Cyberbezpieczeństwo polskiego sektora finansowego 2025: 787 ataków DDoS, 41 tys. fałszywych domen, 274 incydentów DORA

Najważniejsze fakty

• 787 ataków DDoS na sektor finansowy w 2025 roku – średnio około 2 ataki dziennie na branżę finansową
• 625 ostrzeżeń o zagrożeniach wydanych przez CSIRT KNF w ciągu roku
• 41 751 niebezpiecznych domen zgłoszonych do blokady, z czego ponad 96% dotyczyło fałszywych inwestycji
• 274 zgłoszenia incydentów ICT przyjęte w ramach regulacji DORA, stosowanej od 17 stycznia 2025 roku
• 9 751 zablokowanych oszukańczych reklam związanych z fraudem finansowym
• 19 rekomendacji sektorowych oraz 51 indywidualnych rekomendacji ze skanów bezpieczeństwa
• Brak skutecznego ataku ransomware na polski sektor finansowy w 2025 roku
• Wzrost cyberataków w Polsce o 152% rok do roku według CERT Polska

Skala zagrożeń według raportu CSIRT KNF

Komisja Nadzoru Finansowego opublikowała roczny raport CSIRT KNF za 2025 rok, prezentujący kompleksowy obraz cyberbezpieczeństwa polskiego sektora finansowego. Centrum Reagowania na Incydenty Cyberbezpieczeństwa, działające w strukturach KNF, odnotowało bezprecedensową liczbę zagrożeń wymierzonych w instytucje finansowe. W ciągu 2025 roku CSIRT KNF wydał 625 ostrzeżeń o zagrożeniach, co stanowi istotny wzrost aktywności w zakresie wczesnego ostrzegania sektora. Równolegle przygotowano 19 rekomendacji sektorowych oraz 51 indywidualnych rekomendacji wynikających ze skanów bezpieczeństwa przeprowadzonych w nadzorowanych podmiotach. Dane pokazują, że polski sektor finansowy znajduje się pod stałą presją cyberprzestępców. Zgodnie z danymi CERT Polska, w 2025 roku liczba cyberataków w Polsce wzrosła o 152% rok do roku, co potwierdzają również raporty europejskiej agencji ENISA, umieszczającej Polskę na celowniku zorganizowanych grup przestępczych.

Ataki DDoS – dwa dziennie na branżę finansową

Ataki DDoS (distributed denial of service – rozproszony atak odmowy usługi) stanowiły w 2025 roku jedno z najczęstszych zagrożeń dla sektora finansowego. CSIRT KNF odnotował 787 ataków DDoS w ciągu roku, co przekłada się na średnio około 2 ataki dziennie wymierzone w branżę finansową. Celem ataków DDoS jest czasowa niedostępność usług bankowych, co może prowadzić do zakłóceń w obsłudze klientów, niemożności realizacji transakcji oraz utraty zaufania do instytucji. Ataki tego typu są często wykorzystywane jako element dystrakcji, mający odwrócić uwagę zespołów bezpieczeństwa od właściwych działań przestępczych prowadzonych równolegle. Distributed denial of service polega na przytłoczeniu infrastruktury sieciowej lub serwerów ogromną liczbą żądań generowanych z wielu źródeł jednocześnie. W przypadku sektora finansowego skuteczna obrona wymaga zaawansowanych systemów filtracji ruchu oraz dyżurów 24/7 zespołów SOC (Security Operations Center).

DORA w praktyce – 274 incydenty ICT pod nowym nadzorem

Rok 2025 był pierwszym pełnym rokiem stosowania regulacji DORA (Digital Operational Resilience Act), która weszła w życie 17 stycznia 2025 roku. Przepisy te nałożyły na sektor finansowy obowiązek raportowania incydentów ICT w trybie 24 i 72 godzin, w zależności od wagi zdarzenia. W ciągu 2025 roku CSIRT KNF przyjął 274 zgłoszenia incydentów ICT w ramach DORA. Są to pierwsze pełne dane od momentu wejścia w życie regulacji, dające wgląd w rzeczywistą liczbę incydentów technologicznych dotykających instytucje finansowe. Komisja Nadzoru Finansowego pełni rolę głównego organu nadzoru zgodności z DORA w Polsce. Wprowadzenie DORA oznacza dla sektora dodatkowe wymogi techniczne i raportowe, które generują znaczące koszty operacyjne. Instytucje muszą utrzymywać systemy monitoringu w czasie rzeczywistym, procedury reagowania oraz dokumentację incydentów zgodną z wymogami regulatora. Nakaz raportowania w 24 godziny jest kluczowy dla wszystkich podmiotów objętych nadzorem KNF.

Fałszywe inwestycje – 96% blokowanych domen

Oszustwa finansowe pozostają jednym z najpoważniejszych zagrożeń dla klientów instytucji finansowych. W 2025 roku CSIRT KNF zgłosił do blokady 41 751 niebezpiecznych domen, z czego ponad 96% dotyczyło fałszywych inwestycji. Równocześnie zablokowano 9 751 oszukańczych reklam promujących nieuczciwe produkty finansowe. Fałszywe inwestycje obejmują najczęściej oferty związane z kryptowalutami, akcjami oraz oszukańczymi funduszami obiecującymi nierealistyczne stopy zwrotu. Głównymi celami są emeryci oraz klienci poszukujący wysokich zwrotów, często nieposiadający wystarczającej wiedzy o mechanizmach rynków finansowych. Phishing i socjotechnika to główne metody wykorzystywane przez cyberprzestępców do wyłudzania danych i środków finansowych. Ataki są skierowane zarówno do klientów indywidualnych, jak i biznesowych. Rosnącym problemem jest wykorzystywanie AI do tworzenia przekonujących komunikatów, które skuteczniej imitują oficjalną korespondencję banków i instytucji finansowych.

