Cyberwymuszenia w Polsce: cicha wojna, którą firmy przegrywają w milczeniu

Streszczenie wykonawcze

Niniejszy raport przedstawia analizę zjawiska cyberwymuszeń wymierzonych w polskie przedsiębiorstwa, które znalazły się w pułapce eskalującej spirali zaawansowanych ataków. Decyzja o zapłacie okupu, często postrzegana jako oznaka słabości, jest w rzeczywistości racjonalnym wyborem biznesowym, podyktowanym złożonym rachunkiem kosztów ekonomicznych, prawnych i reputacyjnych. Powszechne zjawisko niezgłaszania incydentów przez ofiary tworzy krytyczne ryzyko systemowe, zacierając prawdziwą skalę zagrożenia i uniemożliwiając skuteczną reakcję na poziomie krajowym. Raport ten, oparty na interdyscyplinarnej analizie, dostarcza kompleksowych ram do zrozumienia tego dylematu. Jego celem jest przedstawienie praktycznych rekomendacji dla zarządów firm oraz krajowych regulatorów, mających na celu wzmocnienie zbiorowej odporności i przełamanie cyklu płatności i milczenia, który napędza przestępczą gospodarkę.

Część I: Anatomia Współczesnego Zagrożenia Cyberwymuszeniami

1.1. Krytyczna taksonomia: Rozróżnienie „cyberwojsk” od cyberprzestępców

W publicznym dyskursie dotyczącym cyberataków często pojawia się termin „obce cyberwojska”, który w nieprecyzyjny sposób łączy różne typy aktorów, motywacji i metod działania. Ta nieścisłość prowadzi do fundamentalnych błędów w ocenie ryzyka i wyborze strategii obronnej. Dla skutecznego zarządzania kryzysem kluczowe jest rozróżnienie między operacjami sponsorowanymi przez państwa a działalnością przestępczą motywowaną wyłącznie zyskiem. Błędna atrybucja ataku – na przykład przypisanie operacji czysto kryminalnej obcemu wywiadowi – może prowadzić do katastrofalnych w skutkach decyzji, takich jak odmowa negocjacji w sytuacji, gdy jest to optymalna ścieżka minimalizacji strat.

1.1.1. Zaawansowane uporczywe zagrożenia (APT): Aktor geopolityczny

Zaawansowane uporczywe zagrożenia (Advanced Persistent Threats, APT) to wysoce wyspecjalizowane, długoterminowe operacje cyberszpiegowskie, zazwyczaj sponsorowane lub prowadzone przez agencje państwowe.1 Ich nadrzędnym celem nie jest bezpośredni zysk finansowy, lecz zdobycie strategicznej przewagi poprzez kradzież własności intelektualnej, tajemnic państwowych, danych wywiadowczych lub sabotaż infrastruktury krytycznej.3 Operacje APT charakteryzują się trzema kluczowymi cechami:

  • Zaawansowanie (Advanced): Wykorzystanie zaawansowanych, często tworzonych na zamówienie narzędzi, złośliwego oprogramowania (malware) oraz luk typu zero-day w celu ominięcia standardowych zabezpieczeń.3
  • Uporczywość (Persistent): Utrzymywanie cichej i długotrwałej obecności w sieci ofiary, nierzadko przez miesiące lub nawet lata, w celu dogłębnej infiltracji i eksfiltracji danych.1
  • Zagrożenie (Threat): Działanie z precyzyjnym zamiarem, wymierzone w konkretne, starannie wyselekcjonowane cele o wysokiej wartości, takie jak instytucje rządowe, sektor obronny czy kluczowe gałęzie przemysłu.3

Chociaż taktyki, techniki i procedury (TTP) grup APT mogą być kopiowane przez grupy przestępcze, ich fundamentalna motywacja pozostaje geopolityczna, a negocjacje finansowe są zjawiskiem marginalnym.

1.1.2. Ekosystem Ransomware-as-a-Service (RaaS): Zindustrializowane przedsiębiorstwo przestępcze

Model Ransomware-as-a-Service (RaaS) zrewolucjonizował krajobraz cyberprzestępczości, przekształcając ją w wysoce wyspecjalizowaną i skalowalną branżę.7 Jego istotą jest podział pracy: deweloperzy (operatorzy) tworzą i utrzymują zaawansowane oprogramowanie ransomware, a następnie udostępniają je „afiliantom” w zamian za udział w zyskach lub opłatę subskrypcyjną.7 Ten model biznesowy jest promowany i rozwijany na forach w sieci dark web, gdzie operatorzy reklamują swoje „produkty”, oferując wsparcie techniczne 24/7, portale do zarządzania atakami i przetwarzania płatności, a nawet prowadzą kampanie rekrutacyjne dla nowych afiliantów.7 Profesjonalizacja tego ekosystemu sprawia, że ataki stają się bardziej efektywne i trudniejsze do przypisania jednemu konkretnemu aktorowi.7

1.1.3. Aktorzy oportunistyczni i afiliowani: „Ekonomia fuch” w cyberprzestępczości

Model RaaS znacząco obniżył barierę wejścia do świata cyberprzestępczości, umożliwiając przeprowadzanie zaawansowanych ataków osobom o ograniczonych umiejętnościach technicznych.13 Afiliowani i oportunistyczni atakujący mogą nabyć gotowe zestawy narzędzi (RaaS kits), co prowadzi do masowego wzrostu liczby ataków.16 Chociaż pojedyncze ataki mogą być mniej wyrafinowane niż te prowadzone przez czołowe grupy APT, ich ogromna liczba stanowi poważne zagrożenie dla szerokiego spektrum firm, które wcześniej mogły nie być uznawane za cele o wysokiej wartości.

1.2. Zestaw narzędzi współczesnego ekstrorcjonisty

Współczesne ataki wymuszające opierają się na zróżnicowanym arsenale metod, które są często łączone w celu maksymalizacji presji na ofierze.

1.2.1. Złośliwe oprogramowanie o motywacji finansowej

Ransomware pozostaje jednym z najbardziej destrukcyjnych narzędzi, szyfrując kluczowe dane ofiary i żądając okupu za ich odblokowanie.17 Dominującym modelem dystrybucji stał się wspomniany Ransomware-as-a-Service (RaaS), który umożliwia skalowanie operacji na niespotykaną dotąd skalę.7

1.2.2. Odmowa usługi za okup (DDoS-for-Ransom / RDoS)

W tym scenariuszu atakujący grożą paraliżem usług online ofiary (np. strony internetowej, platformy e-commerce) poprzez zalanie jej serwerów masowym, fałszywym ruchem sieciowym.19 Ataki te często nie wymagają włamania do wewnętrznej infrastruktury firmy, a sama groźba ich przeprowadzenia, poparta krótkim atakiem demonstracyjnym, może być wystarczająca do wymuszenia okupu.21

1.2.3. Inżynieria społeczna w celu oszustw finansowych (BEC i zmiana rachunku)

Ataki typu Business Email Compromise (BEC) polegają na manipulacji i podszywaniu się pod zaufane osoby lub podmioty w celu skłonienia pracowników do wykonania nieautoryzowanych transakcji finansowych.24 Najczęstsze warianty to „oszustwo na prezesa” (CEO fraud), gdzie atakujący podszywa się pod członka zarządu i zleca pilny, poufny przelew, oraz oszustwa na fakturę, w których przestępcy wysyłają sfałszowane lub zmodyfikowane faktury ze zmienionym numerem rachunku bankowego.26 Ten wektor ataku jest często powiązany z podmianą numeru IBAN w legalnej korespondencji, przechwyconej przez atakujących.29

1.2.4. Wtórna monetyzacja: Wycieki danych i handel dostępami

Nawet jeśli ofiara odmówi zapłaty okupu, skradzione dane posiadają wartość na czarnym rynku. Przestępcy mogą je sprzedawać na forach w sieci dark web lub publikować na dedykowanych stronach wyciekowych (leak sites), aby wywrzeć dodatkową presję lub po prostu zmonetyzować zdobycz.32 W ekosystemie cyberprzestępczym wykształciła się również specjalizacja tzw. Initial Access Brokers (IABs) – grup, które włamują się do sieci korporacyjnych, a następnie sprzedają uzyskany dostęp innym przestępcom, np. operatorom ransomware.7

1.3. Dynamika eskalacji: Od pojedynczego do wielowymiarowego wymuszenia

Ewolucja taktyk wymuszeń jest bezpośrednią odpowiedzią na postępy w dziedzinie obrony. Jest to forma ekonomicznego wyścigu zbrojeń, w którym napastnicy nieustannie poszukują nowych sposobów na odzyskanie przewagi nad ofiarą. Gdy firmy nauczyły się skutecznie przeciwdziałać jednemu zagrożeniu, przestępcy natychmiast wprowadzali kolejne, aby utrzymać presję.

