Rafał Gałka, Autor w serwisie FEN

26 lutego 202626 lutego 2026

Ataki ransomware: wysokość okupów spadła o 56%, ale zagrożenie nie maleje

Grafika raportu Sophos „The State of Ransomware in Enterprise 2025” przedstawiająca dane o atakach ransomware i spadku okupów o 56%.

Ataki ransomware wyraźnie zmieniają taktykę wobec dużych przedsiębiorstw. Raport The State of Ransomware in Enterprise 2025 pokazuje, że mediana żądanego okupu dla firm zatrudniających ponad 1000 pracowników spadła z 2,75 mln do 1,2 mln dolarów. To największy roczny spadek w historii badania. Firmy coraz skuteczniej zatrzymują ataki, zanim dojdzie do zaszyfrowania danych. Nie oznacza to jednak, że zagrożenie słabnie. Zmienia się jego ekonomia i sposób wywierania presji.

Wyniki badania pokazują, że cyberprzestępcy dopasowują żądania do możliwości finansowych ofiar. Przedsiębiorstwa jednocześnie wzmacniają zdolności reagowania na incydenty. Ransomware pozostaje zagrożeniem systemowym. Może generować mniejsze straty finansowe niż rok temu, ale nadal poważnie wpływa na operacje i zespoły IT.

Spadła nie tylko mediana żądań, ale też faktycznie zapłaconych kwot. Firmy zapłaciły średnio 1 mln dolarów wobec 1,26 mln rok wcześniej. Rzadziej pojawiały się żądania przekraczające 5 mln dolarów. Organizacje płacą dziś mniejszy procent pierwotnej kwoty. W 2025 roku było to średnio 86%, podczas gdy rok wcześniej 95%. Ponad połowa firm wynegocjowała niższy okup niż początkowo oczekiwany.

Zaobserwowana zmiana nie oznacza jednak łagodniejszego podejścia atakujących. Raczej świadczy o większym pragmatyzmie, bowiem zamiast maksymalizować wysokość pojedynczego okupu, częściej „celują” w kwoty, które ofiara jest w stanie realnie zapłacić.

Chester Wisniewski, Director, Global Field CISO w Sophos

Ataki ransomware: mniej szyfrowania, ta sama presja

Analitycy Sophos wskazują, że po raz pierwszy od pięciu lat mniej niż połowa ataków zakończyła się szyfrowaniem danych. W 2025 roku było to 49% przypadków. Dwa lata wcześniej wskaźnik sięgał 75%. Firmy zatrzymały 47% ataków przed zaszyfrowaniem danych. W 2023 roku odsetek ten wynosił 22%. Dane potwierdzają poprawę w wykrywaniu zagrożeń i reagowaniu na incydenty.

Cyberprzestępcy nie ograniczają się dziś do szyfrowania danych. Wiedzą, że firmy mogą odtworzyć system z kopii zapasowych. Dlatego równolegle kradną informacje. Według raportu skutecznie wykradli dane w 30% przypadków. Wśród firm, które doświadczyły szyfrowania, 30% odnotowało także kradzież danych.

Model podwójnego wymuszenia – szyfrowanie połączone z groźbą ujawnienia danych – nadal jest istotnym elementem presji i szantażu spowodowania kryzysu wizerunkowego lub odpowiedzialności prawnej. Nawet jeśli firma jest w stanie przywrócić środowisko IT do pracy z kopii zapasowych, ryzyko wycieku informacji wprowadziło konsekwencje ataków ransomware na zupełnie nowy poziom.

Chester Wisniewski, Director, Global Field CISO w Sophos

Najczęstszą techniczną przyczyną powodzenia ataków pozostają wykorzystywane przez cyberprzestępców luki w oprogramowaniu na komputerze ofiary – odpowiadały za 29% incydentów. Na drugim miejscu znalazły się skutecznie przeprowadzone kampanie phishingowe (21%), których udział niemal podwoił się rok do roku. Tyle samo przypadków wiązało się z użyciem skompromitowanych danych logowania ofiary.

Jednak obok czynników technicznych równie istotne są kwestie organizacyjne. W tym obszarze najczęściej wskazywanym powodem skuteczności ataku była nieznana wcześniej luka w zabezpieczeniach (40% odpowiedzi). Niewiele rzadziej wymieniano braki kadrowe (39%) oraz brak odpowiednich kwalifikacji wśród personelu (również 39%).

Przywrócenie środowiska pracy jest szybsze, ale kosztowne

Średni koszt usunięcia skutków ataku (bez uwzględnienia wartości okupu) spadł o 41%, do najniższego poziomu od trzech lat (z 3,12 mln do 1,84 mln dolarów). Firmy szybciej wracają też do normalnego funkcjonowania. W 2025 r. połowa przedsiębiorstw odzyskała sprawność w ciągu tygodnia, podczas gdy rok wcześniej było to tylko 36%. Łącznie 95% podmiotów deklaruje pełne odtworzenie działalności w ciągu trzech miesięcy.

Jednocześnie 96% firm, których dane zostały zaszyfrowane, zdołało je odzyskać. Co istotne, spadł odsetek podmiotów korzystających z kopii zapasowych (53% wobec 73% rok wcześniej), a 48% zdecydowało się zapłacić okup. Coraz częściej stosowane są też inne metody przywracania danych.

Statystyki dotyczące powrotu do działalności nie oddają jednak w pełni wpływu incydentów na pracowników. We wszystkich firmach, w których doszło do zaszyfrowania danych, wystąpiły negatywne konsekwencje dla zespołów IT i cyberbezpieczeństwa. 40% wskazało na zwiększoną presję ze strony zarządu, 39% na wzrost obciążenia pracą i stres, 31% na absencje związane ze zdrowiem psychicznym, a w 27% przypadków doszło do wymiany lidera zespołu.

Zaobserwowany w badaniu Sophos spadek mediany okupów i kosztów odbudowy może sugerować poprawę sytuacji, jednak dane pokazują raczej ewolucję zagrożenia, jakim jest ransomware, niż jego osłabienie. Częściej udaje się wykrywać ataki, zanim doprowadzą one do zaszyfrowania danych, ale nadal skutkują one kradzieżą informacji, co – jak pokazuje doświadczenie, którym dzielą się ofiary – bywa znacznie bardziej dotkliwe ze względu na utratę zaufania klientów oraz ryzyko poważnych konsekwencji prawnych.

Potrzebujesz oferty? Skontaktuj się ze swoim opiekunem handlowym w FEN albo napisz do nas na security@fen.pl.

2 lutego 20263 lutego 2026

Sophos rozszerza portfolio o Workspace Protection, aby zabezpieczyć pracę hybrydową i zarządzać wykorzystaniem AI przez pracowników

Sophos rozszerza swoje portfolio rozwiązań ochronnych o Sophos Workspace Protection. Nowe rozwiązanie ma pomóc firmom zabezpieczać pracę hybrydową i zdalną oraz zarządzać wykorzystaniem sztucznej inteligencji przez pracowników. Sophos Workspace Protection stanowi jednocześnie dostępną i niedrogą alternatywę dla rozbudowanych oraz kosztownych rozwiązań SASE, które są dziś często wykorzystywane do ochrony środowisk pracy hybrydowej.

Sophos Workspace Protection wykorzystuje Sophos Protected Browser, bezpieczną przeglądarkę korporacyjną rozwijaną we współpracy z firmą Island. Dzięki niej firmy mogą chronić aplikacje, dane, użytkowników oraz gości w każdym miejscu, w którym wykonywana jest praca. Zarządzanie rozwiązaniem odbywa się poprzez platformę Sophos Central. Zapewnia ona wgląd i kontrolę nad występowaniem zjawisk Shadow IT oraz Shadow AI w całym przedsiębiorstwie. W efekcie ułatwia to ocenę ryzyka i bezpieczne wdrażanie nowych technologii, w tym generatywnej sztucznej inteligencji.

