Dwieście dziesięć procent wzrostu aktywnej eksploatacji podatności SAP . Pięć luk krytycznych z oceną CVSS 10.0. Straty liczone w miliardach. Rok 2025 brutalnie zweryfikował podejście organizacji do bezpieczeństwa systemów ERP – i pokazał, że ci, którzy traktowali cyberbezpieczeństwo jako koszt, dziś płacą znacznie więcej.
WPROWADZENIE: ROK PRZEŁOMU
Kiedy w styczniu 2025 roku publikowaliśmy pierwszy w tym roku artykuł z cyklu „Bezpieczny Wtorek ze SNOK„, nikt jeszcze nie wiedział, że nadchodzące miesiące przyniosą bezprecedensową falę ataków na systemy SAP. Dziś, zamykając rok trzydziestym pierwszym artykułem z tej serii, możemy spojrzeć wstecz na dwanaście miesięcy, które na zawsze zmieniły krajobraz cyberbezpieczeństwa systemów korporacyjnych.
Przez cały rok nasz zespół monitorował zagrożenia, analizował podatności i wspierał klientów w budowaniu odporności na ataki. W SNOK utrzymywaliśmy bezpieczeństwo środowisk SAP u wielu naszych klientów, zarządzając średnio trzema do czterema krajobrazami SAP w każdej organizacji – to dziesiątki systemów deweloperskich, testowych, produkcyjnych oraz rozwiązań towarzyszących, w tym platform Fiori. Każdy z tych systemów wymagał nieustannej uwagi, bo jak pokazał rok 2025, atakujący nie śpią.
KRAJOBRAZ ZAGROŻEŃ: LICZBY, KTÓRE POWINNY NIEPOKOIĆ
Raport Onapsis Research Labs nie pozostawia złudzeń – aktywna eksploatacja podatności SAP wzrosła o 210% w porównaniu z rokiem poprzednim. To nie abstrakcyjna statystyka. Za tą liczbą stoją realne ataki na infrastrukturę krytyczną: sieci gazowe w Wielkiej Brytanii, wodociągi i producenci urządzeń medycznych w Stanach Zjednoczonych, ministerstwa w Arabii Saudyjskiej. SAP przestał być „zbyt skomplikowany, żeby go atakować” – stał się priorytetowym celem.
SecurityBridge odnotowała 39-procentowy wzrost liczby SAP Security Notes – z 149 w roku 2024 do 207 w 2025. Wśród nich aż 25 notatek HotNews z oceną CVSS 9.0 lub wyższą, w tym pięć z maksymalną oceną 10.0. To oznacza, że średnio co dwa tygodnie pojawiała się krytyczna podatność wymagająca natychmiastowej reakcji.
CVE-2025-31324: PODATNOŚĆ, KTÓRA ZDEFINIOWAŁA ROK
Kwiecień 2025 roku przyniósł odkrycie, które wstrząsnęło społecznością SAP. CVE-2025-31324 – podatność w komponencie SAP NetWeaver Visual Composer z oceną CVSS 10.0 – była aktywnie eksploatowana jako zero-day jeszcze przed wydaniem łatki. Nieuwierzytelniony atakujący mógł przesłać złośliwe pliki i przejąć pełną kontrolę nad systemem.
Do końca roku potwierdzono kompromitację 581 systemów SAP NetWeaver na całym świecie. Wśród atakujących zidentyfikowano grupy APT powiązane z Chinami – UNC5221, UNC5174, Chaya_004, Earth Lamia – oraz operatorów ransomware: BianLian, RansomEXX i Qilin. W sierpniu grupa ShinyHunters opublikowała funkcjonalny exploit, demokratyzując dostęp do ataku.
Spektakularnym przykładem skutków była sprawa Jaguar Land Rover. Atak z wykorzystaniem zero-day SAP sparaliżował produkcję w brytyjskich fabrykach, a straty oszacowano na 1-2 miliardy funtów. Dla wielu organizacji był to moment otrzeźwienia – przekonanie, że „nas to nie dotyczy”, okazało się kosztownym złudzeniem.
POLSKA PERSPEKTYWA: ROK REGULACJI I WYZWAŃ
Rok 2025 był w Polsce rokiem regulacyjnym. Dyrektywa NIS2, rozporządzenie DORA, AI Act, nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa – każdy z tych aktów prawnych zmienia sposób, w jaki organizacje muszą podchodzić do bezpieczeństwa systemów informatycznych, w tym SAP.
NIS2: OD TYSIĘCY DO DZIESIĄTEK TYSIĘCY PODMIOTÓW
Choć Polska nie dotrzymała październikowego terminu transpozycji dyrektywy NIS2, prace legislacyjne nabrały tempa pod koniec roku. Projekt nowelizacji ustawy o KSC trafił do Sejmu w listopadzie, a jego uchwalenie planowane jest na przełom 2025 i 2026 roku. Skala zmian jest bezprecedensowa – regulacją zostanie objętych od 38 do 80 tysięcy podmiotów, podczas gdy dotychczas obowiązki dotyczyły zaledwie kilku tysięcy organizacji.
Kary przewidziane w polskim projekcie należą do najsurowszych w Europie: do 10 milionów euro lub 2% przychodów dla podmiotów kluczowych, a dla kierowników – nawet do 600% wynagrodzenia. To jasny sygnał: cyberbezpieczeństwo przestaje być domeną działów IT i staje się odpowiedzialnością zarządów.
DORA: SEKTOR FINANSOWY POD LUPĄ
Od 17 stycznia 2025 roku rozporządzenie DORA obowiązuje bezpośrednio w całej Unii Europejskiej. Dla banków, firm inwestycyjnych, ubezpieczycieli i ich dostawców usług ICT oznacza to nowe obowiązki w zakresie zarządzania ryzykiem operacyjnym, testowania odporności i raportowania incydentów. Kary sięgają 21 milionów złotych dla osób prawnych i 3 milionów złotych dla członków zarządu.
W kontekście systemów SAP DORA ma szczególne znaczenie. Systemy ERP przetwarzają dane finansowe, zarządzają transakcjami i wspierają krytyczne procesy biznesowe. Ich bezpieczeństwo to nie kwestia IT – to fundament operacyjnej odporności instytucji finansowych.
DZIAŁANIA SNOK W 2025 ROKU: OD TEORII DO PRAKTYKI
W SNOK rok 2025 był czasem intensywnej pracy projektowej. Realizowaliśmy wdrożenia, które odpowiadały na najpoważniejsze wyzwania cyberbezpieczeństwa – od ochrony krytycznych danych, przez zabezpieczanie dużych środowisk SAP HANA, po innowacyjne projekty łączące sztuczną inteligencję z automatyzacją.
„Największym błędem jest postrzeganie cyberbezpieczeństwa środowisk SAP wyłącznie przez pryzmat ról i uprawnień. W dzisiejszych czasach zapewnienie skutecznej ochrony wymaga zabezpieczenia wszystkich warstw architektury. Jacek Bugajski, CEO SNOK
SECURITYBRIDGE: FUNDAMENT BEZPIECZEŃSTWA SAP
Platforma SecurityBridge pozostaje kluczowym narzędziem w naszym arsenale. W 2025 roku kontynuowaliśmy utrzymanie i wsparcie wdrożenia w Stock Spirits Group – projektu, który od samego początku pokazał, jak szybko można zbudować kompleksową ochronę. Trzy tygodnie od startu do produkcji, a cała polityka bezpieczeństwa SAP oparta na jednej, zintegrowanej platformie.
Nowym wdrożeniem było uruchomienie SecurityBridge w PKP Cargo – organizacji zarządzającej infrastrukturą krytyczną sektora kolejowego. W kontekście nadchodzących regulacji NIS2 i rosnących wymagań dla operatorów usług kluczowych, ten projekt ma strategiczne znaczenie dla bezpieczeństwa polskiego transportu.
SecurityBridge to dziś platforma zabezpieczająca ponad 5000 systemów produkcyjnych SAP na całym świecie. Jej laboratorium badawcze zajmuje trzecie miejsce globalnie według SAP Security Response Team, zgłosiwszy ponad 100 podatności zero-day. W 2025 roku badacze SecurityBridge odkryli między innymi CVE-2025-42957 – krytyczną lukę w SAP S/4HANA z oceną CVSS 9.9, aktywnie eksploatowaną w środowiskach produkcyjnych.
