BlogPoradnik

Cyberatak — rodzaje, scenariusze i ochrona firmy

Cyberatak może kosztować firmę miliony. Poznaj rodzaje cyberataków, realne scenariusze i sprawdzone metody ochrony. Sprawdź, jak działa SOC.

SecIQ Team10 min czytania

Kluczowe wnioski

  • W 2025 roku CERT Polska odnotował ponad 100 000 zgłoszeń incydentów — wzrost o 35% rok do roku
  • Najczęstsze cyberataki na firmy to phishing (82% naruszeń), ransomware i ataki na łańcuch dostaw
  • Średni koszt naruszenia danych w Europie to 4,5 mln EUR — małe firmy tracą proporcjonalnie więcej
  • Monitoring 24/7 przez SOC skraca czas wykrycia ataku z 204 dni do poniżej 24 godzin

204 dni — tyle trwa średnio od włamania do jego wykrycia

Nie od włamania do naprawienia. Od włamania do samego zauważenia, że ktoś jest w sieci. Prawie dziesięć miesięcy. W tym czasie atakujący porusza się po infrastrukturze, eskaluje uprawnienia, czyta pocztę, kradnie dane. A firma funkcjonuje normalnie, nie wiedząc, że ma intruza.

Ta liczba z raportu IBM Cost of a Data Breach 2025 nie dotyczy małych firm z jednym serwerem. To średnia dla organizacji bez dedykowanego monitoringu bezpieczeństwa. Z monitoringiem SOC ten czas spada poniżej 24 godzin. Różnica między dziesięcioma miesiącami a jednym dniem — to jest właśnie różnica, o której warto rozmawiać.

Czym jest cyberatak w praktyce

Określenie „cyberatak" jest pojemne i często nadużywane. Obejmuje wszystko od automatycznego skanera próbującego domyślnych haseł po wielomiesięczną operację szpiegowską sponsorowaną przez państwo.

W kontekście polskich firm MŚP — od 25 do 500 komputerów — cyberatak to najczęściej jedno z trzech:

  1. Phishing prowadzący do przejęcia konta — ktoś kliknął, podał dane, atakujący ma dostęp do poczty i plików
  2. Ransomware — zaszyfrowanie danych i żądanie okupu, często połączone z kradzieżą danych przed szyfrowaniem
  3. Atak przez dostawcę IT — włamanie do firmy zarządzającej infrastrukturą klienta, co daje dostęp do dziesiątek organizacji naraz

Reszta — DDoS, zero-day, zagrożenia wewnętrzne — istnieje i jest realna, ale statystycznie stanowi mniejszą część incydentów w segmencie MŚP. Nie znaczy to, że można je ignorować. Znaczy to, że priorytetyzacja ma sens.

CERT Polska w 2025 roku odnotował ponad 100 000 zgłoszeń incydentów — wzrost o 35% rok do roku. Największa kategoria: phishing i socjotechnika.

Phishing — 82% naruszeń zaczyna się od człowieka

Raport Verizon DBIR 2025 jest w tej kwestii jednoznaczny: 82% naruszeń bezpieczeństwa w firmach zaczyna się od socjotechniki. Ktoś otworzył załącznik. Ktoś kliknął link. Ktoś podał dane logowania na fałszywej stronie.

W 2026 roku phishing nie wygląda jak spam z błędami ortograficznymi. Modele AI generują wiadomości perfekcyjne językowo, z firmowym żargonem, nawiązaniem do realnych projektów. Więcej o aktualnych technikach piszemy w artykule Phishing w 2026 — od masowych kampanii do chirurgicznych operacji.

Warianty, które widzimy najczęściej:

  • Spear phishing i BEC — celowany atak na konkretną osobę, często dyrektora finansowego. FBI IC3 raportuje średnią stratę z BEC na poziomie 125 000 USD na incydent. Więcej w artykule Business Email Compromise — jak rozpoznać
  • Vishing — phishing głosowy z klonowaniem głosu przełożonych przez narzędzia deepfake
  • Quishing — phishing z kodem QR, omija tradycyjne filtry URL. Wzrost 340% rok do roku (Abnormal Security 2025)

Ransomware — biznes, który się skaluje

Ransomware to nie jest nowy problem, ale jego model biznesowy — tak. Ransomware-as-a-Service (RaaS) działa jak franczyza: twórcy oprogramowania udostępniają narzędzia i infrastrukturę „partnerom", którzy przeprowadzają ataki, płacąc 20-30% prowizji od okupu.