Nowe podejście Sophos Workspace Protection do bezpieczeństwa pracy hybrydowej

Tradycyjne podejście do ochrony środowisk pracy hybrydowej bazuje m.in. na wdrażaniu wielu chmurowych rozwiązań SASE i SSE. Takie modele często wymagają rozbudowanej infrastruktury oraz specjalistycznych kwalifikacji. Dodatkowo generują stałe koszty operacyjne związane z utrzymaniem i zarządzaniem. W rezultacie zwiększają złożoność środowiska IT. Jednocześnie mogą pozostawiać luki w zakresie widzialności i kontroli tam, gdzie faktycznie odbywa się praca.

Workspace Protection proponuje inne podejście. Rozwiązanie zabezpiecza bezpośrednio przestrzeń roboczą. Eliminuje tym samym konieczność przekierowywania ruchu przez scentralizowaną infrastrukturę. Dzięki temu zmniejsza się obciążenie operacyjne oraz koszty. Co istotne, ochrona „podąża” za użytkownikami, aplikacjami, ich aktywnością w internecie i danymi. Dzieje się tak niezależnie od miejsca pracy. Firmy, bez względu na poziom dojrzałości w obszarze bezpieczeństwa, zyskują prostszy model zabezpieczania pracy hybrydowej. Nie muszą przy tym dokładać kolejnej warstwy złożoności.

Rdzeniem Sophos Workspace Protection jest Sophos Protected Browser, rozwijana we współpracy z firmą Island. Przeglądarka została zaprojektowana tak, aby można było ją bezproblemowo zintegrować z platformą Sophos Central. Ponieważ około 85% aktywności zawodowej pracowników biurowych odbywa się obecnie w przeglądarce internetowej¹, rozwiązanie odpowiada na wymagania bezpieczeństwa dokładnie tam, gdzie toczy się codzienna praca. Zapewnia wgląd i kontrolę na poziomie przestrzeni roboczej. Pomaga chronić wrażliwe dane oraz zarządzać dostępem do aplikacji. Umożliwia także egzekwowanie reguł ochrony bezpośrednio w przeglądarce. Dzięki temu Sophos Workspace Protection zabezpiecza pracę w biurze i zdalnie. Co ważne, odbywa się to bez zakłócania produktywności.

Zespoły ds. bezpieczeństwa są coraz mocniej doświadczane przez złożoność środowisk, którymi zarządzają, zwłaszcza że praca hybrydowa, rosnąca popularność aplikacji SaaS oraz narzędzia AI nieustannie poszerzają przestrzeń roboczą. Sophos Workspace Protection odzwierciedla pragmatyczną zmianę na rynku: dostarcza kluczowe funkcje SASE i SSE poprzez zintegrowane podejście skoncentrowane na urządzeniach końcowych i przeglądarce, co upraszcza wdrażanie, obniża koszty operacyjne i pomaga firmom zarządzać aplikacjami oraz wykorzystaniem sztucznej inteligencji bez dokładania kolejnej warstwy infrastruktury.

Mike Jude, dyrektor ds. badań w IDC

Zarządzanie Shadow IT i Shadow AI

W miarę jak nowe technologie, w tym generatywna sztuczna inteligencja, stają się elementem codziennych procesów biznesowych, firmom coraz trudniej jest zrozumieć sposób ich wykorzystania. Problemem staje się także kontrola nad danymi przekazywanymi do tych narzędzi. Z badań wynika, że ponad połowa pracowników na świecie korzysta już z narzędzi AI w pracy. Często dzieje się to jeszcze przed wprowadzeniem formalnych zasad lub mechanizmów kontroli². W rezultacie rośnie ryzyko występowania zjawisk Shadow IT oraz Shadow AI.

Zapewniając widzialność i kontrolę na poziomie przestrzeni roboczej, Sophos Workspace Protection pomaga firmom oceniać poziom ryzyka. Jednocześnie umożliwia egzekwowanie reguł polityki bezpieczeństwa. Ułatwia także zarządzanie wykorzystaniem nowych technologii przez pracowników hybrydowych.

Co obejmuje Sophos Workspace Protection?

Sophos Workspace Protection Sophos dostarcza jako elastyczny zestaw zintegrowanych komponentów. Firmy mogą wdrażać je łącznie lub osobno. Zależy to od potrzeb w zakresie bezpieczeństwa oraz wymagań operacyjnych. Na pakiet składają się:

Sophos Protected Browser – bezpieczna przeglądarka korporacyjna oparta na Chromium, rozwijana we współpracy z firmą Island. Zapewnia kontrolę nad wykorzystaniem aplikacji, lokalnym przetwarzaniem danych i filtrowaniem treści internetowych. Może być integrowana z Sophos ZTNA. Wspiera również połączenia SSH i RDP wykorzystywane do zdalnego administrowania.
Sophos ZTNA – komponent klasy Zero Trust Network Access. Zapewnia bezpieczny dostęp do prywatnych aplikacji na podstawie oceny stanu użytkownika i urządzenia. Jednocześnie ukrywa aplikacje przed internetem.
Sophos DNS Protection – cchmurowa usługa bezpieczeństwa DNS. Firmy wdrażają ją na urządzeniach końcowych z systemem Windows w ramach Workspace Protection. Zapewnia dodatkową warstwę ochrony przed zagrożeniami internetowymi i phishingiem.
Email Monitoring System – dodatek zwiększający bezpieczeństwo poczty elektronicznej. Jest wdrażany obok usług Google lub Microsoft. Monitoruje ruch e-mail i zapewnia dodatkowy poziom wykrywania niepożądanych lub złośliwych wiadomości, w tym prób phishingu.

Po połączeniu komponenty te zapewniają firmom kluczowe korzyści i scenariusze zastosowań w zakresie ochrony nowoczesnych środowisk pracy.

Sophos od dawna zabezpiecza pracowników zdalnych i hybrydowych dzięki rozwiązaniom chroniącym urządzenia końcowe i sieć, jednak współczesne środowiska pracy wymagają silniejszej kontroli nad aplikacjami i danymi. Wiele rozwiązań SASE i SSE zwiększa złożoność i koszty operacyjne, a jednocześnie pozostawia luki w zakresie widzialności i kontroli. Łącząc przeglądarkę korporacyjną Island z mechanizmami bezpieczeństwa Sophos i platformą Sophos Central, pomagamy firmom zarządzać wykorzystaniem AI, chronić krytyczne dane i zabezpieczać zespoły hybrydowe w sposób łatwiejszy do wdrożenia i utrzymania.

Joe Levy, CEO Sophos

– Praca hybrydowa nie powinna zmuszać firm do wyboru między bezpieczeństwem a produktywnością – powiedział Mike Fey, współzałożyciel i dyrektor generalny Island. – Island chroni dane, zabezpiecza dostęp do aplikacji i pomaga firmom bezpiecznie korzystać z AI — wszystko w obrębie przeglądarki, z której pracownicy korzystają na co dzień. Integracja z platformą Sophos Central pozwala osiągnąć to przy mniejszej złożoności i większej pewności.

Mike Fey, współzałożyciel i dyrektor generalny Island

Kluczowe korzyści dla firm

Sophos Workspace Protection pomaga firmom chronić rozproszone i hybrydowe zespoły. Umożliwia zarządzanie wykorzystaniem nowych narzędzi i usług, w tym sztucznej inteligencji. Zapewnia także szybki i elastyczny dostęp dla podwykonawców oraz partnerów. Dodatkowo wzmacnia ochronę przed phishingiem, zagrożeniami ukierunkowanymi na przeglądarkę oraz innymi atakami wymierzonymi w użytkowników nowoczesnych środowisk pracy.

Klienci i partnerzy Sophos uzyskają dostęp do Sophos Workspace Protection od lutego 2026 r. Więcej informacji dostępnych jest na stronie www.sophos.com/workspace.

