Trendy dotyczące cyberincydentów w 2025 roku: Co firmy muszą wiedzieć

Krajobraz cyberbezpieczeństwa ewoluuje w zastraszającym tempie, ponieważ złośliwe podmioty wykorzystują coraz bardziej wyrafinowane techniki, aby zakłócać działalność organizacji we wszystkich sektorach. Od włamań opartych na sztucznej inteligencji po zintensyfikowane kampanie państw narodowych, firmy stoją przed bezprecedensowymi wyzwaniami w zakresie ochrony swoich zasobów cyfrowych i utrzymania odporności operacyjnej. Zrozumienie tych pojawiających się zagrożeń i wdrożenie solidnych strategii obronnych stało się kluczowe dla przetrwania organizacji w dzisiejszym połączonym cyfrowym ekosystemie.

Sztuczna inteligencja zmienia metody cyberataków

Sztuczna inteligencja zasadniczo zmieniła sposób, w jaki podmioty stanowiące zagrożenie prowadzą operacje cybernetyczne. Najnowsze dane pokazują, że około szesnaście procent zgłoszonych incydentów cybernetycznych obejmuje obecnie atakujących wykorzystujących narzędzia sztucznej inteligencji, w szczególności modele generowania obrazów i języka, do przeprowadzania wyrafinowanych kampanii inżynierii społecznej. Generatywna sztuczna inteligencja znacznie zwiększyła skuteczność ataków, tworząc bardziej przekonujące podstępy i umożliwiając powszechną automatyzację narzędzi do włamań.

Podmioty stanowiące zagrożenie wykorzystują technologię AI na kilka niebezpiecznych sposobów. Technologia Deepfake umożliwia przestępcom tworzenie realistycznych podróbek audio i wideo kadry kierowniczej i personelu pomocniczego, których używają do autoryzacji nieuczciwych przelewów bankowych, kradzieży danych uwierzytelniających użytkowników i narażania kont. Jeden ze szczególnie niszczycielskich incydentów polegał na tym, że atakujący wykorzystali publicznie dostępne materiały filmowe do stworzenia przekonujących fałszywych filmów przedstawiających dyrektora finansowego i pracowników firmy, skutecznie oszukując ofiarę do przelania przestępcom ponad dwudziestu pięciu milionów dolarów.

Voice phishing, czyli "vishing", stanowi kolejny wektor zagrożeń wzmocniony przez sztuczną inteligencję. Atakujący wykorzystują skrypty generowane przez sztuczną inteligencję i klony głosowe w ukierunkowanych kampaniach telefonicznych mających na celu przekonanie ofiar do pobrania złośliwych ładunków, nawiązania sesji zdalnego wsparcia lub ujawnienia danych logowania. Ponadto podmioty stanowiące zagrożenie wykorzystują generatywne narzędzia sztucznej inteligencji do tworzenia wysoce dostosowanych wiadomości phishingowych i wiadomości tekstowych, które zawierają szczegóły kontekstowe i wzorce języka naturalnego, znacznie zwiększając prawdopodobieństwo, że ofiary klikną złośliwe linki i oddadzą swoje dane uwierzytelniające.

Ataki ransomware stają się coraz bardziej agresywne i kosztowne

Ransomware nadal nęka organizacje w każdym sektorze przemysłu, a ostatnie raporty wskazują na dwunastoprocentowy wzrost liczby naruszeń związanych z oprogramowaniem ransomware rok do roku. Atakujący stosują coraz bardziej agresywne techniki wymuszeń i wdrażają bardziej wyrafinowane narzędzia, aby zmaksymalizować presję wywieraną na ofiary. Nowoczesne kampanie ransomware łączą tradycyjne szyfrowanie danych z destrukcyjnymi taktykami, w tym nękaniem pracowników i zagrożeniami dla krytycznych operacji, co skutkuje wydłużonym czasem przestoju i znacznie wyższymi kosztami odzyskiwania danych.

Kilka znaczących grup ransomware zdominowało ostatnio nagłówki gazet. Grupa zagrożeń Scattered Spider powróciła, wykorzystując zaawansowane techniki inżynierii społecznej w celu uzyskania wstępnego dostępu do organizacji z różnych branż. Tymczasem operacja ransomware LockBit pojawiła się ponownie na początku 2025 r. wraz ze zaktualizowanym zestawem narzędzi LockBit 4.0, uruchamiając agresywne kampanie wymuszeń, szczególnie skierowane do sektora prywatnego w całych Stanach Zjednoczonych.

