Ataki ransomware w Polsce nie są już incydentem, który dotyczy wyłącznie największych firm. W 2025 roku odnotowano 179 takich zdarzeń, a ich skutki w praktyce obejmują nie tylko szyfrowanie plików, ale też wyciek danych, przestoje operacyjne i kosztowną odbudowę środowiska. W tym tekście pokazuję, jak wygląda skala problemu, skąd zwykle bierze się infekcja i które działania naprawdę zmniejszają ryzyko.
Najważniejsze fakty na start
- W 2025 roku odnotowano 179 ataków ransomware, czyli więcej niż rok wcześniej, gdy było ich 147.
- Najczęstsze wejście do środowiska to przejęte hasła, wystawione zdalne pulpity i podatne urządzenia brzegowe.
- Nowoczesny ransomware rzadko kończy się na samym szyfrowaniu. Często dochodzi też kradzież danych i presja szantażowa.
- MFA, szybkie łatanie, segmentacja sieci i kopie offline realnie obniżają ryzyko bardziej niż sam zakup kolejnego narzędzia.
- Po wykryciu incydentu liczą się pierwsze minuty: izolacja, zachowanie dowodów i zgłoszenie do odpowiednich zespołów reagowania.
Jak wygląda skala problemu w Polsce
Na tle ponad 260 tysięcy unikalnych incydentów cyberbezpieczeństwa ransomware nie jest najczęstszą kategorią, ale pozostaje jedną z najbardziej kosztownych. W praktyce oznacza to, że organizacja może przez długi czas nie widzieć nic groźnego, a potem stracić dostęp do poczty, plików, systemów biznesowych i kopii zapasowych w jednym uderzeniu. Z mojego punktu widzenia ważne jest też to, że polski krajobraz zagrożeń robi się coraz ostrzejszy: obok klasycznych kampanii wyłudzających dane pojawiają się także destrukcyjne ataki na infrastrukturę przemysłową i energetyczną.
Różnica między „zwykłym” incydentem a realnym kryzysem zwykle nie leży w samym szyfrowaniu, tylko w tym, czy atakujący zdążył wcześniej zdobyć zaufanie środowiska, wykradać dane i przygotować sobie drogę odwrotu. To dlatego sam wolumen zdarzeń nie mówi wszystkiego. Ważniejsze jest to, że nawet pojedynczy udany atak potrafi zatrzymać firmę bardziej niż dziesiątki drobnych incydentów phishingowych. Właśnie od mechaniki wejścia trzeba zacząć analizę.
W praktyce widzę jeszcze jedną rzecz: ransomware przestał być osobnym „problemem IT”, a stał się elementem szerszej ekonomii przestępczej, w której liczy się szybki dostęp, maksymalna presja i możliwie najwyższy koszt po stronie ofiary. To prowadzi nas do pytania, jak naprawdę dochodzi do infekcji.

Jak najczęściej dochodzi do infekcji
Ransomware rzadko zaczyna się od efektownego szyfrowania. Najczęściej atakujący najpierw zdobywa dostęp, a dopiero później przechodzi do wyłudzenia. W części incydentów zdarzało się, że od wystawienia usługi RDP do internetu do infekcji mijało mniej niż dwa tygodnie, więc tempo bywa naprawdę krótkie. To nie jest scenariusz z filmów o hakerach, tylko powtarzalny łańcuch zaniedbań.
Phishing i kradzież poświadczeń
Najtańsza i nadal bardzo skuteczna droga wejścia. Fałszywe logowanie do poczty, podszycie się pod dostawcę, złośliwy załącznik, token sesyjny wyłudzony przez stronę-klon. Jeśli jedno hasło daje dostęp do kilku systemów, atakujący dostaje zbyt dużo za zbyt mało. W mojej ocenie to nadal podstawowy problem wielu organizacji: nie brak skomplikowanych narzędzi, tylko zbyt swobodne obchodzenie się z tożsamością użytkownika.
RDP i VPN wystawione do internetu
Zdalny pulpit i VPN są wygodne, ale bez silnego uwierzytelniania stają się zaproszeniem. W praktyce wystarczy przejęte hasło, słaby mechanizm kontroli dostępu albo brak dodatkowej weryfikacji, by napastnik wszedł do środka jak zwykły pracownik. Najbardziej ryzykowne są te środowiska, w których zdalny dostęp działa „na szybko” od lat, nikt go nie przeglądał, a do tego nie ma ograniczeń czasowych, geograficznych ani alertów o nietypowym logowaniu.