Potrzebujesz oferty? Skontaktuj się ze swoim opiekunem handlowym w FEN albo napisz do nas na security@fen.pl.

¹ Omdia, The State of Workforce Security: kluczowe wnioski dla liderów IT i bezpieczeństwa (2025)

² KPMG i University of Melbourne, globalne badanie dotyczące zaufania, postaw i wykorzystania sztucznej inteligencji (2025)

19 grudnia 202519 grudnia 2025

Trendy cyberbezpieczeństwa na 2026 rok: krytyczny punkt przed nadejściem nowych zagrożeń

Trendy cyberbezpieczeństwa 2026 – baner Sophos przedstawiający specjalistę IT analizującego nowe zagrożenia i ryzyka cybernetyczne

Firmy muszą dziś mierzyć się nie tylko z klasycznymi atakami ransomware. Coraz większym wyzwaniem są skutki rozwoju generatywnej sztucznej inteligencji. Rośnie liczba incydentów w cyfrowych łańcuchach dostaw. Coraz aktywniejsi stają się także agenci podszywający się pod specjalistów IT z Korei Północnej i Chin. Ten kontekst stanowi punkt wyjścia do prognoz trendów cyberbezpieczeństwa na 2026 r.

Rok 2025 przyniósł wyraźne przesunięcie w stronę ataków na cyfrową tożsamość i łańcuchy dostaw. W takich kampaniach wyspecjalizowało się wiele grup przestępczych, w tym Scattered Spider. Działają one szybciej i bardziej ofensywnie. Wykorzystują przejmowanie kont, agresywną socjotechnikę oraz automatyzację narzędzi. Równolegle cyberprzestępcy sponsorowani przez państwa, zwłaszcza Chiny i Koreę Północną, prowadzą długotrwałe kampanie. Ich celem jest infiltracja infrastruktury chmurowej, kradzież kodu źródłowego oraz środków finansowych. Coraz częściej wykorzystują sztuczną inteligencję do tworzenia phishingu, złośliwego kodu i deepfake’ów.

Rozwój tych zjawisk zapowiada nowe taktyki i nowe rodzaje ryzyka. Obrońcy będą zmuszeni działać w obszarach dotąd im nieznanych. Poniżej sześć prognoz, które ukształtują rynek cyberbezpieczeństwa w 2026 r.

Deepfake’owe oszustwa głosowe uderzą w korporacje

W 2026 r. techniki klonowania głosu osiągną poziom pozwalający na wiarygodne podszywanie się pod osoby decyzyjne w czasie rzeczywistym. Atakujący będą dzwonić nie tylko po to, by wyłudzić przelewy. Wykorzystają rozmowy głosowe także do manipulowania resetami haseł i procesami weryfikacji tożsamości. Uderzą w działy finansowe. Firmy stracą przewagę, ponieważ wiele procedur nadal uznaje rozmowę telefoniczną za bardziej wiarygodną niż e-mail. Deepfake’i głosowe podważą to założenie. Organizacje będą musiały odejść od kontroli telefonicznych na rzecz weryfikacji kontekstowej, analizy zachowania oraz mechanizmów wieloskładnikowych.

– Największym wyzwaniem na 2026 r. będzie utrata wiarygodności typowych sygnałów uwierzytelniających: głosu, obrazu oraz zachowania użytkowników – podsumowuje prognozy trendów Chester Wisniewski, Global Field Chief Information Security Officer w firmie Sophos. – Skoro te elementy można sztucznie generować lub modyfikować w czasie rzeczywistym, bezpieczeństwo musi bazować nie na pojedynczej weryfikacji, ale na ciągłej korelacji sygnałów i analizie całego kontekstu działania użytkownika w systemie. Ale nadal nie będzie można zapominać o wciąż najbardziej dotkliwych w skutkach, dokonywanych masowo atakach ransomware.

Ataki na CEO będą w pełni automatyzowane z użyciem agentów AI

Prezesi i członkowie zarządów staną się szczególnie atrakcyjnym celem. Agenci AI umożliwią budowę kompletnych kampanii podszywania się pod kadrę zarządzającą. Proces obejmie pozyskanie publicznych nagrań głosu i wideo, generowanie deepfake’ów oraz prowadzenie rozmów na WhatsApp w czasie rzeczywistym. Systemy będą analizować reakcje ofiar i dynamicznie zmieniać argumentację. Bez trudu przełączą się między wideo, audio i czatem. Taki model okaże się bardziej opłacalny niż klasyczny Business Email Compromise, ponieważ nie wymaga stałego udziału operatora. Skala i personalizacja zwiększą skuteczność ataków. Firmy zostaną zmuszone do wdrożenia jasnych zasad weryfikacji próśb przychodzących przez komunikatory.

Wzrośnie wewnętrzne ryzyko wynikające z błędów użytkowników GenAI

Przedsiębiorstwa coraz częściej integrują narzędzia generatywnej AI z codzienną pracą. W 2026 r. przełoży się to na wzrost liczby incydentów spowodowanych nieumyślnymi działaniami pracowników. Typowe scenariusze obejmą przesyłanie wrażliwych danych do prywatnych chatbotów. Pojawi się także problem nieautoryzowanych integracji AI z systemami CRM. Częstsze stanie się generowanie kodu ujawniającego klucze API lub tokeny dostępu. Tego typu ryzyko będzie trudniejsze do wykrycia niż klasyczny sabotaż wewnętrzny. Błędy będą występować w rozproszonej skali, a modele AI często działają poza bezpośrednią kontrolą zespołów bezpieczeństwa. Kluczowe stanie się wdrożenie nadzoru nad narzędziami AI oraz zapewnienie pełnej widzialności przepływu danych.

Kradzieże kryptowalut osiągną rekordową skalę

Najbliższe miesiące przyniosą spektakularne ataki na giełdy kryptowalut, blockchainy oraz infrastrukturę DeFi. Przestępcy coraz częściej wykorzystują luki w smart kontraktach. Atakują także słabo zabezpieczone elementy ekosystemów wielołańcuchowych. Grupy sponsorowane przez państwa potrafią wykorzystywać te podatności szybciej, niż branża zdąży je załatać.

Korea Północna użyje agentów AI do tworzenia odpornych fałszywych person

Cyberprzestępcy z Korei Północnej masowo sięgną po agentów AI do tworzenia wiarygodnych fałszywych tożsamości. Zautomatyzują również codzienne działania. Systemy będą odpowiadać rekruterom, generować spójne historie zawodowe oraz wykonywać zadania programistyczne. Umożliwi to zdobywanie pracy w zagranicznych firmach w celu prowadzenia sabotażu. Taka infiltracja okaże się długotrwała i trudna do wykrycia. Fałszywe persony będą działać przewidywalnie i zgodnie z kulturą organizacyjną firmy, którą AI szybko przyswoi.

Ransomware pozostanie najpoważniejszym i najbardziej zróżnicowanym zagrożeniem

Rynek grup ransomware staje się coraz bardziej rozproszony, ale liczba ataków nie maleje. W 2026 r. pojawi się więcej grup spoza rosyjskojęzycznego środowiska. Dominować będą podmioty anglojęzyczne i chińskie. Zastosują one precyzyjne techniki, takie jak przejmowanie kont czy wykorzystywanie luk w aplikacjach SaaS. Coraz częściej obiorą za cel słabo zabezpieczone urządzenia brzegowe. Jednocześnie porzucą masowe kampanie spamowe. Ransomware pozostanie dominujące, ponieważ nadal jest najbardziej opłacalnym modelem cyberprzestępczości. Dojrzały ekosystem Ransomware-as-a-Service umożliwia zlecanie ataków na wskazane cele.

