów