Przygotowanie wojsk do obrony
Praktyczny model wykrywania i analizy cyberataków dla organizacji, jednostki, urzędu, firmy lub zespołu SOC/IT. To jest podejście obronne: wykryć, potwierdzić, zrozumieć skalę, odtworzyć przebieg ataku i podjąć działania naprawcze.
1. Co oznacza „wykrycie cyberataku”
Cyberatak rzadko zaczyna się od widocznego „alarmu”. Częściej widzimy anomalię, która dopiero po analizie okazuje się incydentem: nietypowe logowanie, skok transferu danych, nowe konto administratora, uruchomiony skrypt PowerShell, komunikacja z podejrzanym adresem IP, zaszyfrowane pliki albo nietypowe reguły pocztowe.
NIST opisuje obsługę incydentu jako proces obejmujący m.in. przygotowanie, wykrycie i analizę, powstrzymanie, usunięcie skutków, odzyskanie działania oraz wnioski po incydencie.
Najważniejsza zasada: nie analizujemy pojedynczego alertu w izolacji. Trzeba ustalić: kto, co, kiedy, skąd, na jakim systemie, jaką metodą, z jakim skutkiem i czy atak nadal trwa.
2. Główne źródła wykrywania
Logi systemowe i domenowe
Najważniejsze źródła:
|
Źródło |
Co wykrywa |
|
|
1 |
Windows Event Logs / Linux auth logs |
logowania, błędy, eskalację uprawnień |
|
2 |
Active Directory / Entra ID |
przejęcia kont, nowe grupy, zmiany uprawnień |
|
3 |
VPN / firewall |
nietypowe połączenia z zewnątrz |
|
4 |
proxy / DNS |
komunikację do domen C2, phishing, exfiltrację |
|
5 |
EDR / antywirus |
malware, skrypty, podejrzane procesy |
|
6 |
poczta phishing |
złośliwe załączniki, reguły przekierowań |
|
7 |
aplikacje biznesowe nadużycia kont |
nietypowe pobrania danych |
|
8 |
chmuranowe klucze API |
nietypowe logowania, publiczne zasoby |
Dobrą praktyką jest zbieranie tych danych w SIEM, np. Microsoft Sentinel, Splunk, QRadar, Elastic, Wazuh.
3. Typowe sygnały cyberataku
Konto użytkownika
Alarmujące są:
|
Objaw |
Możliwa interpretacja |
|
|
1 |
logowanie z nowego kraju lub TOR/VPN |
przejęcie konta |
|
2 |
wiele błędnych logowań, potem sukces |
brute force / password spraying |
|
3 |
logowanie poza godzinami pracy |
nadużycie konta |
|
4 |
nowe MFA lub zmiana metody MFA |
próba utrwalenia dostępu |
|
5 |
nagłe dodanie do grupy adminów |
eskalacja uprawnień |
|
6 |
utworzenie reguły pocztowej „forward” |
przejęcie skrzynki |
|
7 |
Stacja robocza lub serwer |
|
Podejrzane są:
|
Objaw |
Możliwa interpretacja |
|
|
1 |
uruchomienie powershell, cmd, wscript, mshta |
wykonanie kodu |
|
2 |
nowe zadanie harmonogramu |
persistence |
|
3 |
wyłączenie EDR/AV |
obrona atakującego przed wykryciem |
|
4 |
narzędzia typu mimikatz, rclone, anydesk |
kradzież danych / dostęp zdalny |
|
5 |
masowa zmiana rozszerzeń plików |
ransomware |
|
6 |
nietypowe procesy z katalogu TEMP/AppData |
malware |
Sieć
Sygnały ostrzegawcze:
|
Objaw |
Możliwa interpretacja |
|
|
1 |
połączenia do rzadkich domen |
command & control |
|
2 |
duży upload poza organizację |
duży upload poza organizację |
|
3 |
skanowanie portów wewnątrz sieci |
rozpoznanie |
|
4 |
RDP/SMB między nietypowymi hostami |
lateral movement |
|
5 |
DNS do losowych domen |
malware / DGA |
MITRE ATT&CK porządkuje takie zachowania według taktyk i technik przeciwnika, np. initial access, execution, persistence, privilege escalation, defense evasion, credential access, discovery, lateral movement, collection, command and control oraz exfiltration.
4. Procedura analizy ataku krok po kroku
Krok 1: Potwierdź, czy to incydent
Na początku trzeba odróżnić fałszywy alarm od realnego zagrożenia.
Sprawdź:
|
Pytanie |
Cel |
|
|
1 |
Czy zdarzenie jest nietypowe dla tego użytkownika/systemu? |
ustalenie anomalii |
|
2 |
Czy są powiązane alerty? |
korelacja |
|
3 |
Czy host komunikował się z podejrzaną domeną/IP? |
możliwy C2 |
|
4 |
Czy konto wykonało nietypową akcję? |
ocena przejęcia konta |
|
5 |
Czy są ślady wykonania kodu? |
potwierdzenie kompromitacji |
Wynik tego kroku powinien brzmieć: false positive, suspicious activity albo confirmed incident.
Krok 2: Ustal oś czasu
To najważniejsza część analizy.
Przykładowa oś:
|
Czas |
Zdarzenie |
|
|
1 |
08:11 |
użytkownik otrzymał phishing |
|
2 |
08:14 |
kliknięcie linku |
|
3 |
08:16 |
logowanie z nietypowego IP |
|
4 |
08:19 |
dodanie nowej metody MFA |
|
5 |
08:27 |
utworzenie reguły przekierowania poczty |
|
6 |
09:05 |
próba dostępu do SharePoint |
|
7 |
09:40 |
pobranie dużej liczby plików |
Oś czasu odpowiada na pytanie: jak daleko zaszedł atakujący.
Krok 3: Określ wektor wejścia
Najczęstsze wektory:
|
Wektor |
Co sprawdzać |
|
|
1 |
phishing |
poczta, link, załącznik, logowania po kliknięciu |
|
2 |
podatność publicznej usługi |
VPN, RDP, firewall, aplikacja webowa |
|
3 |
hasło z wycieku |
password spraying, logowania z wielu IP |
|
4 |
złośliwy załącznik |
sandbox, EDR, makra, procesy potomne |
|
5 |
supply chain aktualizacje |
narzędzia firm trzecich |
|
6 |
błędna konfiguracja chmury |
publiczne buckety, klucze API, role IAM |
Krok 4: Oceń skalę kompromitacji
Trzeba ustalić:
|
Obszar |
Pytanie |
|
|
1 |
użytkownicy |
które konta przejęto? |
|
2 |
urządzenia |
które hosty są zainfekowane? |
|
3 |
dane |
czy doszło do pobrania lub wycieku? |
|
4 |
uprawnienia |
czy atakujący zdobył admina? |
|
5 |
persistence |
czy pozostawił furtki? |
|
6 |
lateral movement |
czy przemieszczał się po sieci? |
|
7 |
C2 |
czy systemy nadal łączą się z infrastrukturą atakującego? |
CISA w swoich playbookach zaleca standaryzację reakcji, w tym analizę, koordynację działań, ograniczanie skutków i dokumentowanie decyzji podczas incydentu.
5. Minimalny zestaw narzędzi do wykrywania
Dla małej organizacji
|
Funkcja |
Przykład narzędzia |
|
|
1 |
EDR/AV |
Microsoft Defender for Endpoint, SentinelOne, CrowdStrike |
|
2 |
logi i SIEM |
Wazuh, Elastic, Microsoft Sentinel |
|
3 |
monitoring DNS |
Quad9, Cloudflare Gateway, Cisco Umbrella |
|
4 |
poczta |
Microsoft Defender for Office 365, Google Workspace security |
|
5 |
skan podatności |
Nessus, OpenVAS, Qualys |
|
6 |
kopie zapasowe |
backup offline / immutable |
Dla większej organizacji potrzebne są dodatkowo:
|
Obszar |
narzędzia / procesy |
|
|
1 |
SOC |
całodobowy monitoring lub dyżury |
|
2 |
SOAR |
automatyzacja reakcji |
|
3 |
Threat Intelligence |
IOC, TTP, reputacja domen/IP |
|
4 |
NDR |
analiza ruchu sieciowego |
|
5 |
UEBA |
analiza nietypowych zachowań użytkowników |
|
6 |
DFIR |
obrazowanie dysków, pamięci, analiza forensic |
|
7 |
Purple Team |
testowanie detekcji na podstawie MITRE ATT&CK |
6. Jak analizować technicznie podejrzany host
Na zainfekowanym lub podejrzanym komputerze zbierz:
|
Dane |
Po co |
|
|
1 |
lista procesów |
wykrycie malware i narzędzi atakującego |
|
2 |
połączenia sieciowe C2 |
exfiltracja |
|
3 |
autostart / scheduled |
tasks persistence |
|
4 |
logi logowania |
dostęp lokalny i zdalny |
|
5 |
historia PowerShell |
wykonane komendy |
|
6 |
nowe pliki w TEMP/AppData |
droppery, skrypty |
|
7 |
konta lokalne |
ukryte konta |
|
8 |
usługi systemowe |
złośliwe service |
|
9 |
pamięć RAM |
aktywne malware, klucze, artefakty |
|
10 |
hash podejrzanych plików |
porównanie z threat intelligence |
Ważne: przy poważnym incydencie nie wyłączaj od razu komputera, jeżeli chcesz zachować dowody z pamięci RAM. Najpierw należy go odizolować od sieci, a następnie zabezpieczyć dane forensic, o ile organizacja ma takie możliwości.
