Kiedy w październiku 2025 roku największy polski operator płatności elektronicznych przez 19 godzin nie mógł realizować transakcji, dla wielu osób skończyło się to „tylko” frustracją przy kasie czy przed ekranem telefonu. Dla firmy – i tysięcy sklepów, które na niej polegają – był to jednak koszmar: stracone przychody, telefony rozgrzane do czerwoności, media, które dopytują „co się stało?”.
Mało kto zauważył, że był to trzeci tak duży atak ransomware w naszym regionie w ciągu zaledwie sześciu tygodni. Ten sam szczep złośliwego oprogramowania wcześniej położył sieć szpitali na Węgrzech, a potem uderzył w dużego dostawcę energii na Słowacji.
W każdym z tych przypadków przestępcy weszli w podobny sposób: przez źle zabezpieczony serwer backupu, który miał jednocześnie dostęp do produkcyjnych baz danych i do internetu. Czyli – mówiąc prosto – ktoś rozdzielił „IT” od „bezpieczeństwa informacji” i założył, że jakoś to będzie. Nie było.
Dzisiaj takie myślenie jest luksusem, na który nikt nie może sobie pozwolić.
Koniec „magii pojedynczego narzędzia”
Przez lata firmy budowały bezpieczeństwo trochę jak zestaw zabawek: tu „super firewall”, tam „najlepszy antywirus”, do tego „wypasiony SIEM”. Każdy element z osobna wyglądał świetnie w prezentacji, ale całość nie składała się w spójny system. Wystarczył jeden poważniejszy atak – i wszystko rozsypywało się jak domek z kart.
W 2025 roku ten model naprawdę jest już przeszłością.
Statystyki są brutalne:
- przeciętny atak trwa około 11 dni od pierwszego wejścia hakera do momentu wycieku danych,
- w 67% przypadków firma dowiaduje się o incydencie dopiero po fakcie – z mediów albo od samych przestępców.
Pytanie nie brzmi już: „czy ktoś nas zaatakuje?”, tylko:
„kiedy to zrobi – i jak szybko my to w ogóle zauważymy?”
Na szczęście coraz więcej organizacji odchodzi od myślenia w stylu „kupmy kolejne narzędzie, będzie spokojniej”, a zaczyna patrzeć na bezpieczeństwo całościowo: od architektury infrastruktury IT, przez ochronę danych, po procedury i ludzi.
Na polskim rynku pomagają w tym m.in. wyspecjalizowani dystrybutorzy VAD, tacy jak iIT Distribution Polska, którzy zamiast wciskać „gadżety bezpieczeństwa”, pomagają dobrać i poukładać rozwiązania w przemyślany ekosystem. Ich model dystrybucja it polega właśnie na tym: dostarczyć technologię razem z wiedzą, praktyką i wsparciem ekspertów, a nie zostawić klienta z samą licencją.
Nowa filozofia: bezpieczeństwo i IT grają w jednej drużynie
Najbardziej odporne firmy i instytucje w Europie – od estońskich urzędów, przez duńską energetykę, po polskie banki spółdzielcze, które w tym roku nie odnotowały ani jednego udanego ataku ransomware – łączy jedna rzecz: przestały traktować IT i bezpieczeństwo informacji jako dwa osobne światy.
Co to znaczy w praktyce?
To, że:
- Kopie zapasowe projektuje się razem z politykami szyfrowania i DLP, zamiast „doklejać” je później.
- Dostęp do chmury i dostęp do serwerowni on-premise są obsługiwane przez te same mechanizmy kontroli – jedna logika, jeden zestaw zasad.
- Logi z aplikacji AI trafiają do tego samego SIEM, co logi z kontroli wejść do serwerowni – wszystko widzimy w jednym miejscu.
- Priorytety aktualizacji oprogramowania ustala się nie tylko na podstawie „cyferki z CVSS”, ale przede wszystkim na podstawie tego, co jest rzeczywiście wystawione do internetu i jak bardzo.
Takie podejście – zamiast „wysp” technologii – to dziś standard w najlepiej chronionych organizacjach. I dokładnie tego typu myślenie promują partnerzy tacy jak iIT Distribution, którzy w ramach dystrybucja it pomagają połączyć kropki: narzędzia, procesy i ludzi w jedną logikę działania.
Trzy bolesne lekcje z 2025 roku
Ostatnie miesiące dobitnie pokazały, gdzie firmy najczęściej przegrywają z cyberprzestępcami – i co naprawdę działa, gdy podejdzie się do tematu poważnie.