  • Pojedyncze wymuszenie (Single Extortion): Pierwotna forma ataku ransomware polegała wyłącznie na zaszyfrowaniu danych. Główną i jedyną kartą przetargową napastnika był klucz deszyfrujący. Skuteczna polityka tworzenia kopii zapasowych (backupów) w dużej mierze neutralizowała to zagrożenie, pozwalając firmom na odtworzenie danych bez płacenia okupu.
  • Podwójne wymuszenie (Double Extortion): W odpowiedzi na rosnącą popularność backupów, grupy ransomware, takie jak Maze, wprowadziły drugą warstwę wymuszenia.36 Oprócz szyfrowania, napastnicy zaczęli masowo kraść wrażliwe dane przed ich zablokowaniem, a następnie grozić ich publicznym ujawnieniem.38 Ten ruch strategicznie unieważnił obronę opartą na backupach. Odtworzenie danych nie eliminowało już bowiem ryzyka kar regulacyjnych (np. z tytułu RODO), strat wizerunkowych, utraty tajemnic handlowych czy pozwów od klientów.
  • Potrójne i poczwórne wymuszenie (Triple/Quadruple Extortion): Kolejnym krokiem eskalacji było dodanie trzeciej, a nawet czwartej warstwy presji. Grupy takie jak AvosLocker zaczęły łączyć szyfrowanie i groźbę wycieku danych z atakami DDoS na infrastrukturę ofiary, paraliżując jej działalność operacyjną w czasie rzeczywistym.23 Inne grupy poszły o krok dalej, kontaktując się bezpośrednio z klientami, partnerami lub dostawcami ofiary, informując ich o wycieku i wywierając na nich presję, aby zmusili pierwotną ofiarę do zapłaty.37 Ta taktyka przekształca incydent bezpieczeństwa w kryzys całego łańcucha dostaw.

Ta ewolucja pokazuje, że problem wymuszeń przestał być wyłącznie technicznym wyzwaniem dla działów IT. Stał się złożonym problemem strategicznym i ekonomicznym, który musi być zarządzany na poziomie zarządu, z uwzględnieniem wszystkich potencjalnych kosztów i wektorów presji.

Tabela 1: Taksonomia Aktorów Zagrożeń Celujących w Polskie Podmioty

Typ AktoraGłówna MotywacjaTypowe TTPProfil CeluPostawa NegocjacyjnaPrzykładowe Grupy
APTSzpiegostwo, Sabotaż, Przewaga GeopolitycznaSpear-phishing, luki zero-day, niestandardowe malware, długotrwała obecnośćInstytucje rządowe, obronność, infrastruktura krytyczna, sektory strategiczneMało prawdopodobna; celem jest kradzież informacji, nie okupAPT28 (Fancy Bear), APT29 (Cozy Bear) 42
Operator RaaSZysk Finansowy (sprzedaż/wynajem oprogramowania)Rozwój i utrzymanie zaawansowanego ransomware, zarządzanie infrastrukturą C2 i portalami płatniczymi, rekrutacja afiliantówBrak bezpośredniego celu; celem jest sprzedaż narzędzi jak największej liczbie afiliantówPośrednia; tworzy narzędzia do negocjacji dla afiliantówLockBit, BlackCat (ALPHV), Hive 9
Afiliant RaaSZysk Finansowy (udział w okupie)Kompromitacja przez RDP, phishing, wykorzystanie usług IAB, wdrożenie ładunku RaaS, podwójne/potrójne wymuszenieSzerokie spektrum: od MŚP po duże korporacje, w zależności od możliwości i nabytego dostępuKluczowy element operacji; prowadzi bezpośrednie negocjacje z ofiarąAfiliowani z grupami Play, RansomHub, LockBit3 46
Aktor OportunistycznyZysk Finansowy (niska/średnia skala)Masowe kampanie phishingowe (np. BEC, podmiana IBAN), wdrażanie prostszych wariantów ransomware, ataki DDoS-for-ransomKażdy podatny podmiot, często MŚP z niższym poziomem zabezpieczeńZmienna, często mniej profesjonalna niż w przypadku RaaSNiezorganizowane grupy lub pojedynczy przestępcy

Część II: Polski Krajobraz (2019–2025): Ocena Oparta na Danych

2.1. Mapowanie zagrożeń: Triangulacja danych o incydentach

Oficjalne statystyki, choć cenne, przedstawiają jedynie wycinek rzeczywistości. Pełniejszy obraz zagrożeń w Polsce wymaga triangulacji danych z wielu źródeł: krajowych zespołów reagowania, organów ścigania oraz sektora prywatnego.

2.1.1. Statystyki krajowych CSIRT

W latach 2019-2024 Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CERT Polska (działający w strukturach NASK) odnotowywał systematyczny i gwałtowny wzrost liczby zgłoszeń i obsługiwanych incydentów. W 2024 roku liczba zgłoszeń przekroczyła 600 tysięcy, co przełożyło się na ponad 100 tysięcy zarejestrowanych incydentów – wzrost o 29% w stosunku do roku 2023.47 Dominującym typem incydentu był phishing, stanowiący blisko 95% wszystkich zgłoszeń, ze szczególnym uwzględnieniem kampanii podszywających się pod popularne polskie marki, takie jak OLX i Allegro.49 W 2024 roku CERT Polska zarejestrował 147 incydentów ransomware, co stanowi spadek o 8% w porównaniu z rokiem poprzednim. Najczęściej atakowanymi podmiotami były firmy (87 przypadków), osoby prywatne (35) oraz instytucje publiczne (25).49

2.1.2. Zagrożenia sektorowe

Sektorowe zespoły CSIRT dostarczają bardziej szczegółowych danych. CSIRT KNF, monitorujący sektor finansowy, w 2024 roku zgłosił do zablokowania ponad 51 tysięcy domen phishingowych, z czego blisko 90% było związanych z fałszywymi ofertami inwestycyjnymi.50 Z kolei w sektorze energetycznym liczba obsłużonych incydentów wzrosła z 4320 w 2022 roku do 9197 w roku 2023, co pokazuje rosnącą presję na infrastrukturę krytyczną.51 Dane te potwierdzają, że przemysł wytwórczy i energetyczny są jednymi z najczęściej atakowanych sektorów w Polsce.52

2.1.3. Dane organów ścigania

Statystyki Policji również wskazują na rosnącą skalę problemu. W 2019 roku stwierdzono ok. 37 tys. oszustw internetowych, podczas gdy w 2020 roku było ich już blisko 39 tys..53 Centralne Biuro Zwalczania Cyberprzestępczości (CBZC) w samym 2023 roku prowadziło 617 postępowań przygotowawczych, w ramach których zatrzymano 501 osób i zabezpieczono mienie o wartości ponad 441 mln PLN.55

2.1.4. Analizy wywiadowcze sektora prywatnego

Raporty firm z branży cyberbezpieczeństwa i telekomunikacji uzupełniają obraz o dane telemetryczne i analizy konkretnych kampanii. Przykładowo, raport CERT Orange Polska za 2021 rok odnotował rekordowy atak DDoS o wolumenie 476,2 Gbps.56 Z kolei analizy z 2024 roku wskazują na konkretne ataki grup ransomware na polskie podmioty administracji publicznej, w tym ataki grupy Play na Starostwo Powiatowe w Świebodzinie, Lockbit3 na MGOPS w Sędziszowie Małopolskim oraz RansomHub na Powiatowy Urząd Pracy w Policach.46 Badania ankietowe, takie jak te przeprowadzone przez Sophos, wskazują, że w 2023 roku co piąta polska firma padła ofiarą ataku ransomware.57

2.2. Szacowanie niewidocznego: „Ciemna liczba” niezgłoszonych incydentów

Istnieje ogromna dysproporcja między oficjalnymi statystykami a danymi pochodzącymi z badań ankietowych, co wskazuje na istnienie zjawiska znanego w kryminologii jako „ciemna liczba przestępstw” – incydentów, które nigdy nie są zgłaszane władzom.59 Podczas gdy CERT Polska w 2024 roku odnotował 147 incydentów ransomware, badania rynkowe sugerują, że faktyczna liczba ataków może być o rzędy wielkości wyższa.49 Badania akademickie, wykorzystujące dane z firm ubezpieczeniowych jako bardziej kompletny zbiór, szacują, że w publicznych bazach danych może znajdować się zaledwie 3% wszystkich cyberincydentów.60

Ta rozbieżność nie świadczy o nieskuteczności organów państwowych, lecz o zachowaniach ofiar. Wzrost liczby zgłaszanych incydentów w ostatnich latach jest funkcją nie tylko rosnącej aktywności przestępców, ale także rosnącej świadomości społecznej, nowych obowiązków prawnych oraz skuteczności kampanii informacyjnych (np. dotyczących numeru 8080 do zgłaszania złośliwych SMS-ów).49 Oznacza to, że oficjalne statystyki są w dużej mierze miarą skłonności do zgłaszania, a nie tylko faktycznej liczby ataków. Zrozumienie tego faktu jest kluczowe dla polityki publicznej – celem nie powinno być jedynie redukowanie liczby ataków, ale również zmniejszanie „ciemnej liczby” poprzez tworzenie zachęt do raportowania.