7.Analiza wiadomości phishingowej
Sprawdź:
|
Element |
Co analizować |
|
|
1 |
nadawca |
czy domena jest podobna do prawdziwej |
|
2 |
nagłówki |
SPF, DKIM, DMARC, trasa przesyłki |
|
3 |
linki |
dokąd naprawdę prowadzą |
|
4 |
załączniki |
makra, skrypty, archiwa, pliki ISO/LNK |
|
5 |
język |
presja czasu, płatność, faktura, hasło |
|
6 |
odbiorcy |
czy kampania była masowa |
|
7 |
logowania po kliknięciu |
czy doszło do przejęcia konta |
Najczęstszy schemat: e-mail → fałszywa strona logowania → przejęcie hasła/MFA → dostęp do poczty/chmury → reguły przekierowań → kradzież danych lub BEC.
8. Mapowanie ataku na MITRE ATT&CK
Dobre raporty nie kończą się na „był malware”. Powinny pokazać techniki przeciwnika.
Przykład:
|
|
Etap |
Obserwacja |
MITRE |
|
a) |
Initial Access |
phishing z linkiem |
Phishing |
|
b) |
Execution |
uruchomienie PowerShell |
Command and Scripting Interpreter |
|
c) |
Persistence |
scheduled task |
Scheduled Task/Job |
|
d) |
Credential Access |
dump haseł |
OS Credential Dumping |
|
e) |
Discovery |
net group, whoami, ipconfig |
System / Account Discovery |
|
f) |
Lateral Movement |
RDP/SMB do serwera |
Remote Services |
|
g) |
Exfiltration |
upload przez rclone |
Exfiltration Over Web Service |
MITRE ATT&CK jest używany jako baza wiedzy o technikach przeciwnika oraz sposobach detekcji i ograniczania ryzyka.
9. Priorytetyzacja incydentu
Nadaj poziom:
|
|
Poziom |
Kryteria |
|
I |
Niski |
pojedynczy zablokowany phishing, brak kliknięcia |
|
II |
Średni |
kliknięcie, ale brak potwierdzonego przejęcia konta |
|
III |
Wysoki |
przejęte konto, malware na hoście, dostęp do danych |
|
IV |
Krytyczny |
ransomware, domena AD przejęta, wyciek danych, systemy krytyczne zagrożone |
Najgroźniejsze sygnały:
|
A |
przejęcie konta administratora |
|
B |
wyłączenie zabezpieczeń |
|
C |
ruch lateralny |
|
D |
exfiltracja danych |
|
E |
szyfrowanie plików |
|
F |
manipulacja backupami |
|
G |
aktywność na kontrolerach domeny |
10. Co robić po potwierdzeniu ataku
Kolejność działań:
a) Izoluj podejrzane hosty od sieci.
b) Zablokuj konta lub wymuś reset haseł.
c) Unieważnij sesje i tokeny w usługach chmurowych.
d) Zablokuj IOC: domeny, IP, hashe, adresy URL.
e) Zabezpiecz dowody: logi, obrazy dysków, próbki.
f) Usuń persistence: zadania, usługi, konta, reguły pocztowe.
g) Załataj podatność, która umożliwiła wejście.
h) Przywróć systemy z czystych kopii.
i) Monitoruj, czy atak nie wraca.
j) Napisz raport po incydencie.
