Raport CERT Polska 2025: phishing i oszustwa rosną szybciej niż cierpliwość firm

2026-04-08

TL;DR

Raport CERT Polska za 2025 rok nie zostawia wielu złudzeń. Skala incydentów rośnie, ale jeszcze ważniejsze jest to, co dominuje w tej strukturze. Nie najbardziej egzotyczne ataki, lecz oszustwa komputerowe, phishing, smishing i scenariusze nastawione na wyłudzenie danych albo pieniędzy. Dla firm to bardzo praktyczny sygnał. Jeżeli chcą realnie ograniczać ryzyko, nie wystarczy inwestować wyłącznie w technologię. Trzeba szkolić ludzi i regularnie sprawdzać, jak reagują w scenariuszach, które wyglądają prawie normalnie.

Co naprawdę pokazują dane CERT Polska

Oficjalne podsumowanie CERT Polska za 2025 rok mówi o 658 320 zgłoszeniach i 260 783 unikalnych incydentach bezpieczeństwa. Rok do roku liczba zarejestrowanych incydentów wzrosła o 152 proc. Sama dynamika robi wrażenie, ale ważniejsza jest struktura. Aż 97 proc. incydentów stanowiły oszustwa komputerowe, w tym phishing, oszustwa inwestycyjne i różne formy wyłudzania danych oraz pieniędzy.

To właśnie ten punkt powinien wybrzmieć najmocniej. Gdy prawie cały krajobraz incydentów jest zdominowany przez oszustwa, nie da się mówić o cyberbezpieczeństwie wyłącznie językiem podatności, zapór czy konfiguracji. Oczywiście te elementy są potrzebne, ale raport pokazuje coś bardziej podstawowego. Napastnicy bardzo często nie próbują już wygrać wyłącznie z systemem. Próbują wygrać z decyzją człowieka.

Phishing to nie margines, tylko rdzeń problemu

Według danych przywoływanych przez NASK około 30 proc. wszystkich zarejestrowanych zdarzeń stanowiły próby wyłudzenia poufnych danych, czyli phishing. Mówimy więc o skali rzędu około 78 tys. przypadków. To nie jest pojedynczy trend, który można schować w przypisie. To jedna z największych grup zagrożeń, z jakimi w praktyce stykają się użytkownicy i organizacje w Polsce.

W raporcie dobrze widać też, że phishing nie działa w próżni. CERT Polska wskazuje, że cyberprzestępcy bardzo chętnie podszywali się pod znane platformy handlowe. W zestawieniu szczególnie często pojawiały się OLX i Allegro. To ważna wskazówka, bo pokazuje, że skuteczność oszustwa nadal bierze się z wiarygodnego kontekstu, a nie z technicznej finezji samej wiadomości. Użytkownik widzi coś, co zna, ufa temu i podejmuje działanie szybciej niż powinien.

Właśnie dlatego phishing warto traktować szerzej niż tylko fałszywy mail z linkiem. To może być wiadomość SMS, podszycie pod marketplace, fałszywa płatność, przejęty wątek korespondencji albo dobrze osadzona prośba o logowanie. Jeśli chcesz uporządkować ten mechanizm od podstaw, zobacz materiał co to jest phishing. Jeżeli chcesz zobaczyć, jak to wygląda w mobilnym kanale, dobrym uzupełnieniem będzie też smishing: SMS phishing - zagrożenie dla firm i użytkowników.

Smishing i Lista Ostrzeżeń pokazują dwie strony tego samego zjawiska

Raport jest ciekawy także dlatego, że pokazuje nie tylko skalę zagrożeń, ale również skuteczność mechanizmów ochronnych. W 2025 roku na Listę Ostrzeżeń trafiło blisko 250 tys. złośliwych domen, a współpraca z operatorami pozwoliła zablokować około 140 mln prób wejścia na niebezpieczne strony. To oznacza średnio cztery zablokowane wejścia na sekundę.

Podobnie wygląda sytuacja po stronie SMS-ów. System 8080 otrzymał ponad 350 tys. wiadomości do analizy, z czego ponad 80 tys. uznano za szkodliwe. CERT Polska opracował 790 wzorców kampanii smishingowych, a na ich podstawie zablokowano dostarczenie blisko 1,88 mln złośliwych wiadomości SMS.

To dobra wiadomość, ale tylko częściowo. Dane pokazują, że systemowa obrona działa i realnie ogranicza skalę szkód. Jednocześnie równie wyraźnie pokazują, że problem nie znika. Jeżeli co roku trzeba blokować tak ogromną liczbę domen i wiadomości, to znaczy, że napastnicy nie mają problemu ze skalowaniem swoich kampanii. W praktyce oznacza to, że organizacja nie może liczyć wyłącznie na to, że wszystko zatrzyma się przed użytkownikiem.

