Rządowe sprawozdanie z 2025 roku po raz pierwszy dokumentuje ten przełom wprost: sztuczna inteligencja stała się “mnożnikiem siły” dla cyberprzestępców i zmieniła reguły gry dla każdej firmy w łańcuchu dostaw.
Dominującą kategorią zagrożeń wciąż pozostają oszustwa komputerowe – w 2025 roku stanowiły aż 97 proc. wszystkich incydentów obsłużonych przez CSIRT NASK (jeden z trzech zespołów reagowania na incydenty cyberbezpieczeństwa), czyli ponad 253 tys. zgłoszeń. Liczba samych zgłoszeń (wszystkich sygnałów od obywateli) była znacznie wyższa i wyniosła 658 tys. Za tym wzrostem stoi w dużej mierze jedno narzędzie: generatywna sztuczna inteligencja.
AI jako fabryka ataków – co konkretnie zmienił 2025 rok
Ministerstwo Cyfryzacji w swoim sprawozdaniu opisuje transformację precyzyjnie. Modele językowe są dziś powszechnie wykorzystywane do automatycznego generowania wysoce spersonalizowanych, bezbłędnych językowo wiadomości phishingowych, trudnych lub niemożliwych do odróżnienia od autentycznej korespondencji biznesowej. Znikają charakterystyczne błędy gramatyczne i składniowe, które przez lata były najprostszym sygnałem ostrzegawczym dla pracowników.
Równolegle technologia deepfake – syntetyczne nagrania audio i wideo – służy do podszywania się pod osoby publiczne, urzędników i kadrę zarządzającą firm. W branży logistycznej, gdzie decyzje finansowe podejmowane są szybko, a komunikacja z wieloma partnerami toczy się jednocześnie, oszustwo określane jako “CEO fraud”, w którym atakujący podszywa się pod prezesa lub dyrektora finansowego, zlecając pilny przelew lub zmianę danych bankowych, staje się szczególnie groźnym wektorem.
AI przyspiesza też etap przygotowawczy ataków: automatyzuje rekonesans infrastruktury, identyfikuje podatności i wspomaga pisanie złośliwych skryptów. Jeden z zespołów, CSIRT GOV, zidentyfikował w 2025 roku konkretny przypadek użycia interfejsów AI do generowania komend omijających automatyczne reguły detekcji na zainfekowanej stacji roboczej.
Odnotowano również wykorzystanie ogólnodostępnych narzędzi AI do tłumaczenia treści kampanii socjotechnicznych z języków obcych, co nadaje atakom zasięg międzynarodowy przy minimalnym nakładzie pracy ze strony przestępców.
Signal i WhatsApp zamiast e-maila
Jeden z najistotniejszych trendów opisanych w sprawozdaniu dotyczy kanałów komunikacji i ma bezpośrednie przełożenie na codzienne funkcjonowanie firm transportowych i logistycznych.
CSIRT GOV zidentyfikował rosnącą liczbę kampanii socjotechnicznych, w których adwersarze nakłaniają ofiary do przeniesienia komunikacji z poczty służbowej na prywatne, szyfrowane komunikatory – Signal lub WhatsApp. Mechanizm jest prosty: korporacyjna poczta elektroniczna podlega filtrom antyspamowym, systemom monitorowania i zasadom bezpieczeństwa narzuconym przez administratorów. Prywatny komunikator już nie.
W grupach pracowniczych prowadzonych na komunikatorach przetwarzane są dane wartościowe dla atakujących: ustalenia operacyjne, dane kontrahentów, informacje o trasach i ładunkach, dane finansowe. Zdobycie dostępu do takiej grupy lub skuteczne podszywanie się pod jednego z jej uczestników otwiera atakującemu szeroki dostęp do wrażliwych informacji organizacyjnych.
Skala tego zjawiska była na tyle poważna, że pełnomocnik rządu ds. cyberbezpieczeństwa wydał w 2025 roku dwa osobne komunikaty ostrzegawcze dotyczące kampanii phishingowych wymierzonych w użytkowników komunikatora Signal w Polsce – w maju i we wrześniu. Mechanizm polegał na podszywaniu się pod oficjalne konto Signal i wyłudzaniu kodów weryfikacyjnych w celu przejęcia kont.
Łańcuch dostaw jako główna brama do infrastruktury krytycznej
Sprawozdanie dokumentuje wyraźną zmianę strategii po stronie atakujących, która ma kluczowe znaczenie dla firm z branży TSL obsługujących operatorów infrastruktury krytycznej lub działających jako ich podwykonawcy.
Dobrze zabezpieczone podmioty kluczowe stają się coraz trudniejszymi celami bezpośrednich ataków. W odpowiedzi adwersarze kierują się w stronę słabiej chronionych kontraktorów i zewnętrznych dostawców usług IT oraz technologii operacyjnej – kompromitacja pojedynczego dostawcy lub serwisanta daje dostęp do środowisk informatycznych wielu instytucji rządowych i operatorów infrastruktury krytycznej jednocześnie.
CSIRT GOV potwierdza intensyfikację tego trendu: w 2025 roku zidentyfikowano ataki skoncentrowane na urządzeniach brzegowych infrastruktury zewnętrznych serwisantów – stacjach roboczych pracowników firm obsługujących podmioty krytyczne. Osoby takie stanowią punkt styku między organizacjami: mają autoryzowany dostęp, korzystają z połączeń serwisowych i często posiadają uprawnienia administracyjne w systemach klientów.
