Klikając „Akceptuj wszystkie pliki cookie”, zgadzasz się na przechowywanie plików cookie na swoim urządzeniu w celu ułatwienia nawigacji po stronie, analizy korzystania ze strony oraz wspierania naszych działań marketingowych. Zobacz naszą Politykę prywatności, aby uzyskać więcej informacji.
PreferencjeOdrzućAkceptuj
Powrót na stronę główną bloga
Raport

ENISA 2025: wyzwania i zalecenia dla UE

Autor/ka
Davidson Consulting
ikona facebook
ikona linkedin

Eksperci ds. zarządzania kryzysowego i ciągłości działania

Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) opublikowała raport Threat Landscape 2025, przedstawiający przegląd ekosystemu cyberzagrożeń w Europie wokresie od lipca 2024 do czerwca 2025 roku.

Krajobraz zagrożeń dojrzewa, cechując się szybkim wykorzystywaniem luk w zabezpieczeniach i rosnącą złożonością w śledzeniu sprawców. Aktywność intruzyjna pozostaje znacząca, z ransomware w centrum uwagi.

Kto, co i dlaczego jest atakowane?

Analiza niemal 4900 incydentów wykazała, że cyberataki ukierunkowane na UE charakteryzują się konkretnymi wzorcami. Cele są bardzo klarowne.

Najczęściej atakowane sektory

Według raportu ENISA sektorem najbardziej dotkniętym incydentami była administracja publiczna (38,2% wszystkich zarejestrowanych incydentów po odliczeniu nieokreślonych), co jest spowodowane głównie atakami DDoS prowadzonymi przez hakerów-aktywistów. Pięć najczęściej atakowanych sektorów w UE to:

  • Administracja publiczna (38,2%incydentów).
  • Transport (7,5% incydentów).
  • Infrastruktura i usługi cyfrowe (4,8%incydentów).
  • Finanse (4,5% incydentów).
  • Produkcja (2,9% incydentów).

Warto zauważyć, że transport i infrastruktura / usługi cyfrowe pozostają celami strategicznymi dla operacji cyber-szpiegostwa i ransomware. W sektorze transportu, najbardziej dotknięte podsektory to transport lotniczy (58,4%) i logistyka (20,8%).

Dominujące motywacje

Większość odnotowanej aktywności cybernetycznej skierowanej przeciwko UE była napędzana motywacjami ideologicznymi.

  • Motywacja ideologiczna – 79,4% (prawie wyłącznie ataki DDoS prowadzone przez hakerów-aktywistów).
  • Motywacja finansowa – 13,4% (głównie przez przestępców cybernetycznych).
  • Cyber-szpiegostwo – 7,2%.

Jakie metody ataku i zagrożenia dominują?

W analizowanym okresie dominowały dwie główne kategorie incydentów: ataki DDoS i intruzje.

Wektory początkowej Intruzji

Phishing pozostaje głównym wektorem początkowej intruzji, stanowiąc aż 60% zaobserwowanych przypadków. W ciągu roku zaobserwowano, że kampanie phishingowe wspierane przez sztuczną inteligencję stanowią ponad 80% światowej aktywności inżynierii społecznej.

Drugim głównym wektorem jest wykorzystanie luk w zabezpieczeniach (ang.Vulnerabilities), odpowiadające za 21,3% przypadków.

DominująceZagrożenia

Wśród zidentyfikowanych złośliwych kodów, zdecydowanie przeważa Ransomware.

  • Ransomware – 83,5.
  • Łączny udział ransomware, trojanów bankowych i infostealerów (złodziei informacji) to 87,3%.

Najczęściej odnotowywanym rodzajem incydentu jest DDoS (DistributedDenial-of-Service), stanowiący aż 76,7% wszystkich zarejestrowanych przypadków. Jest to w przeważającej mierze zasługa grup hakerów-aktywistów.

Rosnące ryzyko zależności i łańcucha dostaw

Adwersarze coraz częściej wykorzystują zależności cyfrowe, uderzającw dostawców usług, repozytoria oprogramowania oraz rozszerzenia przeglądarek. Ryzyka związane z łańcuchem dostaw stanowią10,6% wszystkich kategorii zagrożeń.

Kluczowe trendy i konwergencja

Krajobraz zagrożeń charakteryzuje się kilkoma kluczowymi, wzajemnie powiązanymi trendami.

Konwergencja grup zagrożeń

Zacierają się granice między hakerstwem-aktywizmem,cyberprzestępczością a działaniami powiązanymi z państwami.

