Raport CERT Orange Polska 2025: w sieci zagrożeń

Wnioski są proste: sama ochrona systemów już nie wystarcza – ważniejsza staje się szeroko rozumiana cyberodporność.

Kiedy w 1988 roku, zaledwie trzy lata po rejestracji pierwszej domeny z rozszerzeniem.com, Robert Morris wpuszczał do sieci pierwszego wirusa (a właściwie robaka) – jego intencje były czyste. Eksperyment miał jedynie wykazać słabość ówczesnych zabezpieczeń. Cztery dekady później internet stał się filarem współczesnego życia, towarzyszy nam niemal wszędzie i praktycznie nieustająco. Wraz z jego rozwojem rosną nie tylko możliwości, ale i zagrożenia. Dziś twórcami złośliwego oprogramowania poszukującymi słabości zabezpieczeń nie kierują czyste intencje, co dobitnie pokazuje najnowszy Raport CERT Orange Polska za rok 2025.

Podczas konferencji towarzyszącej publikacji raportu eksperci z Orange Polska nie mieli wątpliwości: wchodzimy w etap, w którym cyberbezpieczeństwo staje się czymś więcej niż tylko ochroną systemów. To kwestia odporności – całych organizacji, infrastruktury i nas samych. Jeśli zaś spojrzymy na sieć jak na pole cyfrowej bitwy, to wyraźnie widać, jak zwiększa się rola sztucznej inteligencji. I to po obu stronach barykady.

Co działo się w polskim internecie w ciągu ostatnich miesięcy i na co musimy uważać dziś, aby nie stać się częścią statystyk w przyszłorocznym raporcie?

5,5 mln chronionych Polaków

Zacznijmy od dobrych wiadomości. Choć zagrożeń przybywa, systemy obronne stają się coraz inteligentniejsze. Pierwszą linią obrony dla milionów Polaków jest CyberTarcza Orange, która w 2025 roku zablokowała aż 345 tysięcy samych domen phishingowych. To o blisko 15 proc. więcej blokad niż rok wcześniej.

Dzięki tej ochronie 5,5 miliona użytkowników uniknęło strat finansowych lub utraty cennych danych.

Jednak technologia to tylko połowa sukcesu. Jak zauważa Liudmila Climoc, prezeska Orange Polska we wstępie do raportu, cyberbezpieczeństwo to już nie tylko wyłączna odpowiedzialność specjalistów, ale wspólny obowiązek, który wymaga aktywnego zaangażowania każdego z nas.

Tylko w zeszłym roku internauci wysłali 15 tysięcy zgłoszeń SMS pod specjalny numer 508 700 900, informując o podejrzanych wiadomościach. To prawie czterokrotny wzrost w porównaniu do poprzednich lat, co pokazuje naszą rosnącą czujność.

Z kolei z bezpłatnego narzędzia Hasło Alert od Orange korzysta już ponad 40 tys. osób, sprawdzając, czy ich dane nie wyciekły do sieci. Nowością jest natomiast możliwość weryfikacji złośliwych domen – zanim jeszcze w nie klikniemy. Docelowo ta kontrola ma przebiegać w czasie rzeczywistym.

Trzy największe zagrożenia w sieci

Robert Grabowski, szef CERT Orange Polska, podkreśla, że lista trzech najczęstszych zagrożeń pozostaje od lat niezmienna.

– Są drobne zmiany w udziałach procentowych tych zagrożeń, natomiast z zarejestrowanych przez nas zgłoszeń to phishing jest cały czas na topie – dodaje

W 2025 roku w sieci Orange stanowił on 47,5 proc. zarejestrowanych incydentów. Na drugim miejscu znalazły się ataki DDoS – 15,8 proc. Warto przy tym zauważyć, że o ile spadła średnia wielkość natężenia pojedynczego ataku, to jednak zdecydowanie wzrosła moc tych najmocniejszych. Co również istotne, DDoS coraz częściej nie jest celem samym w sobie. Zamiast tego staje się narzędziem wspierającym inne działania – od kampanii dezinformacyjnych, przez wymuszenia, po próby odwrócenia uwagi od bardziej zaawansowanych operacji. To między innymi efekt tzw. platformizacji cyberprzestępczości. Ataki można dziś zamówić jak usługę – zaplanować, uruchomić i zakończyć bez większej wiedzy technicznej.