Trzeci z zespołów – CSIRT MON – wskazuje z kolei, że dostawcy usług chmurowych stają się szczególnie atrakcyjnymi celami z uwagi na efekt skali: jedna skuteczna kompromitacja usługi chmurowej może zapewnić dostęp do danych i systemów wielu organizacji klienckich jednocześnie. Poprzez przejęcie takiego dostawcy możliwa jest instalacja złośliwego oprogramowania, kradzież danych logowania i prowadzenie działań szpiegowskich – bez bezpośredniego ataku na docelową organizację.
Małe i średnie firmy TSL – nowa kategoria celów
Sprawozdanie resortu cyfryzacji precyzyjnie opisuje zmianę w profilowaniu ofiar, która dotyczy bezpośrednio znacznej części polskiej branży transportowej.
Małe i średnie przedsiębiorstwa były dotychczas uznawane za cele niższego priorytetu. W 2025 roku ta kalkulacja uległa zmianie: są one coraz częściej rozpoznawane jako wartościowe wektory ataku – zarówno dla bezpośredniego zysku finansowego, jak i jako droga do strategicznego dostępu do większych organizacji w łańcuchu wartości.
Przyczyna jest operacyjna: małe organizacje dysponują mniejszymi zasobami na ochronę, ograniczonym dedykowanym personelem bezpieczeństwa, przestarzałym oprogramowaniem i sprzętem, nieadekwatnymi procedurami tworzenia kopii zapasowych oraz niewystarczającymi szkoleniami z zakresu świadomości bezpieczeństwa.
Zautomatyzowane narzędzia skanujące sprawdzają internet w poszukiwaniu firm korzystających ze słabych lub domyślnych haseł, błędnie skonfigurowanych usług chmurowych i nieaktualizowanego oprogramowania. Wyniki są katalogowane i sprzedawane na forach przestępczych, tworząc, jak określa sprawozdanie, “trwały krajobraz zagrożeń, w którym małe organizacje napotykają niemal ciągłą presję ataków”.
Cyberprzestępczość jako usługa
Gwałtowny wzrost liczby i skuteczności ataków nie wynika wyłącznie z AI. Równoległym czynnikiem jest dojrzałość modelu Cybercrime-as-a-Service (CaaS): ekosystemu, w którym specjalistyczne narzędzia przestępcze są dostępne jako usługi subskrypcyjne dla podmiotów bez zaawansowanych kompetencji technicznych.
W ramach tego ekosystemu funkcjonują: Ransomware-as-a-Service (gotowe zestawy do przeprowadzenia ataku szyfrującego), phishing-as-a-service (gotowe kampanie wyłudzające dane), oraz brokerzy dostępu początkowego (IAB) podmioty, które w sposób nieautoryzowany uzyskują wejście do systemów firm, a następnie sprzedają ten dostęp innym grupom przestępczym po relatywnie niskich cenach na nielegalnych forach.
Model ten radykalnie obniżył barierę wejścia. Przeprowadzenie skutecznego ataku ransomware na firmę transportową nie wymaga już dziś zaawansowanych umiejętności technicznych. Wystarczy gotowość do zapłacenia za gotowe narzędzia i zakupionego wcześniej dostępu do docelowej sieci.
Ataki ransomware pozostają jednym z najbardziej niszczycielskich zagrożeń. Opierają się na mechanizmie podwójnego – a niekiedy potrójnego – wymuszenia: szyfrowanie systemów połączone z kradzieżą danych i groźbą ich publikacji w darknecie, a w bardziej zaawansowanych wariantach – z szantażem wymierzonym w klientów i partnerów biznesowych ofiary.
Pięć działań, które warto podjąć już teraz
Sprawozdanie, zarówno w opisach incydentów, jak i w rekomendacjach operacyjnych CSIRT-ów, wskazuje konkretne działania o udowodnionym znaczeniu prewencyjnym:
- Weryfikacja tożsamości innym kanałem. Każda prośba o przelew, zmianę danych bankowych lub udostępnienie poufnych informacji, która nadeszła przez e-mail lub komunikator, powinna być potwierdzana telefonicznie – na znany wcześniej numer, nie ten podany w wiadomości. To podstawowa obrona przed CEO fraud wspieranym przez deepfake.
- Formalna polityka wobec komunikatorów prywatnych. Przenoszenie korespondencji służbowej na Signal czy WhatsApp na prośbę zewnętrznego rozmówcy powinno być traktowane jako sygnał alarmowy. CSIRT GOV rekomenduje inwentaryzację danych przetwarzanych w grupach pracowniczych na komunikatorach i wdrożenie zasad ograniczających ten kanał.
- Regularne aktualizacje oprogramowania i sprzętu. Trzy z siedmiu komunikatów pełnomocnika ds. cyberbezpieczeństwa wydanych w 2025 roku dotyczyły krytycznych podatności w konkretnym oprogramowaniu (Roundcube, Cisco). Zautomatyzowane skanery przestępcze aktywnie poszukują firm korzystających z nieaktualizowanych systemów.
- Inwentaryzacja urządzeń zewnętrznych i dostępów serwisowych. CSIRT GOV wprost rekomenduje prowadzenie rejestru urządzeń podłączonych do infrastruktury w ramach prac serwisowych. Każdy zewnętrzny technik lub dostawca usług IT z dostępem do systemów firmy to potencjalny wektor ataku.
- Skaner moje.cert.pl (system Artemis). Bezpłatne narzędzie rządowe do proaktywnego skanowania podatności własnej infrastruktury z automatycznymi powiadomieniami. Umożliwia identyfikację słabych punktów zanim zrobi to skaner przestępczy.