Co ciekawe, reakcje organizacyjne na ataki ransomware wydają się zmieniać. Najnowsze badania branżowe wskazują, że około sześćdziesiąt trzy procent ankietowanych organizacji odmówiło zapłacenia okupu w ciągu ostatniego roku, co stanowi wzrost z pięćdziesięciu dziewięciu procent w 2024 roku. Trend ten sugeruje rosnący opór wobec żądań wymuszeń przestępczych, choć podkreśla również potrzebę solidnych możliwości tworzenia kopii zapasowych i odzyskiwania danych, które umożliwią organizacjom przywrócenie działalności bez kapitulacji przed atakującymi.

Zagrożenia ze strony państw narodowych nasilają się wśród napięć geopolitycznych

Zagrożenia ze strony państw narodowych znacznie zintensyfikowały swoje działania cybernetyczne, atakując infrastrukturę telekomunikacyjną, krytyczne systemy i strategicznych zewnętrznych dostawców usług. Te wyrafinowane kampanie zwykle wykorzystują techniki szpiegostwa cybernetycznego i zaawansowane taktyki oszukiwania w celu kradzieży danych uwierzytelniających użytkowników i uzyskania nieautoryzowanego dostępu do wrażliwych sieci i danych.

Działające w Chinach grupy cyberprzestępców znacznie zintensyfikowały swoje działania w ciągu ostatniego roku, a w niektórych branżach odnotowano wzrost liczby ataków o dwieście do trzystu procent w porównaniu z rokiem poprzednim. Uwagę całego świata przykuły dwie głośne kampanie włamań: Salt Typhoon i Volt Typhoon. Operacja Salt Typhoon z powodzeniem przeniknęła do głównych sieci telekomunikacyjnych w ramach szeroko zakrojonej kampanii cyberszpiegowskiej, podczas gdy Volt Typhoon obejmowała wstępne umieszczenie złośliwego kodu w systemach infrastruktury krytycznej, budząc poważne obawy o potencjalną eskalację szkód fizycznych lub rozległych zakłóceń.

Podmioty powiązane z państwami narodowymi wykorzystywały również taktyki socjotechniczne wykraczające poza włamania techniczne. Podmioty powiązane z Koreą Północną infiltrowały amerykańskie firmy, fabrykując dokumentację i tworząc przekonujące profile kandydatów w celu zapewnienia sobie zatrudnienia na stanowiskach wsparcia IT, które następnie wykorzystywali do zbierania danych uwierzytelniających użytkowników i przeprowadzania oszukańczych transakcji finansowych. Podmioty powiązane z Iranem przyjęły w szczególności generatywne narzędzia sztucznej inteligencji, a jedna z grup podobno wzmocniła wyciekłe informacje za pośrednictwem chatbotów AI po kampanii hack-and-leak wymierzonej w wrażliwe dane dziennikarzy w lipcu 2025 r.

Ataki na łańcuchy dostaw stron trzecich stanowią rosnące zagrożenie

Ataki osób trzecich mają miejsce, gdy podmioty stanowiące zagrożenie narażają na szwank partnerów w łańcuchu dostaw, sprzedawców lub dostawców oprogramowania i wykorzystują ten dostęp do infiltracji sieci organizacji docelowych. Ataki te często rozprzestrzeniają się kaskadowo w połączonych systemach, wpływając na wiele dalszych podmiotów i klientów, którzy są zależni od zagrożonego oprogramowania lub usług. Najnowsze dane z analizy zagrożeń wskazują na wzrost cyberprzestępczości motywowanej finansowo, której celem są dostawcy oprogramowania jako początkowe punkty wejścia do szerszych ekosystemów korporacyjnych.

Włamując się do zewnętrznych dostawców, atakujący mogą ominąć tradycyjne zabezpieczenia obwodowe i uzyskać uprzywilejowany dostęp do wrażliwych środowisk biznesowych. Zagrożenia te często wykorzystują hostowane środowiska, takie jak platformy chmurowe i ekosystemy oprogramowania jako usługi, przemieszczając się bocznie między instancjami klientów, zbierając dane uwierzytelniające i eksfiltrując zastrzeżone dane na dużą skalę. Taktyka ta umożliwia wywieranie szerokiego wpływu, zwłaszcza gdy dostawcy obsługują wielu klientów z różnych branż.

Naruszenia bezpieczeństwa zewnętrznego łańcucha dostaw stały się jednymi z najbardziej kosztownych i trwałych wektorów cyberzagrożeń, przed którymi stoją obecnie organizacje. Najnowsze dane wskazują, że naruszenia te kosztują średnio prawie pięć milionów dolarów i wymagają dłuższego czasu na identyfikację i powstrzymanie niż jakakolwiek inna forma włamania cybernetycznego. Złożoność relacji z dostawcami i wydłużony czas oczekiwania przyczyniają się do opóźnień w reagowaniu i zwiększonego narażenia dotkniętych organizacji.