Efekt: próg wejścia spadł drastycznie. Nie trzeba być ekspertem, żeby zaszyfrować firmę.

Dane za 2025:

  • 76% ataków ransomware rozpoczyna się w nocy, weekendy lub święta (Sophos State of Ransomware 2025)
  • Średni okup w Europie: 250 000 – 1 500 000 EUR
  • 30% ofiar, które zapłaciły okup, nie odzyskało danych
  • 68% ataków obejmuje podwójne wymuszenie — szyfrowanie plus groźba publikacji skradzionych danych

Szczegółowa analiza w artykule Ransomware w 2026 — statystyki, trendy i co to oznacza dla polskich firm. Co robić w pierwszych godzinach po ataku — 48h po ataku ransomware.

Ataki na łańcuch dostaw — jedno włamanie, dziesiątki ofiar

To jest wektor, który rośnie najszybciej i jest najtrudniejszy do kontrolowania. Zamiast atakować dobrze chronioną firmę bezpośrednio, atakujący włamuje się do jej dostawcy — firmy zarządzającej IT, producenta oprogramowania, biura rachunkowego z VPN-em do sieci klienta.

Precedensy mówią same za siebie:

  • SolarWinds (2020) — zainfekowanie aktualizacji oprogramowania Orion dotknęło 18 000 organizacji, w tym agencje rządowe USA
  • Kaseya VSA (2021) — atak na platformę do zarządzania IT dla MSP pozwolił zaszyfrować systemy 1 500 firm jednocześnie
  • MOVEit (2023) — luka w narzędziu do transferu plików dotknęła setki organizacji w Europie i USA

ENISA klasyfikuje ataki supply chain jako jedno z pięciu największych zagrożeń w Europie. KSC 2.0 nie bez powodu wymaga nadzoru nad dostawcami.

Z incydentów, które obserwujemy: w 2025 roku widzieliśmy przypadki, gdzie atak na firmę 50-osobową był przyczółkiem do ataku na firmę 500-osobową. Mniejsza firma miała VPN do sieci większej — bez MFA, bez segmentacji, bez monitoringu. Jedno skompromitowane konto dało dostęp do całej infrastruktury.

DDoS, zero-day, insider threats — reszta pejzażu

Krótko, bo te zagrożenia dotyczą MŚP rzadziej, ale ignorowanie ich byłoby nieodpowiedzialne.

DDoS — przeciążenie infrastruktury ruchem sieciowym. W Polsce nasiliły się od 2022 roku, szczególnie ataki grup haktywistycznych powiązanych z Rosją na instytucje publiczne i banki. Dla firm e-commerce przestój kosztuje 5 000 – 100 000 EUR/godzinę (Cloudflare Radar 2025). Obrona: CDN, scrubbing, rate limiting.

Zero-day — exploity na luki, dla których nie istnieje łatka. Google TAG odnotował 97 aktywnie wykorzystywanych w 2025 roku. Obrona: detekcja behawioralna (nie sygnaturowa), szybkie patchowanie po wydaniu poprawki, segmentacja ograniczająca blast radius.

Zagrożenia wewnętrzne — pracownik kopiujący bazę klientów przed odejściem, przypadkowe udostępnienie poufnego pliku, użycie niezabezpieczonego urządzenia. Ponemon Institute szacuje średni koszt na 15,4 mln USD rocznie na organizację, ale to dane z dużych firm. Dla MŚP skala jest mniejsza, ryzyko realne.

Jak wygląda atak od środka — nie teoria, lecz typowy przebieg

Model Cyber Kill Chain (Lockheed Martin) rozszerzony o taktyki MITRE ATT&CK opisuje etapy, przez które przechodzi większość ataków. Warto je znać nie po to, żeby zostać analitykiem, ale żeby rozumieć, gdzie można atak zatrzymać.

Rozpoznanie — atakujący zbiera informacje: profile LinkedIn pracowników, technologie na stronie firmowej, publiczne DNS-y, porty. Trwa dni do tygodni. Firma tego nie widzi.

Dostarczenie — e-mail phishingowy, zainfekowana strona, exploit na publicznie dostępnym serwerze. Tu działają filtry poczty i szkolenia pracowników.

Eksploitacja i instalacja — złośliwy kod uruchomiony, backdoor zainstalowany. Tu reaguje EDR/XDR — o ile jest wdrożony i ktoś patrzy na alerty.

