Dbamy o Twoją prywatność. Wykorzystujemy pliki cookie wyłącznie do poprawnego działania strony oraz analizy ruchu, co pozwala nam dostarczać Ci lepsze treści. Nie udostępniamy Twoich danych sieciom reklamowym. Więcej informacji w Polityce prywatności.
PreferencjeOdrzućAkceptuj
Powrót na stronę główną bloga
Raport

ENISA 2025: wyzwania i zalecenia dla UE

Autor/ka
Davidson Consulting
ikona facebook
ikona linkedin

Eskperci ciągłości działania i zarządzania ryzykiem

Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) opublikowała raport Threat Landscape 2025, przedstawiający przegląd ekosystemu cyberzagrożeń w Europie wokresie od lipca 2024 do czerwca 2025 roku.

Krajobraz zagrożeń dojrzewa, cechując się szybkim wykorzystywaniem luk w zabezpieczeniach i rosnącą złożonością w śledzeniu sprawców. Aktywność intruzyjna pozostaje znacząca, z ransomware w centrum uwagi.

Kto, co i dlaczego jest atakowane?

Analiza niemal 4900 incydentów wykazała, że cyberataki ukierunkowane na UE charakteryzują się konkretnymi wzorcami. Cele są bardzo klarowne.

Najczęściej atakowane sektory

Według raportu ENISA sektorem najbardziej dotkniętym incydentami była administracja publiczna (38,2% wszystkich zarejestrowanych incydentów po odliczeniu nieokreślonych), co jest spowodowane głównie atakami DDoS prowadzonymi przez hakerów-aktywistów. Pięć najczęściej atakowanych sektorów w UE to:

  • Administracja publiczna (38,2%incydentów).
  • Transport (7,5% incydentów).
  • Infrastruktura i usługi cyfrowe (4,8%incydentów).
  • Finanse (4,5% incydentów).
  • Produkcja (2,9% incydentów).

Warto zauważyć, że transport i infrastruktura / usługi cyfrowe pozostają celami strategicznymi dla operacji cyber-szpiegostwa i ransomware. W sektorze transportu, najbardziej dotknięte podsektory to transport lotniczy (58,4%) i logistyka (20,8%).

Dominujące motywacje

Większość odnotowanej aktywności cybernetycznej skierowanej przeciwko UE była napędzana motywacjami ideologicznymi.

  • Motywacja ideologiczna – 79,4% (prawie wyłącznie ataki DDoS prowadzone przez hakerów-aktywistów).
  • Motywacja finansowa – 13,4% (głównie przez przestępców cybernetycznych).
  • Cyber-szpiegostwo – 7,2%.

Jakie metody ataku i zagrożenia dominują?

W analizowanym okresie dominowały dwie główne kategorie incydentów: ataki DDoS i intruzje.

Wektory początkowej Intruzji

Phishing pozostaje głównym wektorem początkowej intruzji, stanowiąc aż 60% zaobserwowanych przypadków. W ciągu roku zaobserwowano, że kampanie phishingowe wspierane przez sztuczną inteligencję stanowią ponad 80% światowej aktywności inżynierii społecznej.

Drugim głównym wektorem jest wykorzystanie luk w zabezpieczeniach (ang.Vulnerabilities), odpowiadające za 21,3% przypadków.

DominująceZagrożenia

Wśród zidentyfikowanych złośliwych kodów, zdecydowanie przeważa Ransomware.

  • Ransomware – 83,5.
  • Łączny udział ransomware, trojanów bankowych i infostealerów (złodziei informacji) to 87,3%.

Najczęściej odnotowywanym rodzajem incydentu jest DDoS (DistributedDenial-of-Service), stanowiący aż 76,7% wszystkich zarejestrowanych przypadków. Jest to w przeważającej mierze zasługa grup hakerów-aktywistów.

Rosnące ryzyko zależności i łańcucha dostaw

Adwersarze coraz częściej wykorzystują zależności cyfrowe, uderzającw dostawców usług, repozytoria oprogramowania oraz rozszerzenia przeglądarek. Ryzyka związane z łańcuchem dostaw stanowią10,6% wszystkich kategorii zagrożeń.

Kluczowe trendy i konwergencja

Krajobraz zagrożeń charakteryzuje się kilkoma kluczowymi, wzajemnie powiązanymi trendami.