Ransomware – zagrożenie bez skutecznych ataków

Pomimo że globalnie obserwuje się wzrost aktywności grup ransomware, polski sektor finansowy pozostał odporny na tego typu zagrożenia. Według danych DeepStrike, do połowy 2025 roku liczba nowych ofiar ransomware wzrastała o 520-540 miesięcznie – dwukrotnie więcej niż na początku 2024 roku. Mimo to nie odnotowano skutecznego ataku ransomware na polski sektor finansowy w 2025 roku. Kluczowe czynniki odpowiedzialne za tę odporność to wysokie inwestycje w cyberbezpieczeństwo, które polski sektor finansowy realizuje systematycznie od 2014 roku. Dyżury 24/7 SOC w bankach komercyjnych zapewniają ciągły monitoring infrastruktury i szybką reakcję na podejrzane aktywności. Istotną rolę odgrywa także wczesne ostrzeganie przez CSIRT KNF oraz współpraca międzysektorowa z partnerami takimi jak CERT Polska, CBZC (Centralne Biuro Zwalczania Cyberprzestępczości), ABW (Agencja Bezpieczeństwa Wewnętrznego) oraz Wojska Obrony Cyberprzestrzeni. Ta skoordynowana obrona pozwala na skuteczne blokowanie prób ataków zanim osiągną one krytyczną fazę.

Ataki na łańcuch dostaw – rosnący trend

Atak na łańcuch dostaw (supply chain attacks) został zidentyfikowany jako jedno z głównych zagrożeń 2025 roku. Ten typ ataku wymierzony jest nie bezpośrednio w instytucje finansowe, lecz w dostawców technologii, usług IT oraz producentów oprogramowania, z których korzystają banki i inne podmioty sektora. Konsekwencje ataku na łańcuch dostaw są szczególnie poważne: incydent w jednym podmiocie może generować ryzyko dla całego rynku. Jeśli cyberprzestępcy uzyskają dostęp do systemów dostawcy obsługującego dziesiątki instytucji finansowych, potencjalnie mogą naruszyć bezpieczeństwo wszystkich klientów tego dostawcy jednocześnie. Trend ataków na łańcuch dostaw jest rosnący, co wymusza na sektorze finansowym nie tylko zabezpieczenie własnej infrastruktury, ale również weryfikację poziomu bezpieczeństwa partnerów technologicznych. Regulacja DORA wprost adresuje to zagrożenie, nakładając obowiązek oceny ryzyka związanego z usługodawcami zewnętrznymi.

CSIRT KNF – koordynator bezpieczeństwa sektora

CSIRT KNF powstał w 2008 roku jako pierwsze CSIRT w Polsce dedykowane konkretnemu sektorowi gospodarki – finansowemu. Jest członkiem FIRST (Forum of Incident Response and Security Teams), globalnej organizacji zrzeszającej zespoły reagowania na incydenty bezpieczeństwa. Centrum Reagowania na Incydenty Cyberbezpieczeństwa prowadzi szeroką współpracę z kluczowymi partnerami na poziomie krajowym i międzynarodowym. Do najważniejszych kooperantów należą: CERT Polska (NASK), CBZC w ramach Policji, Agencja Bezpieczeństwa Wewnętrznego, Wojska Obrony Cyberprzestrzeni oraz banki krajowe i międzynarodowe. Działalność CSIRT KNF opiera się na trzech filarach: wczesne ostrzeganie (625 ostrzeżeń w 2025 roku), rekomendacje bezpieczeństwa (70 rekomendacji łącznie) oraz koordynacja reakcji na incydenty. Dzięki tej strukturze polski sektor finansowy dysponuje skoordynowanym mechanizmem obrony, który umożliwia szybką wymianę informacji o zagrożeniach i sprawdzone procedury reagowania.

Wyzwania na 2026 rok – AI, quantum i niedobór kadr

Raport CSIRT KNF identyfikuje kilka kluczowych wyzwań na 2026 rok. Pierwszym z nich jest wykorzystanie AI w atakach, w tym deep fakes oraz automatycznie generowane kampanie phishingowe, które są coraz trudniejsze do wykrycia przez tradycyjne systemy bezpieczeństwa. Kolejnym obszarem przygotowań jest quantum threats – zagrożenia związane z rozwojem komputerów kwantowych, które w przyszłości mogą złamać obecne standardy kryptograficzne. Sektor finansowy musi rozpocząć przygotowania do post-quantum cryptography, by zabezpieczyć dane przed tym przyszłościowym ryzykiem. Konsolidacja regulacyjna stanowi wyzwanie organizacyjne – instytucje muszą jednocześnie spełniać wymogi NIS2, DORA oraz AI Act, co generuje znaczące koszty i wymaga koordynacji wielu procesów compliance. Dodatkowo sektor zmaga się z brakiem kadr – niedobór specjalistów cyberbezpieczeństwa w sektorze finansowym utrudnia utrzymanie wymaganego poziomu ochrony. Mimo tych wyzwań, polski sektor finansowy pozostaje jednym z najlepiej chronionych w Unii Europejskiej. Wysokie inwestycje realizowane systematycznie od 2014 roku oraz wzmocnienie po 2022 roku – w odpowiedzi na wojnę Rosji z Ukrainą i przyrost ataków hybrydowych – pozycjonują Polskę jako lidera w zakresie cyberbezpieczeństwa finansowego w regionie.