Kurs online

Kurs NIS2 dla zarządów i IT managerów

Poznaj wymagania dyrektywy NIS2, harmonogram wdrożenia i kary. 4 moduły, certyfikat ukończenia.

Zapisz się na kurs

Ruch boczny i eskalacja — atakujący przemieszcza się po sieci, szuka kont administratorskich, backupów, danych. To jest moment, w którym SOC ma największą szansę wykrycia. Anomalne logowania, nietypowy ruch między segmentami, eskalacja uprawnień — to wszystko generuje sygnały, które analityk potrafi rozpoznać.

Realizacja celu — szyfrowanie, kradzież danych, sabotaż. Jeśli atak dotarł do tego etapu niewykryty — straty są duże.

Wniosek jest prosty: im wcześniej wykryjesz atak w tym łańcuchu, tym mniejsze konsekwencje. Różnica między wykryciem na etapie 3 a etapie 6 to różnica między incydentem a katastrofą.

Realne scenariusze — wzorce z polskiego rynku

Poniższe scenariusze bazują na typowych przebiegach incydentów w polskich firmach MŚP. Nie ujawniamy danych konkretnych firm — opisujemy wzorce, które powtarzają się w raportach CERT Polska i naszej praktyce operacyjnej.

BEC na dział finansowy

Piątek, 15:30. Główna księgowa otrzymuje e-mail od prezesa z prośbą o pilny przelew 180 000 PLN na konto nowego kontrahenta. E-mail wysłany z adresu łudząco podobnego do firmowego, zawiera nawiązanie do prawdziwego projektu.

Bez weryfikacji telefonicznej przelew zostaje zlecony. W poniedziałek okazuje się, że prezes niczego nie wysyłał. Pieniądze — poza Polską. Nieodwracalnie.

Czas ataku: 2 godziny. Strata: 180 000 PLN. Procedura, która by to zatrzymała: weryfikacja telefoniczna na numer z bazy kontaktowej, nie z e-maila.

Ransomware przez RDP w sobotę o 3 w nocy

Niezabezpieczony port RDP (Remote Desktop Protocol) wystawiony do internetu. Atakujący uzyskuje dostęp, w ciągu 4 godzin eskaluje uprawnienia do administratora domeny, wyłącza kopie zapasowe, szyfruje 47 serwerów.

W poniedziałek rano: komunikat z żądaniem 50 BTC (ok. 3 mln PLN). Koszt odzyskiwania: 800 000 PLN. Przestój: 3 tygodnie.

Z SOC pracującym 24/7 — podejrzane logowanie przez RDP z nieznanego IP o 3 w nocy zostałoby wykryte w minutach. Konto zablokowane, endpoint izolowany. Incydent zamiast katastrofy.

Supply chain przez dostawcę IT

Atakujący kompromituje firmę zarządzającą IT (MSP) obsługującą 30 klientów. Przez narzędzie do zdalnego zarządzania (RMM) uzyskuje dostęp do sieci wszystkich klientów jednocześnie. Instaluje ransomware na serwerach 12 z 30 firm.

Szacowany koszt łączny: 15-25 mln PLN. Żadna z poszkodowanych firm nie wiedziała, jak zabezpieczony jest ich dostawca IT. KSC 2.0 wymaga teraz, żeby wiedziały.

Ochrona — cztery filary, nie jedno narzędzie

Kupowanie kolejnego produktu bezpieczeństwa bez ludzi i procedur, którzy go obsługują, to jak zakup najlepszego systemu alarmowego bez firmy ochroniarskiej reagującej na alarm. Alerty leżą nieprzeczytane. Logi nikt nie analizuje.

W SecIQ stosujemy model czterech filarów. Każdy pokrywa inny aspekt ryzyka.

Ludzie

Szkolenia security awareness — regularne, z symulacjami phishingu, nie raz w roku na zaliczenie. Jasne procedury weryfikacji przelewów. Kultura, w której pracownik zgłaszający podejrzany e-mail jest nagrodzony, nie krytykowany. Zasada least privilege — dostęp tylko do tego, co potrzebne do pracy.

Technologia

MFA odporne na phishing (klucze FIDO2/passkeys). EDR/XDR na endpointach — detekcja behawioralna, nie tylko sygnaturowa. Segmentacja sieci ograniczająca ruch boczny. SIEM z regułami korelacji. Backup 3-2-1 — trzy kopie, dwa nośniki, jedna offline.