Konwergencja grup zagrożeń

Zacierają się granice między hakerstwem-aktywizmem,cyberprzestępczością a działaniami powiązanymi z państwami.

  • Faketivism: Grupy powiązane z państwami (ang. State-aligned) podszywają się pod hakerów-aktywistów, np. Cyber Army of Russia Reborn powiązany z Rosją (Sandworm).
  • Ransomware u hacktivistów: Grupy hakerów-aktywistów, np. FunkSec i CyberVolk, zaczynają stosować ransomware, łącząc przesłanie polityczne z wymuszeniami finansowymi.
  • Współpraca grup państwowych i cyberprzestępczych: Grupy związane z państwami wykorzystują metody i infrastrukturę cyberprzestępczą, np. Kimsuky używający techniki Clickfix.

Przewidywalne wykorzystanie AI

AI stało się kluczowym elementem krajobrazu, zwiększając skalowalność i efektywność złośliwej działalności.

  • Phishing oparty na AI: Duże modele językowe (LLM) są wykorzystywane do tworzenia bardziej przekonujących e-maili phishingowych.
  • Deepfakes i vishing: AI jest używana w wyłudzeniach głosowych (vishing) i oszustwach online, w tym do tworzenia deepfake'ów, zwiększając skuteczność inżynierii społecznej.
  • AI jako Przynęta: Wzrasta proliferacja fałszywych stron internetowych podszywających się pod legalne narzędzia AI, co służy do dystrybucji złośliwego oprogramowania.

Ewoluująca cyberprzestępczość

Ransomware nadal dominuje, pomimo działań organów ścigania (LEA).

  • Fragmentacja ransomware: Przestępcy decentralizują operacje, a usunięte programy RaaS (Ransomware-as-a-Service) są szybko zastępowane nowymi wariantami.
  • EDR Killers: Wzrasta wykorzystanie narzędzi zaprojektowanych do wyłączania rozwiązań do wykrywania i reagowania na punkcie końcowym (EDR), takich jak AvNeutralizer i EDRKillShifter, w celu bardziej ukradkowego wykradania danych.
  • Taktyki wymuszania prawnego: Nowe funkcje, takie jak opcja „zadzwoń do prawnika” w oprogramowaniu Qilin, imitują eskalację prawną, wywierając presję na ofiary.

Zalecenia ENISA dla odporności cybernetycznej w październiku 2025

W oparciu o zidentyfikowane techniki, taktyki i procedury (TTP) oraz luki w zabezpieczeniach, Agencja ENISA sformułowała kompleksowe zalecenia. Podstawą obrony powinna być proaktywna higiena cybernetyczna i podejście oparte na analizie zagrożeń (ang.intelligence-driven).

Wzmacnianie systemów i kontrola dostępu

  • Egzekwowanie podstawowej higieny cybernetycznej: Szybka dostępność i wdrożenie łatek jest kluczowe, ponieważ luki są wykorzystywane w ciągu dni od ich ujawnienia.
  • Zapobieganie wykonywaniu (Execution Prevention): Ograniczanie rejestru, instalacji oprogramowania oraz użycie podpisów kodu.
  • Wieloskładnikowe uwierzytelnianie (MFA): Wzmocnienie tożsamości w celu przeciwdziałania nadużyciom po kradzieży poświadczeń.
  • Zarządzanie przywilejami: Wdrożenie zasad najmniejszych przywilejów.

Ochrona sieci i Monitorowanie

  • Segmentacja sieci (Network Segmentation): Izolowanie stref w celu ograniczenia rozprzestrzeniania się zagrożeń.
  • Filtrowanie ruchu sieciowego (Filter Network Traffic): Zapewnienie wykrywania i blokowania na linii frontu.
  • Audyt i logowanie: Skuteczny nadzór zapewnia wczesne wykrycie złośliwej działalności.

Odporność i Szkolenia

  • Kopia zapasowa danych i zdalne przechowywanie (Data Backup & Remote Data Storage): Zapewnienie ciągłości działania w przypadku udanego ataku ransomware.
  • Szkoleni e-użytkowników (User Training): Wyposażenie personelu w wiedzę do rozpoznawania i przeciwstawiania się próbom inżynierii społecznej (phishing).