24 listopada 202524 listopada 2025

Firmy handlowe na celowniku cyberprzestępców. Co druga płaci okup za odzyskanie danych

Baner promujący artykuł Sophos: Firma handlowa zagrożona cyberatakiem – co druga płaci okup. Na zdjęciu kobieta dokonująca zakupów online podczas Black Friday.

Najnowszy raport Sophos „State of Ransomware in Retail” ujawnia, że w ubiegłym roku niemal połowa (48%) ataków ransomware na firmy zajmujące się handlem detalicznym zakończyła się zaszyfrowaniem danych. To wynik najniższy od pięciu lat, jednak równocześnie odsetek incydentów bazujących wyłącznie na wymuszeniu okupu (bez szyfrowania informacji) wzrósł trzykrotnie w porównaniu z 2023 rokiem. Eksperci Sophos zwracają uwagę, że braki kadrowe, niewystarczająca ochrona oraz ograniczona widzialność powierzchni ataku nadal utrudniają skuteczne wykrywanie
i neutralizowanie zagrożeń w branży handlowej.

Najczęściej wskazywanym czynnikiem prowadzącym do udanego ataku ransomware na firmy z branży handlu detalicznego były luki w zabezpieczeniach, o których istnieniu nie wiedzieli administratorzy (46% przypadków). Tuż za nimi uplasował się niedobór specjalistycznych kompetencji, które pozwoliłyby zapobiegać zagrożeniom i zwalczać je (45%) – był to najwyższy odsetek spośród wszystkich badanych branż. Na trzecim miejscu znalazł się niewystarczający poziom ochrony, na który wskazało 44% respondentów.

Dane konsumentów wciąż na celowniku

W minionym roku zespół analityczny Sophos odnotował blisko 90 różnych grup cyberprzestępczych, które za cel ataków za pomocą ransomware lub wymuszeń okupu bazujących na zagrożeniu publikacją skradzionych informacji obrały firmy
z branży handlu detalicznego. Najaktywniejszymi grupami były Akira, Cl0p, Qilin, PLAY oraz Lynx.

Osoba robiąca zakupy online na laptopie podczas Black Friday, trzymająca kartę płatniczą. Na ekranie widoczne hasła ‘Black Friday’ i ‘SALE’ obok zdjęć ubrań.

Jednocześnie już 8 na 10 polskich konsumentów dokonuje zakupów online, co oznacza, że do sieci trafia coraz więcej informacji – imiona i nazwiska, adresy, dane kart płatniczych czy numery telefonów. Są one przechowywane w systemach informatycznych sklepów i – gdy są nieodpowiednio chronione – dostęp do nich mogą uzyskać cyberprzestępcy w celu zaszyfrowania, sprzedaży na czarnym rynku lub całkowitego usunięcia i żądania od firm okupu za ich przywrócenie. Z danych Sophos wynika, że mediana wysokości żądanych okupów w branży handlu detalicznego podwoiła się w ciągu ostatniego roku, osiągając 2 mln dolarów (wobec 1 mln dolarów w 2024 r.). Wpływ na to miał przede wszystkim wzrost o 59% liczby żądań okupu na poziomie 5 mln dolarów lub więcej.

Firmy z branży handlowej stoją obecnie w obliczu coraz bardziej złożonego krajobrazu zagrożeń, w którym cyberprzestępcy nieustannie wyszukują podatności – najczęściej w systemach zdalnego dostępu i urządzeniach sieciowych. Rekordowe sumy żądanego okupu tylko uwydatniają potrzebę wdrażania kompleksowych strategii bezpieczeństwa. W przeciwnym razie przedsiębiorstwa ryzykują długotrwałymi przestojami operacyjnymi oraz utratą zaufania klientów. Pocieszające jest jednak to, że coraz więcej firm dostrzega tę potrzebę i inwestuje w cyfrową ochronę. Dzięki temu zwiększają swoją gotowość do zatrzymania ataku, zanim zdąży się on rozwinąć, a także są w stanie szybciej wrócić do pełnej sprawności po incydencie
– wskazuje Chester Wisniewski, dyrektor ds. technologii w firmie Sophos.

Szybszy powrót do normalności, ale kopie zapasowe wciąż zbyt rzadkie

Raport Sophos wskazuje również, że aż 45% firm z branży handlu detalicznego zdołało zatrzymać atak zanim doszło do zaszyfrowania danych. Jeszcze w zeszłym roku udało się to tylko 39% badanych. Jeśli jednak dojdzie do przejęcia informacji przez cyberprzestępców informacji, kluczowe znaczenie w ich odzyskaniu mają wykonywane we własnym zakresie kopie zapasowe (backup). Z tej opcji skorzystało tylko 62% zaatakowanych firm zajmujących się handlem detalicznym, co stanowi najniższy wynik od czterech lat. Jednocześnie aż 58% ofiar ransomware zapłaciło okup, aby odzyskać dane.

Średni koszt powrotu do pełnej sprawności, nie licząc zapłaconego okupu, wyniósł w tym roku 1,65 mln dolarów, czyli o 40% mniej niż w 2024 r. Firmy z branży handlu detalicznego coraz szybciej odbudowują się po incydencie – 51% z nich udało się to w ciągu tygodnia (rok wcześniej odsetek ten wynosił 46%).

Skuteczne strategie bezpieczeństwa bazują na zarządzaniu ryzykiem. Aby je właściwie ocenić i kontrolować, firmy muszą mieć pełny wgląd w środowisko zagrożeń, w zasoby, które chcą chronić oraz w swój poziom zabezpieczeń. Przedsiębiorstwa, które przyjmują proaktywne podejście do cyfrowej ochrony, potrafią nie tylko skuteczniej zapobiegać atakom, ale też znacznie szybciej się po nich podnosić. To podejście łączy zarządzanie zasobami, regularne aktualizacje aplikacji i systemów oraz wykorzystanie usług do monitorowania i reagowania na zagrożenia
– podkreśla Chester Wisniewski.

Chociaż firmy handlowe powinny zachowywać czujność przez cały rok, to okres sezonowych wyprzedaży wymaga od nich szczególnej uwagi. Wzmożony ruch na platformach e-commerce to dla cyberprzestępców idealny moment, aby nie tylko wykorzystać luki w zabezpieczeniach sklepów, ale także uderzyć w samych konsumentów. Oszuści, oprócz ataków ransomware, przygotowują fałszywe wiadomości e-mail, SMS-y oraz posty w mediach społecznościowych z pozornie atrakcyjnymi promocjami, które w rzeczywistości prowadzą do stron wyłudzających dane osobowe, loginy i hasła czy informacje płatnicze. Dlatego zarówno sprzedawcy, jak i klienci, powinni zachować w tym okresie szczególną ostrożność.

Raport Sophos „State of Ransomware in Retail 2025” dostępny jest na stronie https://www.sophos.com/en-us/whitepaper/state-of-ransomware-in-retail

O badaniu

Dane do raportu „State of Ransomware in Retail 2025” pochodzą z niezależnego badania przeprowadzonego wśród 361 przedstawicieli firm z branży handlu detalicznego. Ankietowane przedsiębiorstwa zatrudniały od 100 do 5 tys. pracowników i pochodziły z 16 krajów. Badanie zrealizowano między styczniem a marcem 2025 r., a respondenci odpowiadali na pytania dotyczące doświadczeń związanych z ransomware z ostatnich 12 miesięcy.

9 października 202530 października 2025

Kryzys kadr w cyberbezpieczeństwie – wypalenie zawodowe może kosztować firmy tysiące dolarów.

Overworked male entrepreneur sits at home office while took off glasses massages bridge of his nose with eyes closed, exhausted man suffering from heavy headache and fatigue. Health problem at work.

Aż 76% przebadanych przez Sophos specjalistów ds. cyberbezpieczeństwa na świecie deklaruje, że w minionym roku doświadczyło zmęczenia pracą lub wypalenia zawodowego. Co piąty z nich przyznaje, że problem ten ma stały charakter, a 69% zauważa pogorszenie sytuacji w 2024 roku w porównaniu z rokiem poprzednim.