Procedury

Plan reagowania na incydenty — przetestowany, nie tylko napisany. Regularne testy penetracyjne. Kwartalne przeglądy dostępów. Zgodność z KSC 2.0 i RODO jako framework porządkujący, nie checkbox do odhaczenia.

AI i automatyzacja

Analiza behawioralna (UEBA) wykrywająca anomalie w zachowaniu użytkowników. Automatyczne reagowanie — izolacja zainfekowanego endpointa w sekundach, nie godzinach. Korelacja z bazami IOC i feedami threat intelligence. Priorytetyzacja alertów — AI odsiewa fałszywe alarmy, analityk skupia się na tym, co realne.

AI nie zastępuje analityka. Wzmacnia go. Analityk, który ręcznie przegląda setki alertów dziennie, traktuje alert o 3 w nocy inaczej niż ten o 9 rano. AI przegląda je z tą samą dokładnością przez całą dobę.

Co robić, gdy dojdzie do ataku

Nawet najlepsza obrona nie gwarantuje 100% bezpieczeństwa — bo takie nie istnieje. Plan reagowania jest równie ważny jak prewencja.

Pierwsze 60 minut: Nie wyłączaj systemów (zachowaj dowody). Izoluj skompromitowane systemy — odetnij od sieci, ale nie wyłączaj. Powiadom zespół reagowania. Dokumentuj czas wykrycia i podjęte działania.

Pierwsze 24 godziny: Określ zakres naruszenia. Zablokuj wektor ataku — zmiana haseł, dezaktywacja skompromitowanych kont. Powiadom CERT Polska. Przy danych osobowych — notyfikacja UODO w 72h (RODO). KSC 2.0 wymaga raportowania incydentów poważnych w 24 godziny od wykrycia.

Szczegółowy poradnik: 48h po ataku ransomware — krok po kroku.

SOC — dlaczego zespół, a nie kolejne narzędzie

Metryki mówią jasno:

Bez SOC Z SOC
Czas wykrycia naruszenia 204 dni < 24 godziny
Reakcja na alert krytyczny Następny dzień roboczy < 15 minut
Monitoring Godziny pracy 24/7/365
Analiza alertów Sporadyczna lub żadna Ciągła, z priorytetyzacją
Raportowanie KSC 2.0 Trudne do dotrzymania Wbudowane w procesy

W SecIQ SOC operatorzy znają infrastrukturę każdego klienta. To nie jest anonimowy L1, który czyta z playbooka. Dedykowany analityk wie, co jest normalne w Twojej sieci — i reaguje, gdy widzi coś, co normalne nie jest.

Szczegóły naszego podejścia: Usługa SOC — monitoring, wykrywanie, reakcja.

Więcej o typach ataków — w naszej Encyklopedii ataków.

Źródła

FAQ

Jakie są najczęstsze rodzaje cyberataków na firmy w Polsce?
Najczęstsze cyberataki na polskie firmy to phishing i spear phishing (82% naruszeń zaczyna się od socjotechniki), ransomware (szczególnie model podwójnego wymuszenia), ataki na łańcuch dostaw przez dostawców IT oraz Business Email Compromise. CERT Polska w 2025 roku odnotował ponad 100 000 zgłoszeń incydentów.
Ile kosztuje cyberatak firmę?
Średni koszt naruszenia danych w Europie to 4,5 mln EUR. Polskie firmy MŚP tracą średnio 500 000 - 2 000 000 PLN na sam przestój operacyjny. Do tego dochodzą kary regulacyjne (KSC 2.0 przewiduje do 10 mln EUR), koszty odzyskiwania danych, utrata klientów i szkody reputacyjne.
Jak się chronić przed cyberatakami?
Skuteczna ochrona wymaga podejścia warstwowego: monitoring 24/7 przez SOC, segmentacja sieci, MFA odporne na phishing (FIDO2), regularne szkolenia pracowników, kopie zapasowe w modelu 3-2-1, plan reagowania na incydenty i ciągłe zarządzanie podatnościami. Żadne pojedyncze narzędzie nie wystarczy.
SECIQ

SecIQ Team

Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą.

O zespole →

Powiązane artykuły

Poradnik

Cyberbezpieczeństwo dla firm — kompletny przewodnik 2026

12 min czytania

Poradnik

KSC 2.0 — ustawa o krajowym systemie cyberbezpieczeństwa

10 min czytania

Poradnik

SOC as a Service — co to jest, ile kosztuje, jak wybrać?

7 min czytania
Wróć do bloga