2.3. Analiza porównawcza: Polska w kontekście globalnym

Polski krajobraz cyberzagrożeń nie jest unikalny; jest raczej lokalnym odzwierciedleniem globalnych trendów, kształtowanym przez specyficzne czynniki geopolityczne.

2.3.1. Benchmarking europejski

Raporty Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) z lat 2019-2024 konsekwentnie wskazują ransomware, malware, inżynierię społeczną i zagrożenia dla danych jako główne zagrożenia dla całej UE.61 Polskie statystyki, z dominacją phishingu i rosnącym problemem ransomware, wpisują się w ten ogólnoeuropejski trend.49 Oznacza to, że Polska może i powinna czerpać z międzynarodowych doświadczeń i najlepszych praktyk w zakresie obrony, ponieważ wektory ataków i modele działania przestępców są w dużej mierze zbieżne.

2.3.2. Porównanie z rynkiem amerykańskim

Dane z amerykańskich raportów, takich jak Verizon Data Breach Investigations Report (DBIR) oraz FBI Internet Crime Complaint Center (IC3), często stanowią wskaźnik przyszłych trendów dla Europy. Raporty DBIR od lat podkreślają dominującą rolę czynnika ludzkiego (82% naruszeń w 2022 r.), phishingu i kradzieży poświadczeń jako głównych wektorów wejścia, co jest w pełni zgodne z obserwacjami z polskiego rynku.65 Raporty IC3 wskazują na ogromne straty finansowe z tytułu ataków BEC (ponad 2,7 mld USD w 2022 r.) i oszustw inwestycyjnych (3,3 mld USD w 2022 r.), co odzwierciedla dane CSIRT KNF dotyczące Polski.50

2.3.3. Polska jako cel o wysokiej wartości

Ze względu na swoje położenie geopolityczne i kluczową rolę we wspieraniu Ukrainy, Polska stała się jednym z głównych celów ataków o charakterze politycznym, w tym operacji dezinformacyjnych i haktywistycznych.43 Raporty wskazują, że w 2023 roku Polska, obok USA i Wielkiej Brytanii, była najczęstszym celem ataków rosyjskich grup APT, takich jak APT28 i APT29.43 Ta wzmożona aktywność o podłożu politycznym dodatkowo komplikuje krajobraz zagrożeń i wzmacnia potrzebę precyzyjnego rozróżniania motywacji atakujących.

Część III: Dylemat ofiary: Model podejmowania decyzji pod presją

3.1. Mikroekonomiczny rachunek zapłaty okupu

Decyzja o zapłacie okupu nie jest podejmowana w próżni. Jest to wynik racjonalnej, choć dokonywanej pod ogromną presją czasu i w warunkach niepełnej informacji, analizy kosztów i korzyści.72 Zarząd firmy staje przed wyborem jednej z dwóch ścieżek, starając się zminimalizować oczekiwaną stratę finansową dla organizacji.

3.1.1. Koszt niezapłacenia okupu (Ścieżka A)

Ta ścieżka wiąże się z szeregiem bezpośrednich i pośrednich kosztów, które często przewyższają kwotę żądanego okupu:

  • Koszty przerwy w działalności (Business Interruption): Utracone przychody, wstrzymana produkcja, niemożność obsługi klientów. Średni czas przestoju po ataku ransomware wynosi 24 dni.74
  • Koszty odtworzenia systemów: Wynagrodzenie za nadgodziny dla personelu IT, koszty zatrudnienia zewnętrznych firm od reagowania na incydenty (incident response), zakup nowego sprzętu i oprogramowania.
  • Koszt trwałej utraty danych: Wartość danych, których nie da się odzyskać z kopii zapasowych, ponieważ te również zostały zaszyfrowane lub były niekompletne.
  • Kary regulacyjne: Potencjalne wysokie kary finansowe nakładane przez Prezesa Urzędu Ochrony Danych Osobowych (UODO) za naruszenie RODO, mogące sięgać 4% globalnego rocznego obrotu.75 Przykłady kar nałożonych na polskie firmy sięgają milionów złotych.76
  • Szkody reputacyjne i kontraktowe: Utrata zaufania klientów i partnerów biznesowych, spadek wartości akcji, a także kary umowne wynikające z niewywiązania się z zobowiązań kontraktowych (SLA).

3.1.2. Koszt zapłacenia okupu (Ścieżka B)

Zapłata okupu nie jest gwarancją rozwiązania problemu i również generuje koszty oraz ryzyka:

  • Kwota okupu: Bezpośredni transfer finansowy, najczęściej w kryptowalutach, które utrudniają śledzenie transakcji.77
  • Koszty odtworzenia po zapłacie: Nawet po otrzymaniu klucza deszyfrującego, firma musi ponieść koszty weryfikacji systemów, usunięcia złośliwego oprogramowania i upewnienia się, że atakujący nie pozostawili w sieci tylnych furtek (backdoors).
  • Ryzyko nieskuteczności: Istnieje znaczne ryzyko, że atakujący nie dostarczą działającego klucza deszyfrującego lub że proces deszyfrowania uszkodzi część danych.79 Badania wskazują, że firmy, które płacą okup, odzyskują średnio tylko 65% danych.80 Co więcej, zapłata czyni firmę atrakcyjnym celem dla przyszłych ataków.74
  • Ryzyko prawne i sankcyjne: Dokonanie płatności na rzecz grupy przestępczej objętej międzynarodowymi sankcjami (np. znajdującej się na liście OFAC Departamentu Skarbu USA) może narazić firmę na poważne konsekwencje prawne.
  • Pokusa nadużycia (Moral Hazard): Każda zapłacona kwota zasila przestępczy ekosystem, finansując rozwój nowych, bardziej zaawansowanych narzędzi i zachęcając do kolejnych ataków, co w długim terminie zwiększa ryzyko dla wszystkich podmiotów na rynku.81

W tym kontekście, jeśli zarząd oszacuje, że oczekiwany koszt Ścieżki A (np. 10 mln PLN) znacząco przewyższa oczekiwany koszt Ścieżki B (np. 2 mln PLN okupu + 1 mln PLN kosztów odtworzenia), decyzja o zapłacie staje się z perspektywy obowiązku dbałości o interes spółki wyborem racjonalnym, a nie moralnym.

3.2. Rola ubezpieczeń cybernetycznych: Miecz obosieczny

Rynek ubezpieczeń od ryzyk cybernetycznych w Polsce dynamicznie się rozwija, oferując firmom mechanizm transferu ryzyka. Polisy oferowane przez ubezpieczycieli takich jak PZU czy TUW PZUW zazwyczaj pokrywają szeroki zakres kosztów, w tym koszty odtworzenia danych, opłacenia okupu, obsługi prawnej, działań PR oraz kar administracyjnych.83

Jednakże polisy te zawierają również istotne wyłączenia. Ochrona może nie obejmować szkód wynikających z działań wojennych (co jest problematyczne w przypadku atrybucji ataków do aktorów państwowych), braku wdrożenia przez firmę podstawowych zabezpieczeń, używania nielegalnego oprogramowania czy umyślnego działania ubezpieczonego.85

Obecność ubezpieczenia wprowadza do ekosystemu zjawisko pokusy nadużycia (moral hazard). Świadomość posiadania polisy może, w niektórych przypadkach, osłabiać motywację firmy do inwestowania w prewencyjne środki bezpieczeństwa. Co więcej, ubezpieczyciele, dążąc do minimalizacji swojej łącznej straty (suma okupu, kosztów odtworzenia i odszkodowania za przestój w działalności), mogą preferować szybką zapłatę niższego okupu zamiast długotrwałego i kosztownego procesu odtwarzania danych z backupów, nawet jeśli jest on technicznie możliwy.87 To tworzy złożony, trójstronny konflikt interesów między ofiarą (która chce jak najszybciej wznowić działalność), ubezpieczycielem (który chce zminimalizować wypłatę) a firmą negocjacyjną (często opłacaną przez ubezpieczyciela), co może prowadzić do decyzji, które nie są optymalne z perspektywy długoterminowego bezpieczeństwa ofiary ani całego ekosystemu.