HARDENING ŚRODOWISKA SAP HANA 16 TB
Jednym z najbardziej wymagających projektów roku było kompleksowe utwardzanie środowiska SAP HANA o pojemności 16 TB u dużego klienta z sektora publicznego. To jedna z największych instancji SAP HANA w Polsce.
Projekt obejmował wdrożenie pełnego szyfrowania danych w spoczynku z wykorzystaniem algorytmu AES-256-CBC, konfigurację zaawansowanego audytingu zgodnie z SAP Security Baseline Template 2.5, zarządzanie kluczami kryptograficznymi oraz segmentację sieciową. Szczególnym wyzwaniem było zachowanie wydajności przy tak dużej skali – testowaliśmy każdą zmianę, aby overhead szyfrowania nie przekroczył akceptowalnych 2-5%.
„Przy środowiskach tej skali nie ma miejsca na kompromisy. Każda decyzja architektoniczna musi równoważyć bezpieczeństwo z wydajnością, a każda zmiana wymaga precyzyjnego planowania.” Jaroslaw Kamil Zdanowski, Partner, Cybersecurity & SAP BASIS
AI ON-PREMISES: INNOWACJA W WYMIARZE SPRAWIEDLIWOŚCI
Projekt realizowany w Sądzie Apelacyjnym we Wrocławiu to przykład innowacyjnego podejścia do wdrażania sztucznej inteligencji w sektorze publicznym. Wymagania regulacyjne – w tym AI Act klasyfikujący systemy AI w wymiarze sprawiedliwości jako wysokiego ryzyka – oraz specyfika przetwarzanych danych sądowych wykluczały rozwiązania chmurowe.
Odpowiedzią było wdrożenie UiPath Automation Suite w modelu on-premises, zintegrowane z komponentem Document Understanding do przetwarzania dokumentów prawnych. Całość działa w środowisku air-gapped, bez połączenia z chmurą, zapewniając pełną kontrolę nad danymi i zgodność z wymaganiami SCCO.
„Kierunek AI on-premises to przyszłość dla instytucji przetwarzających wrażliwe dane. Polskie modele językowe jak PLLuM i Bielik, dostępne od lutego 2025, otwierają nowe możliwości dla sektora publicznego.” Michal Korzen, CTO, Enterprise & AI Architect
BEZPIECZNA AUTOMATYZACJA W ADMINISTRACJI PUBLICZNEJ
W jednym z ministerstw wdrożyliśmy rozwiązanie automatyzacji procesów z pełnym modelem governance, odpowiadającym na wymagania NIS2 i standardów SCCO poziomu trzeciego. Projekt obejmował konfigurację szczegółowych polityk kontroli dostępu opartych na rolach, niemutowalnych logów audytowych z retencją zgodną z wymogami prawnymi oraz bezpiecznego przechowywania poświadczeń z integracją z zewnętrznymi systemami zarządzania sekretami.
Automatyzacja w sektorze publicznym wymaga szczególnej staranności. Każdy robot procesowy działa w imieniu instytucji, a jego działania muszą być w pełni audytowalne i zgodne z przepisami o ochronie danych osobowych oraz dostępie do informacji publicznej.
BEZPIECZNY CUSTOM DEVELOPMENT W MEDICOVER
Medicover, z ponad 45 tysiącami pracowników w dziewięciu krajach, przetwarza jedne z najbardziej wrażliwych danych – informacje o zdrowiu i dane kadrowe pracowników. Projekt bezpiecznego custom developmentu obejmował wdrożenie statycznej i dynamicznej analizy kodu, w tym najnowszych funkcji AI wyjaśniających podatności i rekomendujących naprawę.
Kluczowym elementem było wdrożenie Quality Gate – mechanizmu blokującego transport kodu zawierającego podatności do środowisk produkcyjnych. W sektorze ochrony zdrowia, gdzie dane medyczne podlegają szczególnej ochronie na mocy RODO, taki poziom kontroli nad kodem własnym jest niezbędny.
31 ARTYKUŁÓW: ROK EDUKACJI I DZIELENIA SIĘ WIEDZĄ
Cykl „Bezpieczny Wtorek ze SNOK” to nie tylko comiesięczne przeglądy SAP Patch Day. W 2025 roku opublikowaliśmy ponad 30 artykułów eksperckich, analizując najważniejsze wydarzenia i trendy w bezpieczeństwie SAP. Od szczegółowej analizy CVE-2025-31324, przez przegląd anatomii ataku na Jaguar Land Rover, po praktyczne przewodniki przygotowania do audytu bezpieczeństwa.