NIST CSF 2.0 ujmuje cyberbezpieczeństwo w funkcjach: Govern, Identify, Protect, Detect, Respond i Recover - czyli wykrycie musi być połączone z odpowiedzią i odtworzeniem działania, a nie traktowane jako osobna czynność.
11. Struktura raportu z analizy cyberataku.
Dobry raport powinien zawierać:
|
|
Sekcja |
Zawartość |
|
1 |
Streszczenie |
co się stało, wpływ, aktualny status |
|
2 |
Zakres |
systemy, konta, dane objęte analizą |
|
3 |
Oś czasu |
dokładna chronologia zdarzeń |
|
4 |
Wektor wejścia |
jak atakujący dostał się do środka |
|
5 |
Techniki ataku |
mapowanie do MITRE ATT&CK |
|
6 |
IOC IP |
domeny, hashe, konta, pliki |
|
7 |
Skala kompromitacji |
hosty, konta, dane |
|
8 |
Działania podjęte |
izolacja, blokady, odzyskanie |
|
9 |
Wnioski |
przyczyny i słabe punkty |
|
10 |
Rekomendacje |
działania techniczne i organizacyjne |
12. Prosty schemat decyzyjny
Alert → weryfikacja → korelacja → klasyfikacja → izolacja → analiza zakresu → usunięcie przyczyny → odzyskanie → raport → poprawa zabezpieczeń.
Najczęstszy błąd to szybkie „czyszczenie” komputera bez ustalenia, jak atakujący wszedł i czy ma dostęp gdzie indziej. Wtedy incydent wraca.
13. Najważniejsze detekcje, które warto mieć od razu
W praktyce należy zacząć od tych reguł:
|
|
Detekcja |
Znaczenie |
|
a |
logowanie admina z nietypowej lokalizacji |
przejęcie konta uprzywilejowanego |
|
b |
wiele błędnych logowań z wielu kont |
password spraying |
|
c |
nowy użytkownik w grupie adminów |
eskalacja uprawnień |
|
d |
wyłączenie Defendera/EDR |
próba ukrycia ataku |
|
e |
PowerShell z parametrami encoded/base64 |
podejrzane wykonanie kodu |
|
f |
masowe pobieranie danych z chmury |
możliwa exfiltracja |
|
g |
nowe reguły przekierowania poczty |
kompromitacja skrzynki |
|
h |
RDP/SMB między nietypowymi hostami |
lateral movement |
|
i |
usunięcie kopii zapasowych lub shadow copies |
przygotowanie ransomware |
|
j |
komunikacja do świeżych domen |
możliwy C2 |
14. Najkrótsza praktyczna checklista
Podczas incydentu odpowiedz na 10 pytań:
1) Kiedy zaczęła się aktywność?
2) Które konto lub host był pierwszy?
3) Jak atakujący wszedł?
4) Czy zdobył wyższe uprawnienia?
5) Czy poruszał się po sieci?
6) Czy dane zostały pobrane?
7) Czy zostawił mechanizmy persistence?
8) Czy atak nadal trwa?
9) Co trzeba natychmiast odciąć?
10) Jak zapobiec powtórce?
To jest fundament profesjonalnej analizy cyberataku.
LITERATURA
Standardy i dobre praktyki - najważniejsze
1. NIST SP 800-61 Rev. 3, Incident Response Recommendations and Considerations for Cybersecurity Risk Management, 2025.
Podstawowy dokument do organizacji procesu obsługi incydentów: przygotowanie, wykrywanie, analiza, reakcja i odtwarzanie.
2. NIST, Cybersecurity Framework 2.0, 2024.
Ramowy model zarządzania cyberbezpieczeństwem: Govern, Identify, Protect, Detect, Respond, Recover.
3. CISA, Federal Government Cybersecurity Incident and Vulnerability Response Playbooks, 2024.
Bardzo praktyczne playbooki do reakcji na incydenty i podatności; dobre jako wzór procedur organizacyjnych.