3.3. Negocjacje jako gra sygnalizacyjna

Proces negocjacji z grupą ransomware można modelować przy użyciu teorii gier, w szczególności jako grę z naprzemiennymi ofertami w warunkach niepełnej informacji.79 Obie strony wysyłają sygnały, aby wpłynąć na postrzeganie i decyzje przeciwnika.

  • Sygnały atakującego: Atakujący, aby zademonstrować swoją wiarygodność, często oferuje bezpłatne odszyfrowanie kilku plików. Jest to sygnał, że posiada działający klucz i jest skłonny do transakcji.
  • Sygnały ofiary: Ofiara sygnalizuje swoją pozycję poprzez szybkość odpowiedzi, wysokość pierwszej kontroferty oraz argumentację (np. powoływanie się na brak możliwości zapłaty wyższej kwoty). Publicznie ogłoszona polityka „nie płacimy okupów” jest próbą stworzenia wiarygodnego zobowiązania (credible commitment), które ma na celu zniechęcenie atakujących jeszcze przed atakiem, poprzez zasygnalizowanie zerowego prawdopodobieństwa zysku.
  • Rola profesjonalnych negocjatorów: Firmy specjalizujące się w negocjacjach z cyberprzestępcami posiadają wiedzę na temat TTP i modeli biznesowych poszczególnych grup, co pozwala im na skuteczniejsze prowadzenie dialogu i znaczące obniżenie kwoty okupu.72
  • Analiza blockchain jako kontr-dźwignia: Chociaż kryptowaluty oferują pewien stopień anonimowości, transakcje są zapisywane w publicznym, niezmiennym rejestrze. Firmy analityczne, takie jak Chainalysis, we współpracy z organami ścigania, są w stanie śledzić przepływ środków z okupów, identyfikować portfele należące do przestępców i zamrażać środki na giełdach kryptowalut.77 Ta zdolność do zakłócania finansowej infrastruktury przestępców osłabia ich pozycję i stanowi rosnącą siłę odstraszającą.

Część IV: Paradoks regulacyjny: Obowiązki i bariery w zgłaszaniu incydentów

4.1. Mapa obowiązków notyfikacyjnych

Polskie i unijne prawo nakłada na przedsiębiorstwa szereg obowiązków związanych ze zgłaszaniem incydentów cyberbezpieczeństwa. Te regulacje, mające na celu zwiększenie przejrzystości i umożliwienie skoordynowanej reakcji, tworzą złożoną siatkę wymogów.

4.1.1. Dyrektywa NIS2

Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (NIS2) znacząco rozszerza zakres podmiotów objętych regulacjami, dzieląc je na „kluczowe” i „ważne” w wielu sektorach gospodarki.90 Nakłada ona bardzo rygorystyczne obowiązki sprawozdawcze: podmioty muszą przekazać „wczesne ostrzeżenie” do właściwego krajowego CSIRT (w Polsce głównie CSIRT NASK) w ciągu 24 godzin od stwierdzenia incydentu, a szczegółowe zgłoszenie w ciągu 72 godzin.92 Niezastosowanie się do tych wymogów grozi bardzo wysokimi karami finansowymi – do 10 mln euro lub 2% całkowitego rocznego światowego obrotu.91

4.1.2. Zgłoszenia naruszeń danych osobowych (RODO)

Ogólne rozporządzenie o ochronie danych (RODO) wymaga od administratorów danych zgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego (UODO) bez zbędnej zwłoki, nie później niż w terminie 72 godzin po jego stwierdzeniu, o ile jest prawdopodobne, że naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.94 Jeśli ryzyko to jest oceniane jako wysokie, administrator ma również obowiązek poinformowania o naruszeniu osób, których dane dotyczą.96

4.1.3. Regulacje sektorowe (np. DORA)

Dodatkowe, często bardziej szczegółowe, obowiązki sprawozdawcze istnieją w sektorach o szczególnym znaczeniu, takich jak finanse. Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA) wprowadza zharmonizowane wymogi dotyczące zgłaszania poważnych incydentów związanych z ICT.

4.2. Kultura milczenia: Praktyczne bariery w zgłaszaniu

Pomimo istnienia jasnych obowiązków prawnych, wiele firm unika zgłaszania incydentów. Ta „kultura milczenia” jest napędzana przez racjonalne obawy i praktyczne bariery.

4.2.1. Obawa przed karami regulacyjnymi

Jest to główny czynnik odstraszający. Zarządy obawiają się, że zgłoszenie incydentu automatycznie uruchomi kontrolę ze strony regulatora (np. UODO), która może zakończyć się nałożeniem dotkliwych kar finansowych nie tyle za sam incydent, co za ewentualne niedociągnięcia w systemach bezpieczeństwa, które do niego doprowadziły.75

4.2.2. Szkody wizerunkowe i handlowe

Firmy boją się, że publiczne ujawnienie informacji o ataku nadszarpnie ich reputację, podważy zaufanie klientów i inwestorów, a w konsekwencji doprowadzi do utraty kontraktów i spadku wartości rynkowej.

4.2.3. Niejasność prawna i ubezpieczeniowa

Istnieje niepewność co do tego, jak zgłoszenie incydentu wpłynie na zakres ochrony ubezpieczeniowej oraz czy nie narazi firmy na falę pozwów cywilnych od poszkodowanych klientów lub partnerów biznesowych.

4.2.4. Obciążenie operacyjne

W pierwszych, krytycznych godzinach po ataku, zespoły IT i zarządy są w pełni skoncentrowane na działaniach ratunkowych. Istnieje obawa, że formalne procedury zgłoszeniowe i współpraca z organami państwowymi odciągną ograniczone zasoby od kluczowego zadania, jakim jest przywrócenie działalności operacyjnej.97

4.2.5. Brak precyzji definicji

Pojęcia takie jak „poważny” lub „znaczący” incydent, które warunkują obowiązek zgłoszenia, mogą być interpretowane w różny sposób, co stwarza pole do unikania raportowania w sytuacjach granicznych.

4.3. Konflikty i luki w systemie

Obecny system regulacyjny tworzy fundamentalny paradoks. Z jednej strony, jego celem jest zwiększenie widoczności zagrożeń poprzez obowiązkowe raportowanie, co ma służyć budowaniu zbiorowej odporności. Z drugiej strony, ten sam system, poprzez surowe sankcje, tworzy najsilniejszą możliwą motywację do ukrywania incydentów. W sytuacji, gdy firma staje przed wyborem między zapłatą okupu przestępcom a ryzykiem zapłaty znacznie wyższej kary regulatorowi, jej racjonalnym wyborem może być próba cichego rozwiązania problemu. Przestępcy doskonale rozumieją tę dynamikę i wykorzystują ją w negocjacjach, wiedząc, że groźba upublicznienia ataku jest dla ofiary równoznaczna z groźbą uruchomienia machiny regulacyjnej. Państwo, działając jako surowy sędzia, nieumyślnie staje się drugą stroną wymuszenia, co podważa cel całej regulacji. Przełamanie tego paradoksu wymaga oddzielenia aktu zgłoszenia w dobrej wierze od automatycznego wszczęcia postępowania karnego.

Tabela 2: Porównawcza Analiza Obowiązków Notyfikacyjnych w Polsce

RegulacjaPodmioty ZobowiązanePróg IncydentuOrgan OdbierającyTermin (Wstępny)Termin (Pełny)Kluczowe Elementy Zgłoszenia
Dyrektywa NIS2Podmioty kluczowe i ważne (zgodnie z załącznikami i kryteriami wielkości)„Poważny incydent” (znaczący wpływ na świadczenie usługi, straty finansowe, duża liczba dotkniętych osób)Właściwy CSIRT (głównie CSIRT NASK)24 godziny (wczesne ostrzeżenie)72 godziny (zgłoszenie incydentu)Wstępna ocena powagi i skutków, wskaźniki kompromitacji (jeśli dostępne), przyczyna, podjęte środki.
RODOWszyscy administratorzy danych osobowychNaruszenie ochrony danych osobowych, które może powodować ryzyko naruszenia praw lub wolności osób fizycznychPrezes Urzędu Ochrony Danych Osobowych (UODO)72 godziny72 godzinyCharakter naruszenia, kategorie i liczba osób, których dane dotyczą, możliwe konsekwencje, zastosowane środki zaradcze.
DORAPodmioty sektora finansowego (banki, ubezpieczyciele, firmy inwestycyjne itp.)„Poważny incydent związany z ICT” (zgodnie z kryteriami określonymi w rozporządzeniu)Właściwy organ (np. KNF) oraz CSIRTZgodnie z procedurami określonymi przez organyZgodnie z procedurami określonymi przez organyKlasyfikacja incydentu, wpływ na działalność, przyczyny, podjęte środki.