  • Faketivism: Grupy powiązane z państwami (ang. State-aligned) podszywają się pod hakerów-aktywistów, np. Cyber Army of Russia Reborn powiązany z Rosją (Sandworm).
  • Ransomware u hacktivistów: Grupy hakerów-aktywistów, np. FunkSec i CyberVolk, zaczynają stosować ransomware, łącząc przesłanie polityczne z wymuszeniami finansowymi.
  • Współpraca grup państwowych i cyberprzestępczych: Grupy związane z państwami wykorzystują metody i infrastrukturę cyberprzestępczą, np. Kimsuky używający techniki Clickfix.

Przewidywalne wykorzystanie AI

AI stało się kluczowym elementem krajobrazu, zwiększając skalowalność i efektywność złośliwej działalności.

  • Phishing oparty na AI: Duże modele językowe (LLM) są wykorzystywane do tworzenia bardziej przekonujących e-maili phishingowych.
  • Deepfakes i vishing: AI jest używana w wyłudzeniach głosowych (vishing) i oszustwach online, w tym do tworzenia deepfake'ów, zwiększając skuteczność inżynierii społecznej.
  • AI jako Przynęta: Wzrasta proliferacja fałszywych stron internetowych podszywających się pod legalne narzędzia AI, co służy do dystrybucji złośliwego oprogramowania.

Ewoluująca cyberprzestępczość

Ransomware nadal dominuje, pomimo działań organów ścigania (LEA).

  • Fragmentacja ransomware: Przestępcy decentralizują operacje, a usunięte programy RaaS (Ransomware-as-a-Service) są szybko zastępowane nowymi wariantami.
  • EDR Killers: Wzrasta wykorzystanie narzędzi zaprojektowanych do wyłączania rozwiązań do wykrywania i reagowania na punkcie końcowym (EDR), takich jak AvNeutralizer i EDRKillShifter, w celu bardziej ukradkowego wykradania danych.
  • Taktyki wymuszania prawnego: Nowe funkcje, takie jak opcja „zadzwoń do prawnika” w oprogramowaniu Qilin, imitują eskalację prawną, wywierając presję na ofiary.

Zalecenia ENISA dla odporności cybernetycznej w październiku 2025

W oparciu o zidentyfikowane techniki, taktyki i procedury (TTP) oraz luki w zabezpieczeniach, Agencja ENISA sformułowała kompleksowe zalecenia. Podstawą obrony powinna być proaktywna higiena cybernetyczna i podejście oparte na analizie zagrożeń (ang.intelligence-driven).

Wzmacnianie systemów i kontrola dostępu

  • Egzekwowanie podstawowej higieny cybernetycznej: Szybka dostępność i wdrożenie łatek jest kluczowe, ponieważ luki są wykorzystywane w ciągu dni od ich ujawnienia.
  • Zapobieganie wykonywaniu (Execution Prevention): Ograniczanie rejestru, instalacji oprogramowania oraz użycie podpisów kodu.
  • Wieloskładnikowe uwierzytelnianie (MFA): Wzmocnienie tożsamości w celu przeciwdziałania nadużyciom po kradzieży poświadczeń.
  • Zarządzanie przywilejami: Wdrożenie zasad najmniejszych przywilejów.

Ochrona sieci i Monitorowanie

  • Segmentacja sieci (Network Segmentation): Izolowanie stref w celu ograniczenia rozprzestrzeniania się zagrożeń.
  • Filtrowanie ruchu sieciowego (Filter Network Traffic): Zapewnienie wykrywania i blokowania na linii frontu.
  • Audyt i logowanie: Skuteczny nadzór zapewnia wczesne wykrycie złośliwej działalności.

Odporność i Szkolenia

  • Kopia zapasowa danych i zdalne przechowywanie (Data Backup & Remote Data Storage): Zapewnienie ciągłości działania w przypadku udanego ataku ransomware.
  • Szkoleni e-użytkowników (User Training): Wyposażenie personelu w wiedzę do rozpoznawania i przeciwstawiania się próbom inżynierii społecznej (phishing).

Davidson Consulting oferuje szkolenia w zakresie Zarządzanie Cyberbezpieczeństwem - poziom Specjalista - serdecznie Wasz zapraszamy do skorzystania z naszej propozycji i wyszkolenia swoich pracowników.

Krajobraz zagrożeń ewoluuje w kierunku konwergencji, automatyzacjii industrializacji. Ataki w łańcuchu dostaw, AI i eskalacja taktyk wymuszeń finansowych stanowią strategiczne priorytety dla adwersarzy. Organizacje powinny przejść na strategie obronne opartena analizie zagrożeń, kładąc nacisk na aktywne wykrywanie zagrożeń, detekcję behawioralną i integrację zarządzania ryzykiem cybernetycznym w szersze ramy operacyjne.