4. MITRE, MITRE ATT&CK Enterprise Matrix.
Kluczowa baza taktyk, technik i procedur przeciwnika; przydatna do mapowania przebiegu ataku i budowy detekcji.
5. ISO/IEC 27001:2022, Information security, cybersecurity and privacy protection - Information security management systems.
Norma zarządzania bezpieczeństwem informacji.
6. ISO/IEC 27035, Information security incident management.
Seria norm dotyczących zarządzania incydentami bezpieczeństwa informacji.
7. ISO/IEC 27002:2022, Information security controls.
Katalog zabezpieczeń organizacyjnych, technicznych i fizycznych.
8. FIRST, Computer Security Incident Response Team Services Framework.
Przydatne przy budowie lub ocenie zespołu CSIRT/SOC.
2. Podręczniki praktyczne - incident response i DFIR
1. Jason T. Luttgens, Matthew Pepe, Kevin Mandia, Incident Response & Computer Forensics, 3rd ed., McGraw-Hill, 2014.
Klasyczna pozycja do analizy incydentów, zabezpieczania dowodów i prowadzenia dochodzenia technicznego.
2. Gerard Johansen, Digital Forensics and Incident Response, Packt, 2017.
Dobre wprowadzenie do DFIR: logi, hosty, sieć, malware, raportowanie.
3. Steve Anson, Applied Incident Response, Wiley, 2020.
Bardzo praktyczna książka dla analityków: triage, analiza hostów, logów, ruchu sieciowego i chmury.
4. Harlan Carvey, Windows Forensic Analysis Toolkit, Syngress.
Przydatna do analizy artefaktów Windows: rejestr, logi, persistence, timeline.
5. Harlan Carvey, Investigating Windows Systems, Syngress, 2018.
Dobra do analizy stacji roboczych i serwerów Windows po kompromitacji.
6. Brian Carrier, File System Forensic Analysis, Addison-Wesley, 2005.
Starsza, ale nadal wartościowa pozycja do zrozumienia analizy systemów plików.
3. SOC, monitoring i wykrywanie ataków
1. Richard Bejtlich, The Practice of Network Security Monitoring, No Starch Press, 2013.
Bardzo dobra książka o wykrywaniu zagrożeń przez analizę ruchu sieciowego.
2. Chris Sanders, Jason Smith, Applied Network Security Monitoring, Syngress, 2013.
Praktyczne podejście do IDS, NSM, analizy pakietów i alertów.
3. Don Murdoch, Blue Team Handbook: SOC, SIEM & Threat Hunting, 2nd ed.
Krótka, praktyczna pozycja dla analityków SOC.
4. Carson Zimmerman, Ten Strategies of a World-Class Cybersecurity Operations Center, MITRE, 2014.
Dobry materiał do projektowania i oceny SOC.
5. David Bianco, The Pyramid of Pain.
Krótka, ale ważna koncepcja pokazująca, dlaczego lepiej wykrywać techniki i zachowania przeciwnika niż tylko adresy IP lub hashe.
6. Florian Roth, Thomas Patzke, Sigma Rules.
Repozytorium i standard reguł detekcyjnych dla SIEM; bardzo przydatne do praktycznego wykrywania ataków.
4. Threat hunting i analiza zachowań przeciwnika
1. MITRE ATT&CK, Enterprise Techniques.
Najważniejsze źródło do opisywania technik przeciwnika i budowy scenariuszy detekcji.
2. Katie Nickels, David J. Bianco, The ThreatHunting Project.
Materiały do tworzenia hipotez huntingowych i pracy analityka.
3. SANS, DFIR Posters - Windows Forensics, Hunt Evil, Evidence of Compromise.
Bardzo dobre pomoce szkoleniowe i operacyjne dla zespołów SOC/DFIR.
4. Rob Lee, SANS FOR508 materials - Advanced Incident Response, Threat Hunting, and Digital Forensics.
Materiały kursowe SANS są bardzo cenione w środowisku DFIR.
5. Al-Sada, B., Sadighian, A., Oligeri, G., MITRE ATT&CK: State of the Art and Way Forward, 2023.
Przegląd naukowy zastosowań MITRE ATT&CK w analizie zagrożeń.
5. Analiza malware
1. Michael Sikorski, Andrew Honig, Practical Malware Analysis, No Starch Press, 2012.
Jedna z najlepszych książek do statycznej i dynamicznej analizy malware.