Część V: Trajektorie przyszłości i strategiczne prognozowanie (2025–2028)

5.1. Trzy scenariusze dla polskiego ekosystemu cyberbezpieczeństwa

Wykorzystując metodykę planowania scenariuszowego, można zarysować trzy prawdopodobne ścieżki rozwoju sytuacji w Polsce, oparte na dwóch kluczowych, niepewnych czynnikach: (1) rygoryzmie i skuteczności egzekwowania przepisów NIS2 oraz (2) tempie i kierunku ewolucji taktyk, technik i procedur (TTP) atakujących, w tym wykorzystania sztucznej inteligencji.98

  • Scenariusz A: „Eskalujący wyścig zbrojeń”
  • Założenia: Rygorystyczne i skuteczne egzekwowanie NIS2; atakujący szybko adaptują nowe technologie (np. AI do tworzenia kampanii phishingowych na dużą skalę).
  • Opis: Rynek ulega polaryzacji. Duże, dojrzałe organizacje inwestują ogromne środki w zaawansowane technologie obronne i programy zgodności, stając się bardziej odporne. Mniejsze firmy, niezdolne do poniesienia takich kosztów, wypadają z rynku lub stają się łatwym celem, co prowadzi do konsolidacji i problemów w łańcuchach dostaw. Koszty cyberbezpieczeństwa i ubezpieczeń gwałtownie rosną.
  • Scenariusz B: „Grzęzawisko zgodności”
  • Założenia: Rygorystyczne egzekwowanie NIS2; TTP atakujących pozostają na relatywnie stabilnym poziomie (ewolucja, nie rewolucja).
  • Opis: Główny wysiłek firm koncentruje się na formalnej zgodności z przepisami, a nie na budowaniu faktycznej odporności. Rozkwita rynek usług doradczych i audytorskich. Firmy „odhaczają” kolejne wymogi, ale ich zdolność do reagowania na niestandardowe ataki pozostaje niska. Poziom bezpieczeństwa ulega stagnacji, pomimo rosnących wydatków na compliance.
  • Scenariusz C: „Szara strefa”
  • Założenia: Nieskuteczne i niekonsekwentne egzekwowanie NIS2; atakujący szybko adaptują nowe technologie.
  • Opis: Zjawisko niezgłaszania incydentów staje się normą. Firmy, nie obawiając się realnych konsekwencji regulacyjnych, rutynowo płacą okupy, często za pośrednictwem ubezpieczycieli. „Ciemna liczba” ataków rośnie, a państwo traci wgląd w rzeczywistą skalę zagrożenia. Polska staje się atrakcyjnym rynkiem dla grup RaaS, a gospodarka ponosi ukryte, lecz ogromne koszty.

5.2. Panel wskaźników wczesnego ostrzegania

Aby monitorować, w kierunku którego scenariusza zmierza ekosystem, instytucje publiczne i prywatne powinny śledzić zestaw wskaźników wczesnego ostrzegania:

  • Wskaźniki dotyczące aktorów zagrożeń:
  • Dynamika wpisów na stronach wyciekowych grup ransomware dotyczących polskich firm.
  • Liczba i charakter ogłoszeń rekrutacyjnych do programów RaaS na forach w sieci dark web.101
  • Ceny i dostępność ofert sprzedaży dostępu do zinfiltrowanych polskich sieci (oferty IAB).
  • Wskaźniki ekonomiczne:
  • Relacja średniej wysokości żądanego okupu do średniej faktycznie zapłaconej kwoty (dane z analiz blockchain i firm negocjacyjnych).
  • Zmiany w stawkach i warunkach ogólnych ubezpieczeń (OWU) polis cybernetycznych w Polsce (np. wzrost wyłączeń, wymóg wyższych standardów zabezpieczeń).102
  • Wskaźniki techniczne:
  • Nagły wzrost wykorzystania konkretnej, nowej luki w zabezpieczeniach w atakach na polskie cele.
  • Pojawienie się nowych, nieznanych dotąd rodzin złośliwego oprogramowania (dropperów) w polskiej telemetrii sieciowej.

5.3. Kalkulator decyzji o okupie: Narzędzie praktyczne

Model mikroekonomiczny opisany w Części III można zoperacjonalizować w formie praktycznego narzędzia dla zarządów. Kalkulator ten, w formie arkusza kalkulacyjnego lub prostej aplikacji, pozwoliłby na wprowadzenie specyficznych dla firmy danych w celu ilościowego porównania oczekiwanych kosztów obu ścieżek decyzyjnych.

Tabela 3: Zmienne Wejściowe dla Kalkulatora Decyzji o Okupie

ZmiennaTyp DanychŹródło Danych w FirmieWrażliwość Modelu
Utracony dzienny przychód z powodu przestojuFinansoweDział Finansowy / KontrolingWysoka
Szacowany czas odtworzenia systemów z backupu (RTO)CzasoweDział IT / Zespół DRWysoka
Punkt odtworzenia danych z backupu (RPO) (ile godzin danych zostanie utraconych)CzasoweDział IT / Zespół DRŚrednia
Wysokość żądanego okupu (po negocjacjach)FinansoweZespół Negocjacyjny / PrawnyWysoka
Koszt zatrudnienia zewnętrznej firmy IR/forensicsFinansoweDział IT / ZakupyŚrednia
Prawdopodobieństwo nałożenia kary przez UODO (szacowane)ProbabilistyczneDział Prawny / IODWysoka
Szacowana wysokość kary UODOFinansoweDział Prawny / IODWysoka
Udział własny w polisie ubezpieczeniowej (deductible)FinansowePolisa ubezpieczeniowaŚrednia
Limit odpowiedzialności ubezpieczycielaFinansowePolisa ubezpieczeniowaŚrednia
Prawdopodobieństwo braku działającego klucza po zapłacieProbabilistyczneDane wywiadowcze o grupieWysoka
Kary umowne za niedotrzymanie SLAFinansoweDział Sprzedaży / PrawnyZależna od kontraktów

Część VI: Krajowa strategia na rzecz odporności: Rekomendacje do działania

6.1. Dla zarządów i kadry kierowniczej

  • Proaktywna obrona: Wdrożenie i egzekwowanie polityki regularnego, testowanego tworzenia kopii zapasowych w trybie offline (air-gapped). Implementacja solidnych mechanizmów zarządzania tożsamością i dostępem (IAM), w tym uwierzytelniania wieloskładnikowego (MFA). Opracowanie, a co najważniejsze, regularne ćwiczenie planów reagowania na incydenty (IRP) z udziałem kluczowych decydentów.103
  • Lista kontrolna na czas kryzysu („Nie płać, chyba że…”): Opracowanie wewnętrznej, krok-po-kroku procedury dla zarządu, uruchamianej natychmiast po wykryciu incydentu. Powinna ona obejmować: (1) natychmiastową izolację dotkniętych systemów, (2) bezzwłoczne zaangażowanie radcy prawnego specjalizującego się w cyberbezpieczeństwie oraz brokera ubezpieczeniowego, (3) przeprowadzenie ustrukturyzowanej oceny sytuacji przy użyciu kalkulatora decyzji o okupie, (4) uzyskanie formalnej uchwały zarządu przed autoryzacją jakiejkolwiek płatności.

6.2. Dla regulatorów i decydentów politycznych

  • Zgłoszenie w „bezpiecznej przystani” (Safe Harbor): Wprowadzenie ram prawnych, w których terminowe i dokonane w dobrej wierze zgłoszenie incydentu do wyznaczonego organu (np. CSIRT NASK) gwarantuje częściowe lub całkowite zwolnienie z kar administracyjnych za niedociągnięcia w zabezpieczeniach, które umożliwiły atak. Taka zmiana bezpośrednio adresuje problem „paradoksu regulacyjnego” i silnie motywuje do zgłaszania.
  • Standaryzacja protokołów negocjacji i płatności: Opracowanie krajowych wytycznych, we współpracy z organami ścigania i jednostką analityki finansowej, dotyczących dopuszczalnych taktyk negocjacyjnych oraz zgodnych z prawem kanałów płatności, aby uniknąć naruszeń sankcji międzynarodowych i przepisów AML.
  • Wsparcie po incydencie: Stworzenie programów grantowych lub mechanizmów wsparcia (np. w formie bonów na usługi firm IR) dla małych i średnich przedsiębiorstw, które padły ofiarą ataku. MŚP są najmniej odporne i stanowią istotne ryzyko dla całych łańcuchów dostaw, a pomoc w ich szybkim powrocie do działalności leży w interesie całej gospodarki.