W rozpoczynającym się Europejskim Miesiącu Cyberbezpieczeństwa eksperci Sophos przypominają, że dbanie o dobrostan zespołów odpowiedzialnych za ochronę IT nie może być sprawą drugorzędną. To element, który bezpośrednio wpływa na odporność całej organizacji na cyberzagrożenia.

Złożone przyczyny wypalenia zawodowego w branży IT

Źródła wypalenia zawodowego wśród zespołów cyberbezpieczeństwa są złożone. Problem nie sprowadza się wyłącznie do długich godzin pracy czy presji ze strony przełożonych.

Badanie Sophos pokazuje, że jedną z najczęściej wskazywanych przyczyn jest konieczność ciągłego dostosowywania się do zmian w infrastrukturze IT. Dla 34% ankietowanych obciążeniem są wciąż zmieniające się cyberzagrożenia, a 30% dostrzega negatywny wpływ częstych zmian priorytetów w firmie.

Przeciążony zespół to zagrożona firma

Bez odpowiedniej reakcji wypalenie zawodowe może mieć kaskadowe skutki. Odbija się ono zarówno na samopoczuciu pracowników, jak i na odporności całego przedsiębiorstwa.

Prowadzi do chronicznego stresu, spadku satysfakcji z pracy, problemów ze zdrowiem psychicznym i fizycznym, a także wpływa na relacje osobiste.

Co czwarty badany, który zgłaszał zmęczenie lub wypalenie zawodowe, rozważał zmianę kariery lub roli w zespole, a co piąty – zrezygnowanie z pracy. Z kolei 29% specjalistów musiało wziąć urlop, aby poradzić sobie ze skutkami zmęczenia.

Straty finansowe wynikające z wypalenia zawodowego

Skala problemu nie kończy się na indywidualnych doświadczeniach pracowników. Badania przeprowadzone przez nowojorską uczelnię CUNY pokazują, że wypalenie i brak zaangażowania mogą kosztować pracodawców od 4 000 do nawet 21 000 dolarów rocznie na jednego pracownika.

Zmęczeni specjaliści częściej popełniają błędy, wolniej reagują na incydenty oraz mogą przeoczyć istotne sygnały ostrzegawcze. W efekcie wzrasta ryzyko udanych cyberataków, które mogą prowadzić do poważnych zakłóceń operacyjnych i strat finansowych.

Eksperci Sophos: wypalenie zawodowe to zagrożenie dla biznesu

Tired Afro American businessman is massaging his nose bridge while working with a computer in office late in the evening, his colleagues near.

Wypalenie zawodowe w obszarze cyberbezpieczeństwa to nie tylko wyzwanie dotyczące pracowników, ale także realne zagrożenie dla biznesu. Lekceważenie tego problemu to jak zostawienie otwartych drzwi dla cyberprzestępców – w konsekwencji bezpośrednio uderza w odporność całej firmy, jej reputację oraz wyniki finansowe.

Dlatego przedsiębiorstwa muszą łączyć zaawansowane rozwiązania techniczne ze strategią wspierającą pracowników. Powinna ona obejmować lepsze zarządzanie obciążeniem obowiązkami oraz wykorzystanie narzędzi, które mogą odciążyć zespoły – takich jak rozwiązania do monitorowania zagrożeń i reagowania na nie.

— Tom Gorup, wiceprezes ds. operacji bezpieczeństwa w Sophos

Europejski Miesiąc Cyberbezpieczeństwa – czas na refleksję

Miesiąc Cyberbezpieczeństwa to dobra okazja, by przypomnieć, że skuteczna ochrona przed cyberzagrożeniami nie opiera się wyłącznie na nowoczesnych narzędziach i automatyzacji.

To przede wszystkim troska o dobrostan pracowników, którzy stoją na pierwszej linii obrony przed cyberatakami. Wspierając ich kondycję psychiczną i fizyczną, firmy dbają nie tylko o morale zespołów, ale przede wszystkim o własną odporność operacyjną.

Pełny raport dostępny jest pod adresem:
https://www.sophos.com/en-us/content/addressing-cybersecurity-burnout

O raporcie Sophos „The Human Cost of Vigilance. Addressing Cybersecurity Burnout in 2025”

Raport bazuje na odpowiedziach 5 000 specjalistów ds. IT oraz cyberbezpieczeństwa z 17 krajów. Ankieta została przeprowadzona w pierwszym kwartale 2025 roku, a uczestnicy opowiadali o swoich doświadczeniach z ostatnich 12 miesięcy.

Badanie pozwala lepiej zrozumieć, jak zmęczenie i stres wpływają na skuteczność zespołów IT oraz na bezpieczeństwo organizacji w obliczu rosnącej liczby zagrożeń.

1 sierpnia 20259 lutego 2026

Raport Sophos 2025: ransomware uderza w dane i morale IT

Badanie „State of Ransomware 2025” firmy Sophos pokazuje, że skutki cyberataków ransomware wykraczają poza kwestie techniczne. Negatywnie wpływają na ludzi odpowiedzialnych za cyberbezpieczeństwo, powodując stres, nieobecności w pracy i rosnącą presję na zespoły IT.

Wzrost ataków socjotechnicznych

W ostatnich 12 miesiącach wzrosła liczba ataków ransomware wykorzystujących techniki socjotechniczne. Cyberprzestępcy stosują fałszywe wiadomości e-mail i manipulację użytkownikami, aby ominąć zabezpieczenia systemów.

W rezultacie skutki takich incydentów obejmują nie tylko koszty operacyjne czy czas potrzebny do przywrócenia sprawności systemów. Coraz częściej dotykają one ludzi – pracowników działów IT, którzy mierzą się z wysokim obciążeniem psychicznym.

Kradzież danych uwierzytelniających wciąż głównym wektorem ataków

Raport Sophos potwierdza, że przejęcie haseł i loginów pozostaje najczęściej wykorzystywaną metodą rozpoczęcia ataków ransomware:

23% wszystkich ataków w 2025 roku (spadek z 29% w 2024 r.).
30% ataków w firmach zatrudniających do 250 pracowników.

Ponadto popularne są:

złośliwe wiadomości e-mail – 19% incydentów,
phishing – 18% przypadków, wzrost o 7 punktów procentowych rok do roku.

Dlatego eksperci podkreślają, że czynnik ludzki jest najłatwiejszym celem cyberprzestępców, nawet przy rozbudowanych zabezpieczeniach technicznych.

Edukacja i wsparcie psychologiczne – kluczowe działania prewencyjne

Eksperci Sophos zwracają uwagę, że technologia nie wystarczy, aby skutecznie chronić się przed ransomware. Chester Wisniewski, dyrektor ds. technologii w Sophos, podkreśla:

„Jednym z najważniejszych działań prewencyjnych w firmach jest edukacja. Zespół powinien być dobrze przygotowany, znać potencjalne zagrożenia, umieć rozpoznawać sygnały ostrzegawcze oraz odpowiednio reagować. Jednak samo przygotowanie techniczne do walki z cyberatakami to dziś za mało. Ataki ransomware silnie uderzają w ludzi, którzy znajdują się w ich centrum, czyli przede wszystkim w zespoły ds. IT i cyberbezpieczeństwa. Firmy powinny uzupełniać szkolenia z cyberhigieny o rozwijanie umiejętności radzenia sobie ze stresem, a także rozważyć zapewnienie wsparcia psychologicznego dla swoich zespołów.”

Dlatego dobrze zaplanowane szkolenia z cyberbezpieczeństwa i dostęp do pomocy psychologicznej zwiększają odporność organizacji oraz pozwalają szybciej wracać do równowagi po poważnym incydencie.

Stres – ukryty koszt cyberataków ransomware

Zmęczony specjalista IT w słuchawkach, siedzący przy komputerze, odczuwający stres po cyberataku ransomware.