Trzecie miejsce w tym zestawieniu przypadło złośliwemu oprogramowaniu – 13,3 proc. Dominują tu stealery, których głównym zadaniem jest kradzież danych z urządzenia użytkownika. Są one coraz trudniejsze do wykrycia, a docierają do ofiar w najróżniejszy sposób – przez reklamy, fora, a nawet filmy na YouTube.

Najczęstsza pułapka w sieci

Raport wyraźnie wskazuje, w którą stronę idą cyberprzestępcy. W 2023 roku 28 proc. zablokowanych w sieci Orange stron dotyczyło rzekomych inwestycji. Rok później było to już 60 proc., a w 2025 roku – aż 68 proc.

To nie przypadek. Jak tłumaczy Robert Grabowski, mamy do czynienia z pełną automatyzacją: tworzenie domen, kampanii, a nawet całych „platform inwestycyjnych” odbywa się masowo, często przy wsparciu AI. To już nie są pojedyncze próby wyłudzeń – to zorganizowany, skalowalny przestępczy biznes. Schemat jest zazwyczaj podobny: reklama w social mediach, przekonująca historia, czasem znana twarz wygenerowana przez AI, a potem szybkie przejście do „inwestycji życia”. Całość zaprojektowana tak, by użytkownik nie miał czasu na refleksję.

Zmienia się także sposób prowadzenia oszustw SMS-owych, czyli smishingu. Jeszcze niedawno dominowały wiadomości wysyłane z fizycznych urządzeń – tzw. farm telefonów. Dziś aż 75 proc. złośliwych SMS-ów generowanych jest automatycznie przez aplikacje, często za pośrednictwem legalnych platform komunikacyjnych. Efektem jest większa skala i wyższa skuteczność.

Wiadomości są bardziej spójne, lepiej dopasowane i trudniejsze do odróżnienia od prawdziwych. Co więcej, coraz częściej nie zawierają żadnych linków – zamiast tego zachęcają do kontaktu przez komunikatory, gdzie oszuści kontynuują rozmowę, wykorzystując zaawansowane socjotechniki.

Scenariuszy smishingowych jest wiele: od zatrzymanych paczek kurierskich, nieopłacone mandaty i rzekome blokady kont bankowych, przez fałszywe oferty pracy obiecujące niebotyczne dniówki, aż po szczególnie podstępne oszustwa „na członka rodziny”. W tym ostatnim przypadku przestępcy wysyłają wiadomości w stylu „Cześć tato, to mój nowy numer, stary telefon wpadł do wody, napisz do mnie na WhatsApp”. Taka nowoczesna odmiana metody „na wnuczka”. Coraz częściej te wiadomości nie zawierają nawet linku – ich celem jest nawiązanie kontaktu i manipulacja, która ma doprowadzić do przelewu pieniędzy lub wyłudzenia danych.

– Wyobraźnia przestępców się nie kończy i te scenariusze cały czas się mnożą – zauważa szef CERT Orange Polska.

AI zmienia zasady gry

Rok 2025 przyniósł kolejną wyraźna zmianę, jeśli chodzi o wykorzystanie sztucznej inteligencji. I tu eksperci są zgodni – to narzędzie, które jednocześnie wzmacnia obronę i napędza zagrożenia.

Jak mówił podczas prezentacji głównych wniosków raportu Piotr Jaworski, członek zarządu Orange Polska ds. Sieci i Technologii, w walce z cyberzagrożeniami kluczowy jest czas. W nowoczesnych sieciach liczba zdarzeń i alertów liczona jest w setkach czy tysiącach na sekundę. Człowiek nie jest w stanie ich wszystkich przeanalizować. AI pozwala je filtrować, porządkować i wskazywać te naprawdę istotne.