6.3. Ograniczanie ryzyka systemowego

  • Odporność łańcucha dostaw: Wykorzystanie wymogów dyrektywy NIS2 nie tylko wobec podmiotów kluczowych i ważnych, ale także do egzekwowania wyższych standardów bezpieczeństwa u ich krytycznych dostawców oprogramowania i usług IT.
  • Publiczno-prywatna wymiana informacji o zagrożeniach: Udoskonalenie i promocja platform do zautomatyzowanej, anonimowej wymiany technicznych wskaźników kompromitacji (IoC) i informacji o TTP między zaatakowanymi firmami a krajowymi CSIRT. Umożliwi to szybsze ostrzeganie innych podmiotów i budowanie zbiorowej obrony w czasie zbliżonym do rzeczywistego.

Aneks Techniczny

Pełna wersja raportu zawierałaby następujące aneksy:

  • A. Pełna bibliografia z adnotacjami: Kompletna lista ponad 150 źródeł wraz z krytyczną oceną każdego z nich pod kątem potencjalnych uprzedzeń, kompletności i interesu nadawcy.
  • B. Ramy metodologiczne szacowania „ciemnej liczby”: Szczegółowy opis proponowanego modelu capture-recapture oraz projekt narzędzi badawczych wykorzystujących techniki takie jak eksperyment listowy i randomized response w celu redukcji błędu pożądanej odpowiedzi.
  • C. Dane i skrypty: Replikowalne skrypty do przetwarzania i wizualizacji danych.
  • D. Wizualizacje: Mapy TTP dla głównych grup zagrożeń w Polsce w oparciu o ramy MITRE ATT&CK; diagramy Sankeya obrazujące przepływy finansowe z okupów na publicznych blockchainach; mapy cieplne opóźnień w zgłoszeniach i luk w zgodności z regulacjami w podziale na sektory.
  • E. Ramy etyczne i prawne badania: Opis procedur bezpiecznego postępowania z danymi wrażliwymi, standardów anonimizacji artefaktów technicznych oraz podstaw prawnych pozyskiwania i przetwarzania danych.