Raport pokazuje, że we wszystkich firmach, które doświadczyły zaszyfrowania danych, odnotowano skutki psychologiczne wśród pracowników IT:

41% respondentów odczuwało wzmożony stres i lęk przed kolejnymi cyberatakami,
1/3 z nich wskazała na poczucie winy z powodu niepowstrzymania incydentu,
31% zgłosiło nieobecności w pracy spowodowane stresem lub problemami psychicznymi.

Takie konsekwencje obniżają efektywność działań w obszarze bezpieczeństwa IT i zwiększają podatność firm na kolejne ataki.

Rosnąca presja na działy IT po cyberatakach

Po incydentach ransomware 40% firm zwiększa presję na zespoły IT, oczekując szybszych reakcji i zaostrzonej kontroli. Co czwarta organizacja decyduje się na wymianę lidera ds. bezpieczeństwa.

Jednak, jak podkreśla Chester Wisniewski:

„Warto pamiętać, że ludzki błąd czy luka w zabezpieczeniach nie zawsze wynikają z zaniedbania czy złych intencji pracownika. Często są skutkiem posiadania ograniczonych zasobów, niewystarczających zabezpieczeń czy zbyt dużej liczby równolegle wykonywanych zadań. W zarządzaniu sytuacją po incydencie kluczowa jest analiza jego źródłowych przyczyn i wspólne wyciąganie wniosków. Pozwoli to nie tylko zidentyfikować luki w zabezpieczeniach, ale również wypracować skuteczniejsze procedury cyberbezpieczeństwa oraz wzmocnić zaufanie w zespole.”

W rezultacie samo zwiększanie presji nie poprawia bezpieczeństwa – potrzebne są działania systemowe.

Ransomware testuje kulturę bezpieczeństwa w firmach

Eksperci Sophos podkreślają, że ransomware to nie tylko test dla zabezpieczeń IT. To także sprawdzian dla kultury organizacyjnej i strategii cyberbezpieczeństwa. Od reakcji na kryzys zależy reputacja przedsiębiorstwa oraz zdolność do zatrzymania doświadczonych specjalistów ds. bezpieczeństwa informacji.

Dlatego budowanie odporności wymaga połączenia:

technologii,
szkoleń i edukacji w obszarze bezpieczeństwa IT,
odpowiednich procedur,
a także wsparcia psychologicznego dla zespołów, które znajdują się na pierwszej linii obrony przed cyberatakami.

Źródło: Raport „State of Ransomware 2025” dostępny na stronie: www.s

25 czerwca 202524 września 2025

Brak ludzi, wiedzy i zabezpieczeń – raport Sophos pokazuje podatności na cyberataki

Już trzeci rok z rzędu podatności w systemach IT są najczęstszą przyczyną powodzenia ataków ransomware na firmy na świecie – wynika z raportu „State of Ransomware 2025” firmy Sophos. Aż 40 proc. przedsiębiorstw, które w ciągu ostatniego roku padły ofiarą cyberataków, przyznało, że zabrakło im specjalistycznej wiedzy, aby skutecznie przeciwdziałać zagrożeniom. Tyle samo firm dowiedziało się o lukach w ochronie swoich systemów dopiero po ataku. Co więcej, 39 proc. badanych wskazało niedobory kadrowe w zespołach ds. bezpieczeństwa jako jedną z głównych przyczyn skuteczności ataków.

Tegoroczna edycja raportu po raz pierwszy analizowała wewnętrzne przyczyny podatności na ransomware w firmach. Respondenci wskazywali średnio 3 czynniki, które przyczyniły się do skutecznego ataku na ich zasoby. Analiza Sophos wskazuje, że nie ma jednego dominującego źródła ryzyka. Zagrożenia rozłożyły się niemal równomiernie między niewystarczającą ochronę zasobów IT (63 proc. firm), braki kadrowe i sprzętowe (63 proc. firm) oraz luki w zabezpieczeniach. Te ostatnie – zarówno znane, jak i nieuświadomione – wskazało aż 65 proc. firm.

Mniej szyfrowania, więcej szantażu – tak zmienia się oblicze ransomware

Odsetek ataków ransomware, w których dane zostały zaszyfrowane,wyniósł 50 proc. To nie tylko znaczny spadek w porównaniu z 2024 rokiem (70 proc.), ale również najniższy wynik od sześciu lat. Nie oznacza to jednak, że zagrożenie maleje – zmienia się tylko jego charakter. Cyberprzestępcy rekompensują szyfrowanie danych innymi formami nacisku na przedsiębiorstwa. Co ósma firma (14 proc.), która padła ofiarą ransomware, oraz niemal co trzecia, której dane zostały zaszyfrowane w tym roku, doświadczyła także kradzieży informacji.

Co istotne, większe przedsiębiorstwa, którym zaszyfrowano dane, są prawie o 40 proc. bardziej narażone na ich kradzież niż mniejsze podmioty. Jednocześnie podwaja się liczba ataków polegających wyłącznie na szantażu – czyli takich, w których przestępcy nie szyfrują danych, ale wykradają je i grożą ujawnieniem. Ich udział wzrósł rok do roku – z 3 do 6 proc.

– Skuteczna ochrona przed cyberzagrożeniami bazuje na kilku filarach: eliminowaniu luk w zabezpieczeniach poprzez regularne aktualizacje systemowe, ochronie urządzeń końcowych za pomocą rozwiązań zatrzymujących złośliwe oprogramowanie czy stałym monitorowaniu zagrożeń. Im szybciej uda się wykryć atak, tym łatwiej go powstrzymać. Dlatego warto posiadać własne centrum operacji bezpieczeństwa lub korzystać z zewnętrznych usług MDR, zapewniających monitoring i reagowanie na incydenty. Ostatnim filarem jest przygotowanie planu awaryjnego i procedur postępowania na wypadek ataku. Zapobieganie, ochrona, szybka reakcja oraz gotowość do odtworzenia sprawności systemów po ataku mogą znacznie obniżyć ryzyko i koszty incydentu – wskazuje Chester Wisniewski, dyrektor ds. technologii w firmie Sophos.

Co druga firma zapłaciła okup, aby odzyskać dane

Aż 97 proc. firm, którym przestępcy zaszyfrowali dane, odzyskało swoje pliki. Tylko 54 proc. wykorzystało do tego kopie zapasowe, co stanowi najniższy wynik od sześciu lat. Z kolei prawie połowa firm (49 proc.) zdecydowała się zapłacić okup. Co trzecia firma wykorzystała również alternatywne metody do odzyskania danych, takie jak publicznie dostępne klucze deszyfrujące.

Z danych Sophos wynika również, że w 2025 r. zmniejszyły się sumy żądane przez cyberprzestępców, a także rzeczywiście płaconych okupów. Mediana kwoty żądanej przez napastników wyniosła 1,32 mln dolarów (spadek o 34 proc. r/r), a mediana płatności – 1 mln dolarów (o połowę mniej niż w 2024 r.). W większości przypadków (53 proc.) zaatakowanym firmom udało się wynegocjować niższą stawkę okupu. Tymaczasem 29 proc. zapłaciło pełną żądaną kwotę, a 18 proc. wydało więcej niż zakładano na początku.

Średnio koszt pełnego przywrócenia działalności po ataku wyniósł w tym roku 1,53 mln dolarów i był aż o 44 proc. niższy niż rok temu. Jednocześnie do 53 proc. wzrósł odsetek firm, którym udało się wrócić do sprawności operacyjnej w ciągu tygodnia (jedynie 35 proc. w 2024 roku).