Przeczytaj również: Bezpieczeństwo baz danych - 6 kroków do skutecznej ochrony
Urządzenia brzegowe z niezałatanymi podatnościami
Firewall, gateway, router, appliance do backupu czy filtr poczty to urządzenia, których nie widać na co dzień, ale które często decydują o tym, czy napastnik wejdzie do środka. Gdy luka dotyczy sprzętu brzegowego, sam antywirus nie rozwiązuje problemu. Liczy się szybka aktualizacja albo wyłączenie podatnej usługi. Właśnie dlatego najbardziej opłaca się pilnować tych komponentów, które stoją na styku internetu i sieci wewnętrznej.
Gdy wejście jest już otwarte, atakujący zwykle nie pędzi od razu do szyfrowania, tylko przygotowuje grunt pod maksymalny nacisk.
Co dzieje się po wejściu do sieci
To, co napastnik robi po uzyskaniu dostępu, często jest ważniejsze niż sam plik z okupem. Standardowy scenariusz obejmuje rozpoznanie środowiska, zdobycie wyższych uprawnień, ruch boczny między systemami i dopiero później uruchomienie szyfrowania albo destrukcyjnego ładunku. W nowoczesnych kampaniach presja jest podwójna: najpierw kradzież danych, potem groźba publikacji. To właśnie dlatego mówi się o podwójnym wymuszeniu.
| Etap | Co robi napastnik | Po co to robi |
|---|---|---|
| Rekonesans | Mapuje konta, serwery, backupy i zależności między systemami | Sprawdza, gdzie uderzenie przyniesie największy efekt |
| Eskalacja uprawnień | Przejmuje konta administracyjne lub uprawnienia wysokiego poziomu | Uzyskuje pełniejszą kontrolę nad środowiskiem |
| Ruch boczny | Przemieszcza się między hostami, serwerami plików i kontrolerami domeny | Rozszerza zasięg ataku poza jeden komputer |
| Eksfiltracja danych | Kopiuje dokumenty, bazy danych, dane klientów i dane techniczne | Zwiększa presję szantażową i ryzyko wycieku |
| Sabotaż zabezpieczeń | Wyłącza backupy, usuwa kopie cieni, blokuje narzędzia ochrony | Utrudnia odzyskanie działania po ataku |
| Szyfrowanie lub wiper | Uruchamia kod blokujący dostęp albo niszczący dane | Wymusza decyzję i zatrzymuje operacje |
To właśnie dlatego dobrze zabezpieczona stacja robocza nie wystarczy, jeśli w środku wciąż działa słabo chroniony Active Directory albo backup podłączony do tej samej domeny. Słaby punkt zwykle nie jest jednym komputerem, tylko całym łańcuchem zaufania. I dopiero z takiego scenariusza bierze się prawdziwy koszt, a nie tylko techniczny alert.
Dlaczego koszt ataku wykracza daleko poza okup
W praktyce okup bywa najmniejszą pozycją. Najwięcej kosztują przestój, odbudowa, analiza przyczyny, komunikacja z klientami i ewentualne obowiązki prawne. Jeśli firma produkcyjna lub usługowa nie ma odseparowanych kopii, pełne odtworzenie środowiska potrafi zająć od kilku godzin do kilku tygodni, zwłaszcza gdy trzeba odbudować domenę, konta uprzywilejowane i integracje między systemami.| Obszar | Co boli najbardziej | Typowy skutek |
|---|---|---|
| Operacje | Brak dostępu do systemów i danych | Przestój od kilku godzin do wielu dni |
| Dane | Wyciek lub utrata poufności | Ryzyko naruszenia RODO i utraty przewagi konkurencyjnej |
| Finanse | Forensics, nadgodziny, odbudowa, nowe licencje | Koszt zwykle rośnie szybciej niż sam okup |
| Reputacja | Utrata zaufania klientów i partnerów | Efekt ciągnący się miesiącami po incydencie |
| OT i produkcja | Wpływ na procesy fizyczne i ciągłość działania | Ryzyko zatrzymania pracy maszyn lub linii |
W sektorze przemysłowym i energetycznym dochodzi jeszcze jeden wymiar: skutki cyfrowe potrafią przejść w realny problem operacyjny. W końcówce 2025 roku opisano w Polsce skoordynowane ataki destrukcyjne na elementy infrastruktury energetycznej, co dobrze pokazuje, że granica między szyfrowaniem a sabotażem coraz częściej się rozmywa. Jeśli ktoś chce ograniczyć te szkody, musi zacząć od podstaw technicznych, a nie od dokupowania kolejnego narzędzia.