Davidson Consulting oferuje szkolenia w zakresie Zarządzanie Cyberbezpieczeństwem - poziom Specjalista - serdecznie Wasz zapraszamy do skorzystania z naszej propozycji i wyszkolenia swoich pracowników.

Krajobraz zagrożeń ewoluuje w kierunku konwergencji, automatyzacjii industrializacji. Ataki w łańcuchu dostaw, AI i eskalacja taktyk wymuszeń finansowych stanowią strategiczne priorytety dla adwersarzy. Organizacje powinny przejść na strategie obronne opartena analizie zagrożeń, kładąc nacisk na aktywne wykrywanie zagrożeń, detekcję behawioralną i integrację zarządzania ryzykiem cybernetycznym w szersze ramy operacyjne.

Najnowsze artykuły:

Incydenty Paypal, GenAI, Ascom, Cloudflare i inne
Komunikacja kryzysowa - komunikacja EuroCert po ataku
Menedżery haseł w 2026 roku | Password managers
Ustawa o KSC podpisana, czyli co nowe przepisy oznaczają dla organizacji, która już ma certyfikat ISO 27001?
Licencja przymusowa w Unii Europejskiej

Kategorie:

ICT Navigator
Geopolityka a biznes
Ochrona ludności
Bezpieczeństwo łańcucha dostaw
Zarządzanie kryzysowe
Incydenty
Szkolenia
Wydarzenia
Komunikacja kryzysowa
Audyt
Sygnaliści
Zgodność
Cyberbezpieczeństwo
Ciągłość działania

Oferta Davidson Consulting:

Business ContinuityZarządzanie ryzykiemCyberbezpieczeństwoRozmowy o ryzykuRaporty

Najnowsze artykuły

Incydenty Paypal, GenAI, Ascom, Cloudflare i inne

Co nam mówią o zarządzaniu ryzykiem ICT?
Czytaj dalej
Artykuł

Incydenty Paypal, GenAI, Ascom, Cloudflare i inne

Cyberbezpieczeństwo
Ciągłość działania
Incydenty
Komunikacja kryzysowa
cyberbezpieczeństwo, ryzyko operacyjne, DORA, BCM, NIS2
Bankowość i rynki finansowe
Energetyka
IT i technologia
Usługi ICT
Podmioty ważne i kluczowe

Ustawa o KSC podpisana, czyli co nowe przepisy oznaczają dla organizacji, która już ma certyfikat ISO 27001?

Co teraz?
Czytaj dalej
Komentarz

Ustawa o KSC podpisana, czyli co nowe przepisy oznaczają dla organizacji, która już ma certyfikat ISO 27001?

Cyberbezpieczeństwo
Zgodność
Administracja publiczna

Menedżery haseł w 2026 roku | Password managers

Od twierdzy szyfrów do ataku one-click
Czytaj dalej
Baza wiedzy

Menedżery haseł w 2026 roku | Password managers

Cyberbezpieczeństwo
menedżer haseł,
Firmy w Polsce

Licencja przymusowa w Unii Europejskiej

Tak, Twoja firma będzie musiała ujawnić swoje tajemnice konkurencji
Czytaj dalej
Artykuł

Licencja przymusowa w Unii Europejskiej

Zgodność
licencja przymusowa UE, rozporządzenie 2025/2645, unijne licencje przymusowe, Komisja Europejska własność intelektualna, prawo własności przemysłowej UE, regulacje kryzysowe UE, interes publiczny a patenty, zarządzanie kryzysowe UE, odporność strategiczna Europy, bezpieczeństwo dostaw, ciągłość działania przedsiębiorstw, IMERA, HERA, ochrona know-how, tajemnice handlowe, transfer technologii, ryzyko utraty know-how, dyrektywa Trade Secrets, sektor farmaceutyczny, biotechnologia, wyroby medyczne, sektor energetyczny, infrastruktura krytyczna, technologie bezpieczeństwa, półprzewodniki, ryzyko regulacyjne, wymuszony transfer technologii, przewaga konkurencyjna, strategia czarnej skrzynki, modularizacja produkcji, dokumentacja kryzysowa, licencje dobrowolne, audyt własności intelektualnej, compliance technologiczne, powiernik technologiczny, patent a know-how, własność intelektualna w kryzysie, zarządzanie ryzykiem IP
Firmy w Polsce
Przejdź do wszystkich wpisów