Raport CERT Polska 2026: phishing nie zwalnia. Co firmy powinny zrobić już teraz?

Najnowsze raporty CERT Polska pokazują, że liczba incydentów cyberbezpieczeństwa utrzymuje się na bardzo wysokim poziomie, a cyberprzestępcy coraz skuteczniej wykorzystują socjotechnikę, fałszywe strony logowania oraz przejęte konta użytkowników. Dla wielu organizacji największym zagrożeniem nie jest już zaawansowany haker, lecz zwykła wiadomość e-mail, która trafia do niewłaściwej osoby.

Dlaczego raport CERT Polska powinien zainteresować zarząd i właścicieli firm?

Cyberbezpieczeństwo przestało być tematem wyłącznie dla działów IT. Dziś pojedynczy incydent może oznaczać zatrzymanie produkcji, utratę dostępu do systemów ERP, wyciek danych klientów lub paraliż komunikacji wewnętrznej.

CERT Polska regularnie publikuje miesięczne raporty podsumowujące sytuację w polskiej cyberprzestrzeni. Dane z pierwszych miesięcy 2026 roku pokazują, że liczba zgłoszeń utrzymuje się na poziomie kilkudziesięciu tysięcy miesięcznie. W marcu 2026 zespół otrzymał ponad 62 tysiące zgłoszeń, natomiast w lutym ponad 51 tysięcy.

Jeszcze bardziej wymowny jest raport roczny za 2025 rok. CERT Polska zarejestrował ponad 260 tysięcy incydentów bezpieczeństwa, co oznacza wzrost o ponad 150% rok do roku. Aż 97% wszystkich obsługiwanych incydentów stanowiły różnego rodzaju oszustwa internetowe.

Dla biznesu oznacza to jedną rzecz: prawdopodobieństwo zetknięcia się z próbą ataku jest dziś bardzo wysokie. Pytanie nie brzmi już „czy”, ale „kiedy”.

Co obecnie atakuje polskie firmy?

Analizując raporty CERT Polska, można zauważyć wyraźny trend. Dominują ataki wykorzystujące człowieka jako najsłabsze ogniwo.

Najczęściej spotykane scenariusze obejmują:

• fałszywe strony logowania Microsoft 365 i Google Workspace,
• podszywanie się pod banki, kurierów i kontrahentów,
• przejmowanie skrzynek e-mail i prowadzenie dalszych oszustw z wykorzystaniem zaufanego nadawcy,
• wyłudzanie danych uwierzytelniających,
• złośliwe załączniki dostarczające malware lub ransomware.

Z perspektywy administratora sieci szczególnie niebezpieczne są sytuacje, gdy cyberprzestępca przejmie konto Microsoft 365 lub Google Workspace. W takim przypadku nie musi nawet instalować złośliwego oprogramowania. Wystarczy dostęp do poczty, aby analizować faktury, przechwytywać korespondencję handlową czy podszywać się pod pracowników firmy.

W praktyce BOIT regularnie spotyka organizacje, które inwestują w nowoczesne firewalle i zabezpieczenia sieciowe, a jednocześnie nie mają włączonego MFA dla wszystkich użytkowników poczty. To nadal jeden z najczęstszych błędów obserwowanych podczas audytów bezpieczeństwa.

Warstwa techniczna – jak wyglądają współczesne kampanie phishingowe?

Dzisiejszy phishing znacząco różni się od tego sprzed kilku lat.

Kiedyś fałszywe wiadomości były pełne błędów językowych i łatwo było je rozpoznać. Obecnie przestępcy korzystają z automatyzacji, tłumaczeń wysokiej jakości oraz narzędzi generujących treści bardzo zbliżone do prawdziwej komunikacji biznesowej.

Typowy przebieg ataku wygląda następująco:

1. Użytkownik otrzymuje wiadomość dotyczącą faktury, dokumentu lub udostępnionego pliku.
2. Link prowadzi do strony łudząco podobnej do Microsoft 365.
3. Dane logowania trafiają bezpośrednio do przestępców.
4. Atakujący loguje się do skrzynki.
5. Tworzone są reguły ukrywające wiadomości ostrzegawcze.
6. Rozpoczyna się dalsza eskalacja, często obejmująca wyłudzenia finansowe.