Każdy SAP Security Patch Day – od stycznia do grudnia – został przez nas szczegółowo przeanalizowany i opisany w języku zrozumiałym zarówno dla specjalistów technicznych, jak i dla kadry zarządzającej. Pisaliśmy o bezpieczeństwie SAP BTP, o tym dlaczego tradycyjny antywirus nie widzi zagrożeń w SAP, o higienie cyberbezpieczeństwa i o tym, jak rozmawiać o bezpieczeństwie, by zarząd chciał słuchać.
Artykuł o podatności typu zero-click w Microsoft Copilot pokazał, że zagrożenia dotyczą całego ekosystemu – nie tylko systemów SAP. Analiza dekady ataków na systemy SAP (2015-2025) dała perspektywę historyczną, niezbędną do zrozumienia obecnej sytuacji. A praktyczny przewodnik po UiPath w cybersecurity otworzył dyskusję o roli automatyzacji w ochronie przed zagrożeniami.
ROK 2026: CO NAS CZEKA?
Trendy obserwowane w 2025 roku nie zwolnią. Onapsis Research Labs ostrzega, że może minąć zaledwie 24 godziny od ujawnienia podatności do zaobserwowania skanowania przez atakujących, i tylko 72 godziny do dostępności funkcjonalnego exploita. Okno czasowe na reakcję kurczy się dramatycznie.
W Polsce rok 2026 przyniesie pełne wejście w życie przepisów implementujących NIS2. Organizacje będą miały trzy miesiące na rejestrację w wykazie podmiotów i sześć miesięcy na wdrożenie systemu zarządzania bezpieczeństwem. Dla wielu firm to rewolucja – nie ewolucja.
AI Act wchodzi w pełne stosowanie w sierpniu 2026. Systemy AI w infrastrukturze krytycznej, sektorze finansowym i wymiarze sprawiedliwości będą musiały spełniać surowe wymagania. Dla organizacji korzystających z rozwiązań AI w środowiskach SAP oznacza to konieczność przeglądu architektury i procesów.
„W czasach, gdy cyberataki są już codziennością, bardzo ważne jest odpowiednie zabezpieczenie krytycznych aplikacji SAP. Dzięki współpracy z SecurityBridge, nasz zespół ekspertów jest w stanie w pełni zabezpieczyć aplikacje SAP w bardzo krótkim czasie.” Jacek Bugajski , CEO SNOK
BEZPIECZEŃSTWO TO PROCES, NIE PRODUKT
Rok 2025 pokazał z całą mocą, że cyberbezpieczeństwo systemów SAP nie jest opcją, którą można odłożyć na później. Firmy, które w styczniu odkładały inwestycje w bezpieczeństwo, w grudniu liczyły straty lub – w najgorszym przypadku – zmagały się z konsekwencjami udanych ataków.
W SNOK od lat budowaliśmy kompetencje w obszarze SAP. Dziś te kompetencje – wzbogacone o partnerstwa z SecurityBridge i UiPath, certyfikaty ISO 27001 i ISO 9001, doświadczenie z projektów dla sektora publicznego i prywatnego – pozwalają nam wspierać klientów w budowaniu rzeczywistej odporności.
Bezpieczeństwo to proces, nie produkt. To ciągłe monitorowanie, regularne aktualizacje, nieustanna edukacja i gotowość do szybkiej reakcji. To także współpraca – z partnerami technologicznymi, z klientami, z całą społecznością bezpieczeństwa.
W 2026 roku cykl „Bezpieczny Wtorek ze SNOK” będzie kontynuowany. Będziemy analizować nowe zagrożenia, komentować zmiany regulacyjne i dzielić się praktycznym doświadczeniem z projektów. Bo w świecie, gdzie atakujący nie odpoczywają, obrońcy też nie mogą sobie na to pozwolić.
***
SNOK Sp. z o.o. to polska firma konsultingowa z ponad 25-letnim doświadczeniem w technologii SAP. Jako SAP Partner, partner SecurityBridge i UiPath, wspieramy organizacje w budowaniu bezpiecznych, wydajnych i odpornych środowisk IT.
Więcej informacji: snok.ai