2. Michael Ligh, Steven Adair, Blake Hartstein, Matthew Richard, Malware Analyst’s Cookbook, Wiley, 2010.
Praktyczne receptury analityczne: próbki, IOC, pamięć, automatyzacja.
3. Alex Matrosov, Eugene Rodionov, Sergey Bratus, Rootkits and Bootkits, No Starch Press, 2019.
Dla bardziej zaawansowanej analizy ukrywania się malware.
4. Eldad Eilam, Reversing: Secrets of Reverse Engineering, Wiley, 2005.
Klasyka reverse engineeringu.
5. Andrew Case, Jamie Levy, Memory Forensics.
Materiały i publikacje dotyczące analizy pamięci RAM, Volatility i artefaktów malware.
6. Windows, Active Directory i chmura
1. Pavel Yosifovich, Mark Russinovich, David Solomon, Alex Ionescu, Windows Internals.
Niezbędne do głębszego rozumienia systemu Windows.
2. Sean Metcalf, Trimarc Security - materiały o bezpieczeństwie Active Directory.
Bardzo dobre źródło do ataków i obrony AD.
3. SpecterOps, The Definitive Guide to BloodHound.
Przydatne do rozumienia ścieżek eskalacji uprawnień w AD - w kontekście obronnym i audytowym.
4. Microsoft, Microsoft Defender XDR documentation.
Dokumentacja detekcji, polowań i reakcji w środowisku Microsoft.
5. Microsoft, Azure / Entra ID security operations guide.
Przydatne do analizy przejęcia kont, tokenów, MFA, aplikacji OAuth i logowań w chmurze.
7. Raporty o zagrożeniach - do aktualizacji wiedzy
1. ENISA, ENISA Threat Landscape 2025.
Raport europejski o trendach zagrożeń; ENISA analizowała 4875 incydentów w raporcie 2025.
2. Verizon, Data Breach Investigations Report 2025.
Jeden z najczęściej cytowanych raportów o naruszeniach danych; edycja 2025 analizowała 22 052 incydenty i 12 195 potwierdzonych naruszeń danych.
3. Mandiant, M-Trends.
Roczny raport o realnych incydentach, dwell time, technikach atakujących i trendach APT.
4. CrowdStrike, Global Threat Report.
Dobry raport do śledzenia grup przeciwnika, ransomware, eCrime i operacji państwowych.
5. Microsoft, Digital Defense Report.
Przydatny do środowisk Microsoft, chmury, tożsamości i zagrożeń państwowych.
6. IBM, Cost of a Data Breach Report.
Dobre źródło do aspektu kosztów, czasu wykrycia i skutków naruszeń.
8. Prawo i regulacje - Polska i UE
1. Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.
Podstawowy polski akt prawny dotyczący KSC; dostępny jest tekst jednolity w Dzienniku Ustaw 2026 poz. 20.
2. Ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw.
Nowelizacja KSC opublikowana jako Dz.U. 2026 poz. 252.
3. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 - NIS2.
Kluczowa regulacja UE dotycząca wysokiego wspólnego poziomu cyberbezpieczeństwa w Unii.
4. Rozporządzenie DORA - Digital Operational Resilience Act.
Szczególnie ważne dla sektora finansowego.
5. RODO / GDPR.
Ważne przy incydentach obejmujących dane osobowe, obowiązki zgłoszeniowe i ocenę ryzyka naruszenia praw osób fizycznych.
9. Proponowany zestaw podstawowy do szkolenia
Gdybym miał wskazać minimum literatury dla kursu „Wykrywanie i analiza cyberataków”, wybrałbym:
1. NIST SP 800-61 Rev. 3 - proces obsługi incydentu.
2. CISA Incident Response Playbook - praktyczne procedury.
3. MITRE ATT&CK Enterprise - język opisu technik przeciwnika.
4. Richard Bejtlich, The Practice of Network Security Monitoring - wykrywanie w sieci.
5. Steve Anson, Applied Incident Response - praktyczna analiza incydentów.
6. Sikorski, Honig, Practical Malware Analysis - analiza malware.
7. ENISA Threat Landscape 2025 - aktualne trendy w Europie.
8. Ustawa o KSC + NIS2 - kontekst prawny dla Polski i UE.