Coraz częściej obserwowane są również kampanie wykorzystujące przejęte konta biznesowe. Dzięki temu wiadomość przychodzi od realnego partnera handlowego, co znacząco zwiększa skuteczność ataku.

CERT Polska wskazuje także na stały rozwój infrastruktury phishingowej. Tylko w 2025 roku na Listę Ostrzeżeń trafiło ponad 250 tysięcy niebezpiecznych domen, a zablokowano ponad 140 milionów prób wejścia na złośliwe strony.

To pokazuje skalę problemu, z którym mierzą się zarówno użytkownicy indywidualni, jak i przedsiębiorstwa.

Dlaczego sam antywirus już nie wystarcza?

W wielu organizacjach nadal funkcjonuje przekonanie, że zakup programu antywirusowego rozwiązuje temat bezpieczeństwa.

Niestety rzeczywistość wygląda inaczej.

Większość współczesnych ataków wykorzystuje prawidłowe dane logowania użytkownika. Z punktu widzenia systemu operacyjnego osoba logująca się do Microsoft 365 czy VPN wygląda jak legalny użytkownik.

Dlatego współczesna architektura bezpieczeństwa opiera się na kilku warstwach:

• MFA dla wszystkich użytkowników,
• EDR/XDR monitorujący zachowanie stacji roboczych,
• segmentacja sieci,
• filtrowanie DNS i ruchu internetowego,
• monitoring logów i zdarzeń bezpieczeństwa,
• regularne kopie zapasowe,
• szkolenia użytkowników.

Dodatkowo organizacje objęte NIS2 oraz Krajowym Systemem Cyberbezpieczeństwa coraz częściej wdrażają rozwiązania SIEM oraz usługi SOC pozwalające wykrywać incydenty zanim doprowadzą do realnych strat.

Wnioski i dobre praktyki dla firm

Jeżeli firma chce ograniczyć ryzyko skutecznego ataku, warto rozpocząć od kilku podstawowych działań:

• wymusić MFA dla wszystkich kont pocztowych i administracyjnych,
• przeprowadzić audyt uprawnień użytkowników,
• wdrożyć EDR zamiast klasycznego antywirusa,
• sprawdzić poprawność konfiguracji SPF, DKIM i DMARC,
• przeprowadzać regularne testy phishingowe,
• wdrożyć monitoring bezpieczeństwa infrastruktury,
• wykonywać regularne testy odtwarzania kopii zapasowych.

Warto pamiętać, że większość skutecznych incydentów nie wynika z zaawansowanych podatności typu zero-day. Znacznie częściej przyczyną jest błędna konfiguracja, brak uwierzytelniania wieloskładnikowego lub nieświadomy użytkownik.

Jak BOIT może pomóc?

Raporty CERT Polska jednoznacznie pokazują, że ochrona pojedynczego elementu infrastruktury nie wystarcza. Bezpieczeństwo musi obejmować użytkowników, sieć, serwery, pocztę oraz monitoring.

W BOIT pomagamy organizacjom budować takie środowiska poprzez:

• audyty bezpieczeństwa infrastruktury IT,
• wdrożenia FortiGate i innych systemów NGFW,
• segmentację sieci i architekturę Zero Trust,
• wdrożenia Microsoft 365 z MFA i politykami bezpieczeństwa,
• wdrożenia EDR/XDR,
• budowę systemów monitoringu Zabbix, SIEM i SOC,
• testy bezpieczeństwa oraz analizę podatności,
• opracowanie procedur zgodnych z NIS2 i KSC.

Dzięki temu organizacja nie tylko zmniejsza ryzyko skutecznego ataku, ale również skraca czas wykrycia i reakcji na incydent.

Źródła i dalsza lektura

• CERT Polska – Raporty miesięczne i publikacje
• CERT Polska – Raport roczny 2025
• NASK – Prawie 2 tys. zgłoszeń każdego dnia. Raport CERT Polska za 2025 rok
• CISA – Phishing Guidance and Resources
• NIST Cybersecurity Framework 2.0