– Spadająca wysokość okupów i coraz częstsze negocjowanie stawek to pozytywny sygnał. Cieszy szczególnie fakt, że największy spadek dotyczy realnie wypłacanych przestępcom kwot. Mimo to milion dolarów to wciąż ogromne obciążenie finansowe dla wielu przedsiębiorstw. Tym bardziej niepokoi, że tylko połowa ofiar ataków ransomware sięgnęła po kopie zapasowe, aby odzyskać swoje dane. Backup powinien być podstawowym elementem strategii ciągłości działania każdej firmy. Trzeba jednak pamiętać, że samo posiadanie kopii to za mało. Kluczowe jest ich regularne testowanie, by mieć pewność, że w krytycznym momencie naprawdę zadziałają – podkreśla Chester Wisniewski. Raport „State of Ransomware 2025” dostępny jest pod adresem: https://www.sophos.com/en-us/content/state-of-ransomware

10 czerwca 2025

Miliony z ataków na legalne start-upy i restauracje. W co inwestują cyberprzestępcy?

Cyberprzestępcy coraz częściej inwestują zarobione na atakach pieniądze w legalne biznesy – wynika z analizy ekspertów Sophos. Zakładają startupy, otwierają restauracje czy prowadzą kursy programowania. Według raportu State of Ransomware 2024 średnia wartość okupu płaconego przez firmy wyniosła dwa miliony dolarów – aż pięciokrotnie więcej niż rok wcześniej. Pozornie legalne biznesy pozwalają hakerom na upłynnianie dużych kwot bez pozostawiania śladów.

Ataki ransomware, kradzieże danych oraz phishing generują milionowe zyski, uzyskiwane głównie w kryptowalutach. Jak wynika z raportów Sophos, nawet 30% żądań okupu w ramach ataków ransomware opiewa na kwotę ponad 5 milionów dolarów. Kwestia tego, co dzieje się później z tymi pieniędzmi, nie przyciągała dotąd uwagi. Analitycy firmy Sophos przeanalizowali dyskusje przestępców na forach w darknecie, dostępne dane korporacyjne oraz ruchy portfelowe i odkryli, że nielegalnie pozyskane zyski są inwestowane zarówno w działalność przestępczą, jak i w legalne biznesy.

– Nie mówimy już tylko o tradycyjnym praniu brudnych pieniędzy. To, co obserwujemy w hakerskim podziemiu, to nowa forma przedsiębiorczej przestępczości – kryminaliści wchodzą na rynek jako legalni biznesmeni. Stając się pracodawcami i inwestorami, są paradoksalnie bardziej niewidoczni niż kiedykolwiek – wyjaśnia John Shier, Field CISO w Sophos.

W wielu przypadkach do nawiązywania kontaktów biznesowych oraz realizowania inwestycji cyberprzestępcy wykorzystują powszechnie znane kanały, takie jak Telegram czy WhatsApp Business. Firmy – przynajmniej na papierze – często wyglądają profesjonalnie, mają atrakcyjny dla inwestorów model biznesowy i sprawiają wrażenie w pełni legalnych.

Śladem okupów: nieruchomości, złoto, restauracje i NGO

https://www.sophos.com/en-us/press/press-releases/2024/04/ransomware-payments-increase-500-last-year-finds-sophos-state?utm_source=chatgpt.com

Hakerzy lokują swoje środki w firmach i startupach z branży cyberbezpieczeństwa oraz IT. Pozwala im to na poszerzenie swojej wiedzy, zdobycie środków i infrastruktury na potrzeby kolejnych ataków. Analitycy Sophos zaobserwowali, że cyberprzestępcy inwestują też w organizacje pozarządowe czy instytucje edukacyjne, które pozwalają działać niezauważenie – zakładać szkoły programowania czy organizować projekty edukacyjne pod pozorem aktywności non-profit. Pranie pieniędzy ułatwiają też biznesy ze sporym przepływem gotówki i niewielkim nadzorem, takie jak restauracje i bary, ale też hurtownie tytoniu i alkoholu.

Środki z cyberataków lokowane są również w nieruchomościach, akcjach czy metalach szlachetnych (złoto, diamenty), które pozwalają hakerom na osiąganie stosunkowo łatwego i legalnego dochodu pasywnego. Transakcje najczęściej zawierane są w krajach o stabilnej jurysdykcji, takich jak Szwajcaria, USA czy Zjednoczone Emiraty Arabskie.

Oprócz prowadzenia legalnych biznesów, hakerzy wciąż działają też w szarej strefie. Prowadzą kasyna i inne usługi hazardowe, często rejestrowane w tzw. rajach podatkowych. Zajmują się tworzeniem i rozprowadzaniem fałszywych dokumentów (szczególnie w krajach azjatyckich), prowadzą platformy pornograficzne czysklepy z podrabianymi lekami. Analizowane przypadki dotyczyły niemal każdego zakątka globu – Wielkiej Brytanii, Szwajcarii, Stanów Zjednoczonych, Zjednoczonych Emiratów Arabskich, Chin, Korei Południowej czy Gibraltaru.

– Granice między przestępczością w świecie cyfrowym a rzeczywistym coraz bardziej się zacierają i właśnie to jest niebezpieczne. Jedynym sposobem na rozwiązanie tego problemu jest zacieśnienie współpracy między sektorem prywatnym i publicznym, szczególnie między firmami zajmującymi się cyberbezpieczeństwem a lokalnymi organami ścigania. Analitycy zagrożeń powinni dzielić się swoimi ustaleniami z władzami, które mogą śledzić potencjalne operacje przestępców. W końcu ktoś, kto dziś zakłada pozornie legalną firmę, jutro może ponownie zaatakować w sieci – podsumowuje John Shier. Więcej informacji o analizie można znaleźć na blogu Sophos: https://news.sophos.com/en-us/tag/beyond-the-kill-chain

13 maja 202524 września 2025

Nie cyberataki, a fake newsy – największe zagrożenia dla wyborów w 2025 roku

Chester Wisniewski, dyrektor ds. technologii w firmie Sophos

Wybory prezydenckie w Polsce coraz bliżej, a obok walki o głosy toczy się walka o wpływy i świadomość wyborców. Zgodnie z raportem Światowego Forum Ekonomicznego, mis- i dezinformacja to najpoważniejsze zagrożenia dla świata w najbliższych dwóch latach, wyprzedzające nawet ekstremalne zjawiska pogodowe. To nieprzypadkowa diagnoza – fałszywe narracje coraz częściej wykorzystywane są jako narzędzie wpływu na demokratyczne procesy. A skalę problemu pogłębia powszechna dostępność modeli sztucznej inteligencji, dzięki którym masowe generowanie nieprawdziwych informacji przez oszustów jest prostsze niż kiedykolwiek.

Wybory w Polsce, podobnie jak w innych krajach, mają charakter papierowy – obywatele oddają głos w wyznaczonych lokalach wyborczych lub korespondencyjnie. Taka forma głosowania znacząco ogranicza cyberprzestępcom tzw. powierzchnię ataku i możliwości manipulacji wynikami. Nie oznacza to jednak, że proces jest całkowicie wolny od zagrożeń. Celem mogą stać się systemy ewidencjonujące listy wyborców, a także infrastruktura wspierająca organizację głosowania – np. poprzez ataki typu DDoS (odmowa usługi). Zagrożeni są również sami wyborcy, którzy jeszcze przed oddaniem głosu stają się odbiorcami fałszywych narracji.

Zaufanie do wyborów pod ostrzałem cyberprzestępców

Nie trzeba dziś bezpośrednich fałszerstw przy urnach wyborczych, aby podważyć zaufanie do kandydata lub procesu wyborczego. Wystarczą techniki dez- oraz misinformacji – emocjonalny film w sieci, zmanipulowany zrzut ekranu lub anonimowa wiadomość rozpowszechniona w mediach społecznościowych. Misinformacja, czyli niepełne lub nieprawdziwe treści, powielana jest zazwyczaj bez odpowiedniej weryfikacji, m.in. z pomocą mediów społecznościowych, nieraz przez osoby działające w dobrej wierze. Wiele takich treści pochodzi z dezinformacji, czyli celowego działania wprowadzającego w błąd, aby wpływać na postawy społeczne lub uzyskać określone korzyści. Często jest to element kampanii wpływu prowadzonej przez kandydata, partię polityczną czy inne państwa, dążący do wpłynięcia na wynik wyborów.