Cytowane prace

  1. What Is an Advanced Persistent Threat? – Palo Alto Networks, otwierano: września 23, 2025, https://www.paloaltonetworks.com/cyberpedia/what-is-advanced-persistent-threat-apt
  2. Advanced persistent threat – Wikipedia, otwierano: września 23, 2025, https://en.wikipedia.org/wiki/Advanced_persistent_threat
  3. What Is an Advanced Persistent Threat (APT)? | Microsoft Security, otwierano: września 23, 2025, https://www.microsoft.com/en-us/security/business/security-101/what-is-advanced-persistent-threat-apt
  4. What is an Advanced Persistent Threat (APT)? | CrowdStrike, otwierano: września 23, 2025, https://www.crowdstrike.com/en-us/cybersecurity-101/threat-intelligence/advanced-persistent-threat-apt/
  5. What Is APT – Advanced Persistent Threat? – Sophos, otwierano: września 23, 2025, https://www.sophos.com/en-us/cybersecurity-explained/advanced-persistent-threat
  6. What are Advanced Persistent Threats (APT)? – Broadcom Inc., otwierano: września 23, 2025, https://www.broadcom.com/topics/advanced-persistent-threats
  7. What Is Ransomware-as-a-Service (RaaS)? | IBM, otwierano: września 23, 2025, https://www.ibm.com/think/topics/ransomware-as-a-service
  8. What Is Ransomware-as-a-Service – RaaS? – Sophos, otwierano: września 23, 2025, https://www.sophos.com/en-us/cybersecurity-explained/ransomware-as-a-service
  9. What is Ransomware as a Service (RaaS)? | CrowdStrike, otwierano: września 23, 2025, https://www.crowdstrike.com/en-us/cybersecurity-101/ransomware/ransomware-as-a-service-raas/
  10. What is Ransomware as a Service (RaaS)? – Palo Alto Networks, otwierano: września 23, 2025, https://www.paloaltonetworks.com/cyberpedia/what-is-ransomware-as-a-service
  11. The rise of Ransomware-as-a-Service: How cybercrime has become a business – IBM, otwierano: września 23, 2025, https://www.ibm.com/think/insights/the-rise-of-raas
  12. A Deep Dive Into The LockBit Data Leaks – Searchlight Cyber, otwierano: września 23, 2025, https://slcyber.io/podcasts/a-deep-dive-into-the-lockbit-data-leaks/
  13. The Rise of RaaS (Ransomware as a Service) – Prey Project, otwierano: września 23, 2025, https://preyproject.com/blog/raas-ransomware-as-a-service
  14. RANSOMWARE-AS-A-SERVICE (RaaS): THE BUSINESS MODEL OF CYBERCRIME, otwierano: września 23, 2025, https://www.researchgate.net/publication/394520321_RANSOMWARE-AS-A-SERVICE_RaaS_THE_BUSINESS_MODEL_OF_CYBERCRIME
  15. Ransomware as a Service (RaaS) – NMFTA, otwierano: września 23, 2025, https://nmfta.org/wp-content/media/2025/04/NMFTA-RansomewareAsAService_1.0.pdf
  16. Breaking Down Ransomware-as-a-Service I Arctic Wolf, otwierano: września 23, 2025, https://arcticwolf.com/resources/blog/breaking-down-ransomware-as-a-service/
  17. Anubis: A Closer Look at an Emerging Ransomware with Built-in Wiper | Trend Micro (PL), otwierano: września 23, 2025, https://www.trendmicro.com/pl_pl/research/25/f/anubis-a-closer-look-at-an-emerging-ransomware.html
  18. Tag #ransomware – CERT Polska, otwierano: września 23, 2025, https://cert.pl/tag/ransomware/
  19. What Is a Ransom DDoS (RDoS) Attack? | Prophaze Learning Center, otwierano: września 23, 2025, https://prophaze.com/learn/ddos/what-is-a-ransom-ddos-rdos-attack/
  20. What is a Distributed Denial-of-Service (DDos) attack? | IBM, otwierano: września 23, 2025, https://www.ibm.com/think/topics/ddos
  21. What is a DDoS extortion attack? – Netscout, otwierano: września 23, 2025, https://www.netscout.com/what-is-ddos/what-is-ransom-ddos-attack
  22. What Is a DDoS Attack? – Akamai, otwierano: września 23, 2025, https://www.akamai.com/glossary/what-is-ddos
  23. Defeating Triple Extortion Ransomware: The Potent Combo of Ransomware and DDoS Attacks | Akamai, otwierano: września 23, 2025, https://www.akamai.com/blog/security/defeating-triple-extortion-ransomware
  24. Business Email Compromise (BEC) – CrowdStrike, otwierano: września 23, 2025, https://www.crowdstrike.com/en-us/cybersecurity-101/threat-intelligence/business-email-compromise-bec/
  25. Business Email Compromise — FBI, otwierano: września 23, 2025, https://www.fbi.gov/how-we-can-help-you/scams-and-safety/common-frauds-and-scams/business-email-compromise
  26. Business Email Compromise (BEC) Attack Protection & Security, otwierano: września 23, 2025, https://business.bofa.com/en-us/content/business-email-compromise-protection.html
  27. What is Business Email Compromise (BEC)? How does BEC Work? – Fortinet, otwierano: września 23, 2025, https://www.fortinet.com/resources/cyberglossary/business-email-compromise
  28. Fake CEO, fake invoice – jak działają oszustwa BEC i jak się bronić? – Security Network, otwierano: września 23, 2025, https://securitynetwork.ai/cyberbezpieczenstwo/fake-ceo-fake-invoice-jak-dzialaja-oszustwa-bec-i-jak-sie-bronic/
  29. Malware Targeting Bank Accounts Has a Swapping Pattern – F5, otwierano: września 23, 2025, https://www.f5.com/labs/articles/threat-intelligence/malware-targeting-bank-accounts-has-a-swapping-pattern-22413
  30. Payment Diversion Fraud, otwierano: września 23, 2025, https://data.actionfraud.police.uk/cms/wp-content/uploads/2022/03/2a.-Payment-Diversion-Fraud-Business-Email-Compromise-BEC-Flyer.pdf
  31. Obrona przed oszustwami fakturowymi – jak się zabezpieczyć? – Fakturowo PL, otwierano: września 23, 2025, https://www.fakturowo.pl/blog/obrona-przed-oszustwami-fakturowymi
  32. Co to jest cyberatak? | Rozwiązania zabezpieczające firmy Microsoft, otwierano: września 23, 2025, https://www.microsoft.com/pl-pl/security/business/security-101/what-is-a-cyberattack
  33. Komunikat Pełnomocnika Rządu do spraw Cyberbezpieczeństwa ws. wycieku danych w wyniku cyberataku wobec firmy EUROCERT Sp. z o.o. – Ministerstwo Cyfryzacji – Portal Gov.pl, otwierano: września 23, 2025, https://www.gov.pl/web/cyfryzacja/komunikat-pelnomocnika-rzadu-do-spraw-cyberbezpieczenstwa-ws-wycieku-danych-w-wyniku-cyberataku-wobec-firmy-eurocert-sp-z-oo
  34. Ataki cybernetyczne – wszystko co musisz wiedzieć. Praktyczny przewodnik po atakach hakerskich – nFlo, otwierano: września 23, 2025, https://nflo.pl/baza-wiedzy/atak-cybernetyczny-kompendium/
  35. Ransomware Inc: Decoding the RaaS Business Model | UpGuard, otwierano: września 23, 2025, https://www.upguard.com/blog/decoding-the-raas-business-model
  36. Ransomware Attack – What is it and How Does it Work? – Check …, otwierano: września 23, 2025, https://www.checkpoint.com/cyber-hub/threat-prevention/ransomware/
  37. What Is Double, Triple and Multi Extortion Ransomware? – Prolion, otwierano: września 23, 2025, https://prolion.com/blog/double-extortion-ransomware/
  38. Double and Triple Extortion | Arctic Wolf, otwierano: września 23, 2025, https://arcticwolf.com/resources/blog/dangers-of-double-and-triple-extortion/
  39. What is Multi-Extortion Ransomware? – Palo Alto Networks, otwierano: września 23, 2025, https://www.paloaltonetworks.com/cyberpedia/what-is-multi-extortion-ransomware
  40. What is Triple Extortion Ransomware? – Check Point Software, otwierano: września 23, 2025, https://www.checkpoint.com/cyber-hub/ransomware/what-is-triple-extortion-ransomware/
  41. What is Triple Extortion Ransomware? – SentinelOne, otwierano: września 23, 2025, https://www.sentinelone.com/cybersecurity-101/threat-intelligence/what-is-triple-extortion/
  42. CERT Polska krzyżuje szyki rosyjskim szpiegom, a przestępcom psuje biznes. Roczny raport na SECURE 2024 – NASK, otwierano: września 23, 2025, https://archiwum.nask.pl/pl/aktualnosci/5379,CERT-Polska-krzyzuje-szyki-rosyjskim-szpiegom-a-przestepcom-psuje-biznes-Roczny-.html
  43. Huge increase in Russian cyberattacks in Poland: Minister – Anadolu Ajansı, otwierano: września 23, 2025, https://www.aa.com.tr/en/europe/huge-increase-in-russian-cyberattacks-in-poland-minister/3193567
  44. APT28 campaign targeting Polish government institutions – CERT Polska, otwierano: września 23, 2025, https://cert.pl/en/posts/2024/05/apt28-campaign/
  45. 2024 rokiem ransomware. Polskie instytucje na celowniku | Businessjournal, otwierano: września 23, 2025, https://businessjournal.pl/2024-rokiem-ransomware-polskie-instytucje-na-celowniku/
  46. Najważniejsze incydenty bezpieczeństwa w 2024 roku – CyberDefence24.pl, otwierano: września 23, 2025, https://cyberdefence24.pl/cyberbezpieczenstwo/najwazniejsze-incydenty-w-2024-roku
  47. Bezpieczeństwo cyberprzestrzeni – raport CERT Polska za 2024 rok – Kompetencje cyfrowe, otwierano: września 23, 2025, https://kompetencjecyfrowe.gov.pl/aktualnosci/wpis/bezpieczenstwo-cyberprzestrzeni-raport-cert-polska-za-2024-rok
  48. 300 incydentów dziennie – premiera raportu CERT Polska za 2024 rok – NASK, otwierano: września 23, 2025, https://nask.pl/aktualnosci/300-incydentow-dziennie-premiera-raportu-cert-polska-za-2024-rok
  49. Analiza bezpieczeństwa polskiego internetu w 2024 roku – Baza wiedzy – Portal Gov.pl, otwierano: września 23, 2025, https://www.gov.pl/web/baza-wiedzy/analiza-bezpieczenstwa-polskiego-internetu-w-2024-roku
  50. RAPORT ROCZNY CSIRT KNF, otwierano: września 23, 2025, https://www.knf.gov.pl/knf/pl/komponenty/img/Raport_Roczny_CSIRT_KNF_2024_93226.pdf
  51. Energetyka w sieci cyberzagrożeń | EY – Polska, otwierano: września 23, 2025, https://www.ey.com/pl_pl/insights/cybersecurity/energetyka-w-siecicyberzagrozen
  52. 2,3 tys. ataków na polskie podmioty rządowe i energetyczne – CRN, otwierano: września 23, 2025, https://crn.pl/aktualnosci/23-tys-atakow-na-polskie-podmioty-rzadowe-i-energetyczne-cyberataki/