Problem w tym, że dokładnie tę samą przewagę zyskują cyberprzestępcy. Sztuczna inteligencja pomaga im tworzyć bardziej przekonujące kampanie, szybciej wykorzystywać podatności i automatyzować działania na niespotykaną dotychczas skalę. Coraz częściej pojawiają się też bardziej zaawansowane scenariusze – na przykład złośliwe oprogramowanie, które „konsultuje się” z modelami AI, by skuteczniej działać w zainfekowanym systemie. To przestaje być futurystyczna wizja, ale realny kierunek rozwoju zagrożeń.

Robert Grabowski zwrócił uwagę, że już odnotowano malware’y, które są w 100 procentach napisane przez AI, a ich kodu nie da się przypasować do niczego znanego wcześniej.

– Patrzymy na AI jako na obosieczny miecz i w ten sposób ją traktujemy. Wdrażamy wiele rozwiązań chroniących przed tą „ostrą krawędzią” – dodał.

Niestety, należy się spodziewać, że dalszy rozwój AI będzie generował jeszcze większe zagrożenia i wyzwania. Grabowski wskazuje też pewien pomijany problem. Rośnie bowiem ilość kodu tworzonego przez sztuczną inteligencję, z pominięciem bezpiecznego cyklu wytwarzania oprogramowania, co powoduje wzrost podatności takich kodów na ataki.

Od ochrony do odporności

Cyberbezpieczeństwo przez lata kojarzyło się głównie z ochroną – zaporami sieciowymi, antywirusami, blokowaniem ataków. Dziś to już za mało. Skala, a przede wszystkim różnorodność zagrożeń sprawiają, że nie da się wszystkiego przewidzieć ani zatrzymać. Kluczowe staje się więc nie tylko ich wykrywanie, ale też zdolność do utrzymania działania usług i szybkiego powrotu do normalności.

Autorzy tegorocznego raportu CERT Orange Polska często odwołują się do stosunkowo nowego pojęcia cyberodporności (ang. cyber resilience).

W swoim wystąpieniu podczas konferencji Piotr Jaworski przywołał potężny cyberatak na sieć operatora w Portugalii w 2022 roku, który na kilkanaście godzin wywołał chaos, a usuwanie jego skutków trwało kilka dni. Jednocześnie zauważył, że nie tylko złośliwy cyberatak, ale także np. ekstremalne zjawiska pogodowe, błędy ludzkie czy blackouty mogą doprowadzić do poważnych zakłóceń. Przypomniał też, że Orange już w 2017 roku uruchomił program Network Resilience, który wziął pod lupę każdy element sieci, szukając jej słabych punktów. Od tego czasu firma wprowadziła ponad 100 różnego rodzaju rozwiązań, które sprawiły, że znacznie spadła liczba awarii krytycznych.

Bezpieczeństwo przestaje być wyłącznie domeną działów IT. Staje się elementem szerszego systemu, w którym równie ważne są architektura sieci, procedury działania, współpraca między instytucjami i – co równie istotne – świadomość użytkowników, zarówno prywatnych, jak i pracowników firm.

Cyberodporność oznacza przy tym zmianę perspektywy: z myślenia o pełnej kontroli nad zagrożeniami na budowanie zdolności do działania mimo tych zagrożeń. To podejście w Orange widać choćby w nacisku na redundancję, scenariusze awaryjne czy testowanie infrastruktury w warunkach symulowanych kryzysów. W praktyce chodzi o to, by nawet w sytuacji poważnego incydentu – czy to ataku DDoS, czy awarii zasilania – kluczowe usługi pozostały dostępne, a użytkownicy odczuli ich skutki w jak najmniejszym stopniu.

Autor: Paweł Stalewski