1. AI – sprzymierzeniec i wróg jednocześnie
Grupy takie jak Scattered Spider czy OCTO Tempest zaczęły masowo korzystać z ogólnodostępnych modeli językowych. Efekt? Phishing po polsku, czesku, węgiersku czy słowacku brzmi jak wiadomość napisana przez kolegę z działu, a nie translator. Jest poprawny językowo, ma branżowy żargon i odnosi się do aktualnych tematów.
Firmy, które nie panują nad wykorzystaniem własnych instancji AI (brak monitoringu promptów, brak kontroli nad danymi, brak reguł bezpieczeństwa), są dziś na straconej pozycji. To dlatego tak ważne są rozwiązania z obszaru AI Security – i dobrze, gdy za ich doborem stoi partner, który zna zarówno stronę techniczną, jak i ryzyka biznesowe.
2. Shadow cloud – nowe, groźniejsze „shadow IT”
Nie trzeba złej woli – wystarczy, że dział marketingu, HR czy sprzedaży założy „na szybko” konto w zewnętrznym narzędziu do analityki, AI lub przechowywania plików. Dokumenty z danymi klientów, umowami, planami finansowymi lądują w chmurze, o której centralne IT nawet nie wie.
Szacunki mówią, że już ponad 40% wrażliwych danych polskich firm żyje dziś poza zasięgiem oficjalnych polityk bezpieczeństwa. To nie jest już margines – to realny, codzienny problem.
3. Brak widoczności = gwarantowany kłopot
Firmy, które nie wdrożyły narzędzi do stałego monitorowania swojej powierzchni ataku, statystycznie mają dziewięć razy większą szansę na udane włamanie.
Dlaczego? Bo cyberprzestępcy widzą o nich więcej niż oni sami: stare domeny, porzucone serwery testowe, dawno zapomniane aplikacje – wszystko to staje się idealnym punktem wejścia. Rozwiązania klasy External Attack Surface Management pozwalają zobaczyć siebie oczami napastnika i reagować, zanim ktoś z zewnątrz zrobi to za nas.
Co działa w praktyce – historie z pierwszej linii
Nie chodzi o teoretyczne modele, ale o rzeczy, które realnie zadziałały w polskich organizacjach:
- Duży ubezpieczyciel wprowadził niezmienialne (immutable) repozytoria danych z automatycznym wykrywaniem szyfrowania oraz log management odseparowany fizycznie od reszty środowiska. Po pierwszym odpartym ataku ransomware – z żądaniem okupu na 27 mln zł – koszt wdrożenia praktycznie się zwrócił.
- Sieć hurtowni farmaceutycznych zintegrowała XDR z NDR i automatycznym SOAR. Efekt? 94% incydentów jest obsługiwanych automatycznie, bez udziału człowieka. Zespół bezpieczeństwa skupia się na tym, co naprawdę ważne.
- Gmina pod Warszawą, która jeszcze w 2023 roku nie miała nawet porządnego firewalla, dziś dzięki zewnętrznej usłudze MDR 24/7 i prostym narzędziom ASM osiąga czasy detekcji lepsze niż niejeden korporacyjny SOC.
W wielu z tych historii w tle pojawiają się partnerzy tacy jak iIT Distribution Polska – podmioty, które pomagają dobrać technologie, zbudować architekturę i wdrożyć to wszystko w realnych warunkach, a nie tylko „na slajdach”. To właśnie istota modelu dystrybucja it: technologia + kompetencje + długofalowe wsparcie.
Najprostszy wniosek: punktowa obrona to dziś forma kapitulacji
W czasach, gdy grupy ransomware działają jak normalne firmy – mają działy HR, helpdesk dla „współpracowników” i kwartalne targety finansowe – nie stać nas na myślenie w kategoriach „dokupmy jeszcze jedno narzędzie i zobaczymy”.
Prawdziwa odporność w 2025 roku nie polega na posiadaniu najnowszego gadżetu bezpieczeństwa.
Polega na tym, żeby:
- infrastruktura IT i bezpieczeństwo informacji przestały być dwoma osobnymi budżetami,
- zespoły IT, bezpieczeństwa i biznes pracowały na jednej, wspólnej wizji ryzyka,
- technologia była poukładana w logiczną całość – od chmury, przez sieć i endpointy, po dane i logi.
Dopóki traktujemy te obszary osobno, dopóty między nimi będzie istniała szczelina, przez którą prędzej czy później wejdzie ktoś nieproszony.
W skali i tempie dzisiejszych ataków nikt nie może sobie pozwolić na pewność po stronie przeciwnika. Dlatego tak ważne jest oparcie się na partnerach, którzy potrafią pomóc zbudować spójny system ochrony – takich jak iIT Distribution, gdzie model dystrybucja it oznacza nie tylko dostęp do zaawansowanych rozwiązań, ale przede wszystkim wsparcie w zaprojektowaniu bezpieczeństwa „z głową”, a nie „z przypadku”.