Dlaczego z tych danych wynika potrzeba szkoleń i testów

Najciekawszy wniosek nie dotyczy więc tylko samych liczb. Dotyczy tego, co one oznaczają dla codziennego funkcjonowania firmy. Jeżeli dominującą kategorią zagrożeń są oszustwa, to bezpieczeństwo organizacji zależy nie tylko od tego, czy ktoś wdrożył właściwe narzędzie, ale też od tego, jak ludzie reagują na presję, podszycie i nietypowy kontekst.

Tu właśnie pojawia się sens szkoleń i testów. Nie jako ozdobnika do polityki bezpieczeństwa, ale jako warstwy operacyjnej. Człowiek musi umieć zrobić trzy rzeczy. Zauważyć sygnał ostrzegawczy. Zatrzymać odruch działania. Wiedzieć, komu i jak zgłosić sytuację, zanim z drobnego błędu zrobi się incydent. To podejście szerzej opisaliśmy już we wpisie dlaczego security awareness stał się elementem cyberodporności organizacji.

Regularne szkolenia są potrzebne, ale same nie wystarczą. Jeżeli organizacja chce wiedzieć, czy program działa, musi testować ludzi na realistycznych scenariuszach. Nie po to, by ich zawstydzać, ale po to, by sprawdzić, gdzie pęka proces. Czy użytkownicy zgłaszają podejrzane wiadomości. Czy rozpoznają presję. Czy potrafią odróżnić rutynową sprawę od próby wyłudzenia. Czy menedżerowie nie obchodzą własnych zasad pod wpływem pośpiechu.

Technologia sama nas nie obroni i to nie jest pusty slogan

To, co wynika z raportu, dobrze wzmacnia też komunikat NASK ze SECURE 2026. Wprost padło tam, że cyberbezpieczeństwo zaczyna się i kończy na człowieku. To nie brzmi efektownie tylko na scenie konferencyjnej. To po prostu logiczna konsekwencja liczb z raportu CERT Polska.

Jeżeli dominują oszustwa, to technologia pozostaje niezbędna, ale nie domyka całości. Filtr może nie zatrzymać wszystkiego. Blokada może nie objąć każdej nowej domeny. A użytkownik może znaleźć się w sytuacji, w której o wyniku zadecyduje jedna decyzja pod presją chwili. W tym sensie awareness nie jest miękkim dodatkiem do infrastruktury. Jest częścią realnej zdolności obronnej organizacji.

Lekki, ale ważny kontekst DORA i NIS2

Raport CERT Polska nie jest dokumentem regulacyjnym i nie warto robić z niego skrótu do checklist zgodności. Ma jednak duże znaczenie praktyczne dla organizacji, które funkcjonują w realiach NIS2 i DORA. Oba kierunki regulacyjne wzmacniają oczekiwanie, że bezpieczeństwo trzeba budować nie tylko technicznie, ale także procesowo i organizacyjnie. To obejmuje gotowość na incydenty, zarządzanie ryzykiem, podnoszenie świadomości i zdolność do ograniczania wpływu błędów ludzkich.

Dlatego najbezpieczniej czytać ten raport właśnie tak. Nie jako dowód, że prawo każe robić jedną konkretną kampanię phishingową, ale jako bardzo mocny argument, że szkolenia i testowanie ludzi mają sens operacyjny i biznesowy. W świetle tych danych trudno bronić tezy, że awareness można zostawić na końcu listy priorytetów.

Co firmy powinny zrobić z tym raportem

Najgorsze, co można zrobić z takimi danymi, to potraktować je jak ciekawostkę z rynku. Lepsze podejście jest prostsze. Trzeba zadać sobie kilka praktycznych pytań. Czy ludzie wiedzą, jak zgłaszać phishing. Czy ktoś mierzy czas reakcji. Czy szkolenia są cykliczne i osadzone w realnych scenariuszach. Czy testy odporności sprawdzają zachowania, a nie tylko obecność na szkoleniu. Czy menedżerowie i role wysokiego ryzyka są objęci równie serio tym samym procesem co reszta organizacji.

Raport CERT Polska za 2025 rok pokazuje bardzo wyraźnie, że phishing i pokrewne oszustwa nie są już tłem. Są jedną z głównych osi ryzyka. A skoro tak, to szkolenia i testy nie powinny być traktowane jak opcjonalna akcja edukacyjna. Powinny być jednym z normalnych narzędzi budowania cyberodporności.