Co naprawdę zmniejsza ryzyko
Gdybym miał postawić na kilka działań, które dają największy zwrot z inwestycji, zacząłbym od najprostszych rzeczy. Nie od „cyberplatformy”, tylko od zamknięcia łatwych wejść i uporządkowania odzyskiwania. Poniżej zestaw, który w praktyce robi największą różnicę.
| Działanie | Co ogranicza | Jak wdrożyć rozsądnie |
|---|---|---|
| MFA na VPN, pocztę i panele administracyjne | Przejęcie kont po wycieku hasła | Wymuś je dla wszystkich kont uprzywilejowanych i zdalnych |
| Odcięcie RDP od internetu | Proste wejście po przejęciu hasła lub brute force | Przez jump host, VPN i dodatkową weryfikację |
| Łatanie urządzeń brzegowych w 24-48 godzin | Wykorzystanie luk w firewallach, gatewayach i appliance’ach | Ustal krótką ścieżkę akceptacji krytycznych poprawek |
| Kopie 3-2-1 z warstwą offline lub immutable | Szyfrowanie i kasowanie backupów | Trzy kopie, dwa nośniki, jedna poza zasięgiem atakującego |
| Test odtworzenia co kwartał | Pozorne poczucie bezpieczeństwa | Odtwarzaj nie tylko pliki, ale też pełne usługi |
| EDR i centralne logi | Brak widoczności po wejściu napastnika | EDR, czyli system wykrywania i reagowania na stacjach końcowych, musi mieć sensownie ustawione alerty |
| Segmentacja sieci i osobne konta administracyjne | Ruch boczny i nadmierne zaufanie między systemami | Oddziel użytkowników, adminów i systemy krytyczne |
Najczęstszy błąd polega na myleniu listy narzędzi z bezpieczeństwem. Jeśli to samo konto administratora służy do poczty, VPN-u i serwera plików, atakujący nie musi się bardzo starać. Jeśli backup nie ma testu odtworzenia, to nie jest plan odtwarzania, tylko nadzieja. To właśnie te podstawy najczęściej decydują, czy firma wyjdzie z incydentu po kilku godzinach, czy po kilku tygodniach.
Nawet wtedy incydent może się zdarzyć, więc potrzebny jest równie praktyczny plan reakcji.
Jak reagować w pierwszej godzinie po wykryciu ataku
Pierwsza godzina po wykryciu incydentu często decyduje o tym, czy sprawa skończy się ograniczonym problemem, czy tygodniowym chaosem. Ja traktuję ten etap jak procedurę awaryjną, a nie dyskusję o narzędziach. Płacenie okupu nie daje gwarancji odzyskania danych, a do tego może wydłużyć i skomplikować cały proces.
- Odłącz zainfekowane urządzenia od sieci, ale nie czyść ich i nie reinstaluj odruchowo.
- Zatrzymaj synchronizację backupów i sprawdź, czy repozytoria kopii nie zostały zaszyfrowane albo usunięte.
- Zmień hasła i zablokuj konta uprzywilejowane z czystego stanowiska.
- Zabezpiecz notatkę okupu, próbki plików, logi, zrzuty pamięci i obrazy dysków.
- Uruchom wewnętrzny plan reakcji i skontaktuj się z zespołem reagowania przez oficjalny formularz zgłoszeń incydentów.
- Oceń, czy doszło do wycieku danych osobowych i czy trzeba uruchomić komunikację z klientami lub organami nadzoru.
- Dopiero potem podejmuj decyzję o negocjacjach lub odtworzeniu z backupu.
Najgorsze, co można zrobić na starcie, to działać intuicyjnie: kasować ślady, restartować wszystko po kolei i dopiero później zastanawiać się, co właściwie się wydarzyło. Odtwarzanie jest ważne, ale bez zachowania dowodów i bez kontroli nad kontami uprzywilejowanymi można tylko odtworzyć problem. Po opanowaniu sytuacji zostaje jeszcze jedna rzecz, która ma największą wartość biznesową: usunąć dokładnie tę lukę, przez którą atak wszedł.
Na czym skupić się w 2026, żeby nie przepalać budżetu
Gdybym miał ograniczony budżet, nie kupowałbym od razu kolejnego „pakietu cyber”. Zacząłbym od trzech rzeczy: zamknięcia zdalnego dostępu, odpornego backupu i sprawnej reakcji na incydent. To właśnie one najczęściej decydują o tym, czy organizacja wyjdzie z ataku w kilka godzin, czy w kilka tygodni.
- Zamknij RDP z internetu i wymuś MFA na każdym zdalnym wejściu.
- Zweryfikuj urządzenia brzegowe i wprowadź szybki proces łatania krytycznych podatności.
- Uporządkuj backupy: kopia offline lub immutable, osobny dostęp i test odtworzenia co kwartał.
- Rozdziel konta administratorów i zwykłych użytkowników.
- Przećwicz incydent przynajmniej dwa razy w roku, nawet w formie prostego ćwiczenia tabletop.
W 2026 nie wygrywa ten, kto ma najwięcej narzędzi, tylko ten, kto najszybciej odcina atakującemu ścieżkę wejścia i potrafi wrócić do działania bez paniki. Jeśli miałbym zostawić jedną rekomendację, byłaby prosta: sprawdź dziś zdalny dostęp i backupy, bo właśnie tam najczęściej zaczyna się kosztowny problem.