Podstawowe zalecenia dotyczące odporności cybernetycznej

Utrzymanie kompleksowego, opartego na ryzyku programu cyberbezpieczeństwa pozostaje najskuteczniejszą obroną przed ewoluującymi zagrożeniami cybernetycznymi. Organizacje powinny traktować priorytetowo gotowość do reagowania na incydenty, przeprowadzając ćwiczenia praktyczne z udziałem kluczowych członków kadry kierowniczej, przedstawicieli zarządu i kierowników działów w celu sprawdzenia ról, procedur eskalacji i ram decyzyjnych. Ćwiczenia te powinny obejmować pojawiające się zagrożenia, takie jak złośliwe wykorzystanie generatywnej sztucznej inteligencji, aby zapewnić, że zespoły są przygotowane na realistyczne scenariusze.

Zarządzanie polityką wymaga ciągłej uwagi. Organizacje muszą regularnie przeglądać i aktualizować plany reagowania na incydenty, procedury ciągłości działania i procesy zatwierdzania komunikacji, aby upewnić się, że odzwierciedlają one bieżące zagrożenia i są zgodne z wymogami szybkiego powiadamiania, takimi jak wymóg dwudziestoczterogodzinnego wstępnego powiadomienia wynikający z dyrektywy NIS2 Unii Europejskiej oraz zasada ujawniania istotnych incydentów przez SEC w ciągu czterech dni roboczych. Zaktualizowane polityki powinny być rozpowszechniane wśród odpowiednich interesariuszy i powinny uwzględniać tolerancję ryzyka dla nowych technologii, takich jak generatywna sztuczna inteligencja.

Ograniczanie ryzyka związanego z podmiotami zewnętrznymi wymaga solidnej analizy due diligence dostawców i zabezpieczeń umownych. Organizacje powinny przeprowadzać analizy krytyczności, aby zidentyfikować dostawców i komponenty, których kompromitacja spowodowałaby największy wpływ operacyjny. Kluczowe środki ochronne obejmują wymaganie od dostawców zaświadczeń o bezpiecznych praktykach tworzenia oprogramowania, wdrażanie silnych zabezpieczeń umownych z wymogami szybkiego powiadamiania o incydentach i prawami do audytu, przeprowadzanie regularnych ocen praktyk bezpieczeństwa dostawców oraz testowanie wysiłków w zakresie reagowania poprzez ćwiczenia praktyczne obejmujące scenariusze dostawców zewnętrznych.

Procesy zarządzania podatnościami muszą być szybkie i systematyczne, biorąc pod uwagę częstotliwość wprowadzania poprawek zabezpieczeń i rozwoju exploitów. Organizacje powinny utrzymywać udokumentowane procesy identyfikacji, oceny, ustalania priorytetów, naprawiania i śledzenia luk w zabezpieczeniach, jednocześnie przypisując wyraźną odpowiedzialność i terminy działań naprawczych. Wdrożenie ciągłego monitorowania i proaktywnych narzędzi do zarządzania poprawkami, które generują dzienniki podlegające audytowi, umożliwia organizacjom eliminowanie luk w zabezpieczeniach, zanim podmioty stanowiące zagrożenie będą mogły je wykorzystać.

Wreszcie, angażowanie się w grupy branżowe i bycie na bieżąco z aktualizacjami regulacyjnymi i dotyczącymi egzekwowania prawa wzmacnia postawę bezpieczeństwa organizacji. Pomimo niedawnej niepewności prawnej dotyczącej wymiany informacji w zakresie cyberbezpieczeństwa po wygaśnięciu niektórych przepisów ustawowych, terminowa i skoordynowana wymiana informacji pozostaje kluczowa. Organizacje powinny dołączyć do branżowych grup cyberbezpieczeństwa, aby być na bieżąco z zagrożeniami i najlepszymi praktykami dla poszczególnych sektorów, jednocześnie monitorując aktualizacje od agencji rządowych i subskrybując biuletyny informacji o zagrożeniach dla organów ścigania.

Chociaż całkowite wyeliminowanie ryzyka cybernetycznego pozostaje niemożliwe, nadanie priorytetu gotowości do reagowania na incydenty i zgodności z przepisami buduje odporność techniczną i pozycjonuje organizacje korzystniej zarówno z perspektywy operacyjnej, jak i prawnej, gdy nieuchronnie staną się celem cyberataków.

Źródło: https://www.mayerbrown.com/en/insights/publications/2025/10/2025-cyber-incident-trends-what-your-business-needs-to-know