Zapisz się już teraz! 

Subskrybując newsletter Davidson Consulting, otrzymujesz merytoryczne analizy z zakresu zarządzania ryzykiem, ciągłości działania, cyberbezpieczeństwa i compliance (m.in. DORA, NIS2), a także informacje o naszych usługach i produktach, które pomogą Ci skutecznie wdrożyć prezentowane strategie.  

Pamiętaj, Twoja subskrypcja jest w pełni dobrowolna i możesz ją anulować w każdej chwili jednym kliknięciem.
* - Pole obowiązkowe
Dziękujemy za zapisanie się do Forum Ekspertów Odporności Operacyjnej.
Ups! Coś poszło nie tak podczas uzupełnienia formy. Spróbuj ponownie lub skontaktuj się bezpośrednio.

Najnowsze artykuły:

Globalna awaria Azure Front Door
Ataki na bankomaty Santander w Poznaniu
Zaskakująca skuteczność Rosjan – przypadek?
Jak przygotowywać testy planów lub procedur awaryjnych
Analiza ryzyka lokalizacji

Kategorie:

ICT Navigator
Geopolityka a biznes
Ochrona ludności
Bezpieczeństwo łańcucha dostaw
Zarządzanie kryzysowe
Incydenty
Szkolenia
Wydarzenia
Komunikacja kryzysowa
Audyt
Sygnaliści
Zgodność
Cyberbezpieczeństwo
Ciągłość działania

Oferta Davidson Consulting:

Business ContinuityZarządzanie ryzykiemCyberbezpieczeństwoRozmowy o ryzykuRaporty

Najnowsze artykuły

Globalna awaria Azure Front Door

Analiza incydentu i wnioski dla sektora finansowego (i nie tylko)
Czytaj dalej
Case Study

Globalna awaria Azure Front Door

Cyberbezpieczeństwo
Zarządzanie kryzysowe
Bezpieczeństwo łańcucha dostaw
Incydenty
awaria Microsoft Azure, awaria Azure Front Door, globalna awaria Microsoft, Azure Front Door outage, Microsoft Azure outage, awaria usług Microsoft, niedostępność usług Microsoft, Azure AD, Entra ID, App Service, Azure SQL Database, Azure Portal, Xbox, Minecraft, chmura Microsoft, awaria chmury, błąd konfiguracji Azure, konfiguracja tenant, software defect, wada oprogramowania, błąd ludzki Microsoft, human error Azure, efekt kaskadowy, przeciążenie węzłów Azure, awaria DNS, Azure DNS outage, rollback Azure, last known good configuration, LKGC, Site Reliability Engineering, SRE, defense in depth, automatyzacja wdrożeń, błąd walidacji konfiguracji, błędna konfiguracja, kontrola konfiguracji Azure, edge case Azure, control plane, data plane, failure in validation, awaria globalna, Microsoft incident report, Post Incident Report, PIR Microsoft, YKYN-BWZ, resilience Azure, cloud resilience, odporność operacyjna, operational resilience, DORA, Digital Operational Resilience Act, regulacje DORA, zgodność z DORA, compliance DORA, KNF, Komisja Nadzoru Finansowego, nadzór finansowy, ryzyko koncentracji, third party risk, ryzyko dostawcy chmury, cloud risk management, vendor lock-in, multicloud, multi-cloud, multi-region, geodywersyfikacja, architektura odporna, cloud architecture, disaster recovery, DRP, business continuity, BCP, cloud outage analysis, audyt chmurowy, cloud audit, SOC 2, cloud governance, SLA, RTO, RPO, czas odtworzenia Azure, Microsoft downtime, outage recovery, chaos engineering, testy negatywne, automatyczny rollback, Canary Deployment, phased deployment, failover Azure, critical third party provider, CCP, ESAs, EBA, EIOPA, ESMA, nadzór nad dostawcami chmury, resilience banking, odporność banków, ryzyko chmurowe w sektorze finansowym, ryzyko technologiczne, ciągłość działania, cloud compliance, architektura wielochmurowa, cloud diversification, multivendor strategy, strategia multicloud, optymalizacja kosztów chmury, cloud cost optimization, cloud latency, Azure performance, globalna infrastruktura Microsoft, awarie AWS, porównanie Azure AWS, cloud dependency, single point of failure, SPOF, cloud reliability, cloud security, błędy operacyjne Microsoft, analiza incydentu Azure, raport Microsoft Azure, zarządzanie ryzykiem ICT, cloud risk, infrastruktura krytyczna, cloud incident response, audyt poawaryjny, analiza PIR, Microsoft transparency report, cloud service disruption, krytyczne usługi ICT, chmura publiczna, odporność regulacyjna, zgodność z regulacjami UE, dyrektywa DORA, bezpieczeństwo chmury, cloud compliance EU, KNF DORA wytyczne, architektura bankowa, infrastruktura finansowa, cloud resilience strategy, zarządzanie ciągłością działania, ryzyko operacyjne, ryzyko ICT, cyberbezpieczeństwo sektora finansowego.
IT i technologia
Bankowość i rynki finansowe
Firmy w Polsce