Powszechną taktyką jest fabrykowanie historii, które nawiązują do rzeczywistego stanowiska kandydata lub partii i mają na celu rozjuszenie ich przeciwników. Takie treści są umieszczane na platformach społecznościowych, a czasem również kanałach wideo, aby prawdziwi członkowie środowisk przeciwnika mogli je nagłośnić. Dezinformacja jest najskuteczniejsza, gdy jest rozpowszechniana i wzmacniana przez autentycznych użytkowników – samych wyborców.

Podczas wyborów globalnie obserwowane były też w przeszłości operacje zwane hack and leak, zwykle wymierzone w skrzynki mailowe kandydatów czy sztabu wyborczego. Po włamaniu na pocztę przestępcy upubliczniają prywatną korespondencję tych osób, aby je zdyskredytować. Celem często jest nie tyle faworyzowanie jednego kandydata kosztem pozostałych, ale podważenie ogólnego zaufania do wyborów. Zdarzały się próby ingerencji w procesy wyborcze ze strony Iranu, Chin czy Rosji, jednak jest też wiele innych podmiotów zaangażowanych w takie działania. Wykrywanie kampanii wpływu jest trudne – mogą je dziś przeprowadzać nawet nieduże grupy, korzystające z narzędzi wykorzystujących sztuczną inteligencję czy zautomatyzowaną sieć botów.

E-głosowanie? Nie wszystko dobre, co jest w sieci

Na ten moment trudno mówić o wprowadzeniu powszechnych e-wyborów, które byłyby bezpieczne. Trzeba mieć na uwadze, że żadnego elektronicznego systemu do głosowania nie można darzyć bezgranicznym zaufaniem, tym bardziej, jeśli nie towarzyszy mu materialny, możliwy do ręcznego sprawdzenia zapis woli wyborcy. Dlatego karta do głosowania, czyli fizyczny ślad głosu, to kluczowy element bezpieczeństwa systemu głosowania.

W przypadku wyborów online kluczową zasadą pozostaje fizyczne odseparowanie urządzeń do głosowania i zliczania głosów od sieci, aby uniemożliwić zdalną manipulację wynikami. Wciąż pozostaje też wiele nierozwiązanych kwestii – od kryptograficznej weryfikacji tożsamości głosujących, przez ochronę prywatności ich danych, aż po zapewnienie, że nikt nie oddaje głosu pod presją, np. w obecności członka rodziny czy agresywnego partnera. Te ograniczenia pokazują, że jeśli w grę wchodzi zaufanie społeczne, cyfrowa wygoda jeszcze długo nie zastąpi tradycyjnych metod głosowania.

Warto pamiętać, że w dniach poprzedzających wybory pierwszą linią obrony przed dezinformacją są sami wyborcy. Każdy ma realny wpływ na to, czy fałszywa treść zyska zasięg. Wystarczy ostrożność, sceptycyzm wobec sensacyjnych przekazów i sprawdzanie źródła, zanim klikniemy „udostępnij”.

Źródła:

„Global Risks Report 2024”: https://www.weforum.org/publications/global-risks-report-2024/

23 grudnia 202424 września 2025

Przyszłość cyberbezpieczeństwa: trendy na 2025 rok według ekspertów Sophos

Trendy cybersecurity w 2025 r.

W 2025 r. zespoły ds. bezpieczeństwa IT powinny przygotować się na rosnącą pomysłowość przestępców, którzy wykorzystują zaawansowane technologie oraz taktyki odwracające uwagę od faktycznych celów ataku. Jak wskazuje ekspert firmy Sophos, dla osób odpowiedzialnych za reagowanie na incydenty kluczowe będzie wdrożenie wielowarstwowego, elastycznego podejścia do bezpieczeństwa, aby skutecznie chronić firmowe sieci przed coraz bardziej złożonymi atakami.
Chester Wisniewski, dyrektor ds. technologii w firmie Sophos, podkreśla, że warto skorzystać z doświadczeń z 2024 r., aby lepiej przygotować się na możliwe scenariusze ataków i wejść w nowy rok pewniejszym krokiem. Wskazuje również na sześć trendów, które mogą kształtować obszar cyberbezpieczeństwa w 2025 r.

Ataki coraz częściej kierowane na chmurę

W miarę jak przedsiębiorstwa coraz lepiej chronią urządzenia końcowe za pomocą narzędzi do wykrywania zagrożeń i reagowania na nie (EDR – Endpoint Detection and Response) oraz powszechnie wdrażają uwierzytelnianie wieloskładnikowe, atakujący coraz częściej zwracają uwagę na zasoby chmurowe. Przechowywane w nich dane są często niewystarczająco zabezpieczone, a celem dla cyberprzestępców stają się już nie tylko hasła, ale również tokeny uwierzytelniające i pliki cookie z przeglądarek.

AI „demokratyzuje” cyberprzestępczość

Narzędzia i techniki stosowane dotąd przez profesjonalnych cyberprzestępców trafiają do zbiorów danych uczących sztuczną inteligencję. Dzięki temu nawet osoby o niewielkich umiejętnościach są w stanie stworzyć np. treści phishingowe czy kod oprogramowania ransomware. Chociaż takie ataki cechują się raczej niską skutecznością, ich liczebność i częstotliwość utrudniają pracę osobom odpowiedzialnym za bezpieczeństwo struktur IT, a tym samym otwierają furtkę dla bardziej zaawansowanych cyberprzestępców.

Cybernetyczna zasłona dymna

Oszuści coraz częściej sięgają po tzw. ataki pozorujące, aby odwrócić uwagę ofiary od prawdziwego celu. Mniejsze operacje cyberprzestępców, głównie o charakterze dywersyjnym, pochłaniają czas i zasoby zespołów reagowania na incydenty, osłabiając skuteczność całego systemu zabezpieczeń. W ten sposób układ sił przesuwa się na korzyść przestępców, nawet przy prawidłowo wdrożonych i skonfigurowanych rozwiązaniach ochronnych.

Wszyscy za jednego

Atakujący działają wszędzie tam, gdzie widzą okazję do zysku, a ich celem mogą stać się różne podmioty. Coraz większe zagrożenie stanowią ataki na łańcuchy dostaw oprogramowania. Oznacza to, że atak na jedną firmę może wpłynąć także na jej partnerów czy klientów. Daje to cyberprzestępcom większe możliwości nacisku na ofiary, np. przy żądaniu okupu.

Duże modele językowe w służbie przestępców

Przestępcy łączą różne narzędzia bazujące na dużych modelach językowych do przeprowadzania bardziej złożonych ataków. Sztuczna inteligencja pomaga im już nie tylko w pisaniu linijek złośliwego kodu, ale również w tworzeniu fałszywych stron internetowych, treści audio i wideo, ze szczególnym uwzględnieniem deepfake’ów.

Maksymalizacja korzyści z przeprowadzenia ataku

Cyberprzestępcy coraz częściej stosują podejście tzw. podwójnego uderzenia. Oznacza to, że po złamaniu zabezpieczeń ofiary wykonują kolejną czynność. Przykładowo, kradnąc kryptowaluty, jednocześnie mogą przejąć pliki cookies czy dane osobowe wykorzystywane później do kolejnych ataków, zwiększając tym samym poziom zyskowności przedsięwzięcia. Zdarza się również, że do wymienionych działań dołącza atak DDoS (Distributed Denial of Service), który poprzez zablokowanie dostępu do zasobów czy usług, tym bardziej paraliżuje systemy ofiary i utrudnia czynności obronne.