  53. Przestępstwa internetowe – zapobieganie i zwalczanie – Najwyższa Izba Kontroli, otwierano: września 23, 2025, https://www.nik.gov.pl/plik/id,28508.pdf
  54. Obywatelu, przed cyberatakiem broń się sam – Najwyższa Izba Kontroli, otwierano: września 23, 2025, https://www.nik.gov.pl/aktualnosci/bezpieczenstwo/przestepstwa-internetowe-zapobieganie-i-zwalczanie.html
  55. ZWALCZANIE CYBERPRZESTĘPCZOŚCI – Kwartalnik Policyjny, otwierano: września 23, 2025, https://kwartalnik.csp.edu.pl/download/21/38632/KP2-2024CBZC.pdf
  56. pobierz raport – CERT Orange, otwierano: września 23, 2025, https://cert.orange.pl/wp-content/uploads/2023/05/Raport_CERT_Orange_Polska_2021.pdf
  57. W 2023 roku co piąta polska firma była ofiarą cyberataków | Portal Biznes Alert, otwierano: września 23, 2025, https://biznesalert.pl/bezpieczenstwo-cyberprzestrzen-cyberbezpieczenstwo-polska-biznes/
  58. Co piąta polska firma padła ofiarą ransomware w 2023 roku – TELKO.in, otwierano: września 23, 2025, https://www.telko.in/co-piata-polska-firma-padla-ofiara-ransomware-w-2023-roku
  59. The Dark Figure of Online Property Crime: Is Cyberspace Hiding a Crime Wave? – Digital Commons @ New Haven, otwierano: września 23, 2025, https://digitalcommons.newhaven.edu/cgi/viewcontent.cgi?article=1045&context=criminaljustice-facpubs
  60. Modeling Under-Reporting in Cyber Incidents – MDPI, otwierano: września 23, 2025, https://www.mdpi.com/2227-9091/10/11/200
  61. Threat Landscape | ENISA – European Union, otwierano: września 23, 2025, https://www.enisa.europa.eu/topics/cyber-threats/threat-landscape
  62. ENISA Threat LANDSCAPE 2021 – European Union, otwierano: września 23, 2025, https://www.enisa.europa.eu/sites/default/files/publications/ENISA%20Threat%20Landscape%202021.pdf
  63. ENISA Threat Landscape 2023 | ENISA, otwierano: września 23, 2025, https://www.enisa.europa.eu/publications/enisa-threat-landscape-2023
  64. ENISA Threat Landscape Report 2024 published – Irish Information …, otwierano: września 23, 2025, https://www.iisf.ie/ENISA-Threat-Landscape-Report-2024
  65. Data Breach Statistics from the Verizon DBIR 2019 – Swimlane, otwierano: września 23, 2025, https://swimlane.com/blog/verizon-dbir-2019-highlights/
  66. 2021 Data Breach Investigations Report – Verizon, otwierano: września 23, 2025, https://www.verizon.com/business/resources/T8fc/reports/2021-dbir-executive-brief.pdf
  67. DBIR Report 2022 – Infographic | Verizon, otwierano: września 23, 2025, https://www.verizon.com/business/resources/reports/2022-dbir-infographic.pdf
  68. 2022 Annual Internet Crime Report IC3, otwierano: września 23, 2025, https://www.iafci.org/MembersOnly/Federal_Agencies/2022_Annual_Internet_Crime_Report_IC3.aspx
  69. Poland tops list of hacker targets, even ahead of Ukraine – Warsaw Business Journal, otwierano: września 23, 2025, https://wbj.pl/poland-tops-list-of-hacker-targets-even-ahead-of-ukraine/post/147026
  70. Poland most targeted country for ‚hacktivism’—report – TVP World, otwierano: września 23, 2025, https://tvpworld.com/88500047/poland-most-targeted-country-by-hackers-report
  71. Evolving Tactics: How Russian APT Groups Are Shaping Cyber Threats in 2024 | Flashpoint, otwierano: września 23, 2025, https://flashpoint.io/blog/russian-apt-groups-cyber-threats/
  72. Dylemat ransomware: płacić okup czy nie? – MIT Sloan …, otwierano: września 23, 2025, https://mitsmr.pl/transformacja-organizacyjna/dylemat-ransomware-placic-okup-czy-nie/
  73. A novel hesitant fuzzy tensor-based group decision-making approach with application to heterogeneous wireless network evaluation – PMC, otwierano: września 23, 2025, https://pmc.ncbi.nlm.nih.gov/articles/PMC12371017/
  74. Ransomware Statistics, Data, Trends, and Facts [updated 2024] – Varonis, otwierano: września 23, 2025, https://www.varonis.com/blog/ransomware-statistics
  75. Kary RODO w Polsce – lista kar pieniężnych (firmy i wysokości) – Resilia Sp. z oo, otwierano: września 23, 2025, https://resilia.pl/blog/rejestr-kar-rodo-polskie-firmy-od-momentu-wprowadzenia/
  76. Kary finansowe za naruszenia RODO – podsumowanie roku 2024 – Soczko & Partnerzy, otwierano: września 23, 2025, https://www.soczko.pl/iod-soczko-partnerzy/blog-ochrona-danych/kary-finansowe-za-naruszenia-rodo-podsumowanie-roku-2024/
  77. How Chainalysis Helped the FBI Track Down and Freeze Millions in the Caesars Casino Ransomware Attack, otwierano: września 23, 2025, https://www.chainalysis.com/blog/chainalysis-fbi-caesars-ransomware-recovery/
  78. 35% Year-over-Year Decrease in Ransomware Payments, Less than Half of Recorded Incidents Resulted in Victim Payments – Chainalysis, otwierano: września 23, 2025, https://www.chainalysis.com/blog/crypto-crime-ransomware-victim-extortion-2025/
  79. www.researchgate.net, otwierano: września 23, 2025, https://www.researchgate.net/profile/Nicholas-Caporusso/publication/325961248_A_Game-Theoretical_Model_of_Ransomware/links/5be3adfba6fdcc3a8dc65dee/A-Game-Theoretical-Model-of-Ransomware.pdf
  80. The State of Ransomware 2021 – Sophos News, otwierano: września 23, 2025, https://news.sophos.com/en-us/2021/04/27/the-state-of-ransomware-2021/
  81. The Impact of Cryptocurrency on Cybersecurity | Management Science – PubsOnLine, otwierano: września 23, 2025, https://pubsonline.informs.org/doi/10.1287/mnsc.2023.00969
  82. Economics of Ransomware: Risk Interdependence and Large-Scale Attacks – Rady School of Management, otwierano: września 23, 2025, https://rady.ucsd.edu/_files/faculty-research/august/august_dao_niculescu.pdf
  83. Ubezpieczenia cybernetyczne | TUW PZUW, otwierano: września 23, 2025, https://www.tuwpzuw.pl/tuw-oferta/ubezpieczenia-cybernetyczne
  84. Ubezpieczenie od ryzyk cybernetycznych i związanych z RODO – PZU, otwierano: września 23, 2025, https://www.pzu.pl/dla-firm-i-pracownikow/majatek-firmy-i-oc/majatek/ubezpieczenie-od-ryzyk-cybernetycznych
  85. Ubezpieczenie od cyberryzyk. Czy można wykupić sobie cyfrową odporność? – Prawo.pl, otwierano: września 23, 2025, https://www.prawo.pl/biznes/polisa-dajaca-cyberbezpieczenstwo-a-dyrektywa-nis2,531814.html
  86. Ubezpieczenia od cyberataków – odpowiedź na nowy rodzaj zagrożeń, otwierano: września 23, 2025, https://gu.com.pl/ubezpieczenia-od-cyberatakow-odpowiedz-na-nowy-rodzaj-zagrozen/
  87. Ubezpieczenia Cyber: wyzwania i szanse [ANALIZA] – CyberDefence24.pl, otwierano: września 23, 2025, https://cyberdefence24.pl/biznes-i-finanse/ubezpieczenia-cyber-wyzwania-i-szanse-analiza
  88. Ransomware Negotiation: Dynamics and Privacy-Preserving Mechanism Design – arXiv, otwierano: września 23, 2025, https://www.arxiv.org/pdf/2508.15844
  89. Chainalysis: The Blockchain Data Platform, otwierano: września 23, 2025, https://www.chainalysis.com/
  90. Dyrektywa NIS i NIS 2 – co to jest? Co zawierają? | Biznes Netia, otwierano: września 23, 2025, https://www.netia.pl/pl/srednie-i-duze-firmy/youtro-strefa-wiedzy/co-zawiera-dyrektywa-nis-i-nis2
  91. Dyrektywa NIS2 – Kogo dotyczy i jakie są obowiązki? Regulacje cyberbezpieczeństwa, otwierano: września 23, 2025, https://creativa.legal/dyrektywa-nis2/
  92. Dyrektywa NIS2 – najważniejsze informacje | Blog GlobKurier.pl, otwierano: września 23, 2025, https://www.globkurier.pl/aktualnosci/dyrektywa-nis2-najwazniejsze-informacje
  93. Security Operations Center Warszawa – Audyt cyberbezpieczeństwa, otwierano: września 23, 2025, https://kicb.pl/security-operations-center-warszawa/
  94. Cyberataki a naruszenie ochrony danych osobowych. Co pokazują zawiadomienia?, otwierano: września 23, 2025, https://poradnikprzedsiebiorcy.pl/-cyberataki-a-naruszenie-ochrony-danych-osobowych-co-pokazuja-zawiadomienia
  95. Obowiązki prawne po ataku hakerskim – Wspólnota, otwierano: września 23, 2025, https://wspolnota.org.pl/newsletter/obowiazki-prawne-po-ataku-hakerskim
  96. DKN.5131.8.2021 – Bezpieczeństwo przetwarzania – UODO, otwierano: września 23, 2025, https://uodo.gov.pl/pl/342/2766
  97. Raport ENISA – współpraca CSIRT-ów z organami ścigania za 2021 rok, otwierano: września 23, 2025, https://cyberpolicy.nask.pl/raport-enisa-wspolpraca-csirt-ow-z-organami-scigania-za-2021-rok/
  98. Using cyber security scenarios – NCSC.GOV.UK, otwierano: września 23, 2025, https://www.ncsc.gov.uk/collection/risk-management/using-cyber-security-scenarios
  99. Scenario planning – Wikipedia, otwierano: września 23, 2025, https://en.wikipedia.org/wiki/Scenario_planning
  100. Cyber Futures: A Preliminary Scanning and Foresight Report – University of Waterloo, otwierano: września 23, 2025, https://uwaterloo.ca/defence-security-foresight-group/sites/default/files/uploads/files/dsfg_wilner_workingpaper_october_2020.pdf
  101. Threat Intelligence Platform – Group-IB, otwierano: września 23, 2025, https://www.group-ib.com/products/threat-intelligence/
  102. Ataki cybernetyczne wyzwaniem dla ubezpieczycieli – Forsal.pl, otwierano: września 23, 2025, https://forsal.pl/finanse/artykuly/8279244,ataki-cybernetyczne-wyzwaniem-dla-ubezpieczycieli.html
  103. Case Study: | Cloudtango, otwierano: września 23, 2025, https://www.cloudtango.net/media/casestudies/ransomware-cybersecurity-case-study-min_1624721364.pdf
  104. Ransomware incident response plan | NCSC – National Cyber …, otwierano: września 23, 2025, https://english.ncsc.nl/binaries/ncsc-en/documenten/publications/2022/augustus/2/incident-response-plan-ransomware/Opmaak+Incident+response+plan_WEB2.pdf

Gorąco polecamy także:

Wzór pracy doktorskiej

Pisanie doktoratów

Metody badawcze w pracy doktorskiej

Publikacja artykułów naukowych