Ataki na bankomaty Santander w Poznaniu

Analiza odpowiedzialności, zwrotu środków i wyzwań bezpieczeństwa.
Czytaj dalej
Case Study

Ataki na bankomaty Santander w Poznaniu

Incydenty
Zgodność
atak Santander, Santander bankomaty, zwrot środków po nieautoryzowanej transakcji, odpowiedzialność banku za straty klientów, skimming bankomatowy, zabezpieczenia bankomatów Santander, skradzione pieniądze Santander bank, umowy między bankiem a operatorem bankomatów, dyrektywa PSD2 w ochronie konsumentów, silne uwierzytelnianie klienta (SCA), monitoring bankomatów i wykrywanie oszustw, postępowanie prokuratorskie w sprawie skimmingu, odzyskiwanie pieniędzy przez bank, procedury bezpieczeństwa banku Santander, edukacja klientów w zakresie cyberbezpieczeństwa, System Bezpieczeństwa Danych Przemysłu Kart Płatniczych (PCI DSS), skimmery i kamery na bankomatach, operatorzy bankomatów Euronet i ITCARD, ryzyko prawne banku przy atakach na bankomaty, audyty i testy penetracyjne w sektorze bankowym, współpraca banku z organami ścigania w sprawach cyberprzestępczości.
Bankowość i rynki finansowe

Jak przygotowywać testy planów lub procedur awaryjnych

Incydent w Erding wyraźnie nas uczy: nie możemy sobie pozwolić na „uczenie się na błędach" w obszarach, gdzie stawką jest życie ludzkie.
Czytaj dalej
Case Study

Jak przygotowywać testy planów lub procedur awaryjnych

Komunikacja kryzysowa
Ochrona ludności
Zarządzanie kryzysowe
testy planów awaryjnych, testowanie procedur awaryjnych, zarządzanie ciągłością działania, plan reagowania kryzysowego, zarządzanie kryzysowe, analiza incydentu bezpieczeństwa, analiza incydentu Erding, incydent w Erding, Bundeswehra, ćwiczenia wojskowe Erding, strzelanina podczas ćwiczeń, błędy komunikacji między wojskiem a policją, zarządzanie ryzykiem operacyjnym, ćwiczenia międzyresortowe, komunikacja kryzysowa, błędy w komunikacji między służbami, unified command, testowanie odporności organizacji, analiza FMEA, zarządzanie incydentami, bezpieczeństwo infrastruktury krytycznej, planowanie testów bezpieczeństwa, kultura bezpieczeństwa, lessons learned, testowanie systemów łączności, dobre praktyki testowania procedur, kryzys w Bawarii, systemowe błędy bezpieczeństwa, koordynacja służb, komunikacja międzyresortowa, zarządzanie incydentami w czasie rzeczywistym
Administracja publiczna
Podmioty ważne i kluczowe

Analiza ryzyka lokalizacji

Dlaczego warto sprawdzić, kto mieszka obok? Napięcia geopolityczne zmieniają reguły gry, a firmy odkrywają, że ich adres może być źródłem nieprzewidzianych kłopotów.
Czytaj dalej
Artykuł

Analiza ryzyka lokalizacji

Ciągłość działania
Geopolityka a biznes
Zgodność
ryzyko geopolityczne w biznesie, analiza ryzyka lokalizacji firmy, bezpieczeństwo biznesu Polska, ryzyko niefinansowe, sankcje międzynarodowe wpływ na firmy, due diligence właściciela nieruchomości, weryfikacja powiązań kapitałowych, UBO weryfikacja, ryzyko reputacyjne firmy, audyt compliance nieruchomości, Know Your Supplier KYS nieruchomości, KYC dla właścicieli nieruchomości, zarządzanie ryzykiem w łańcuchu dostaw, ryzyko przerwania ciągłości dostaw, audyt sąsiedztwa firmy, ryzyko sankcyjne dla najemców, zamrożenie aktywów nieruchomość, powiązania biznesowe Rosja, ABW kontrola firmy
Firmy w Polsce
Podmioty ważne i kluczowe
Przejdź do wszystkich wpisów