Bezpieczeństwo mobilne w Europie

Bezpieczeństwo mobilne przestało być tematem pobocznym. Dziś jest w centrum uwagi organizacji w całej Europie. Nie da się już traktować telefonów i tabletów wyłącznie jako narzędzi do komunikacji.  To często najszybsza droga do Twojej organizacji: zawsze włączone, połączone z siecią i rutynowo używane do logowania, zatwierdzania dostępu i otwierania danych firmowych w poczcie e-mail, plikach i aplikacjach używanych do pracy.

W europejskich środowiskach pracy wielokrotnie pojawia się ten sam schemat. Ryzyko mobilne rzadko pojawia się jako dramatyczne "włamanie przez telefon". Częściej to skradziony token sesji, przejęta skrzynka pocztowa, poufny załącznik przesłany z prywatnego telefonu lub smartfon, który otwiera drzwi do większego incydentu.

Takie incydenty nie są codziennością, ale pokazują jedno: bezpieczeństwo mobilne nie może całkowicie zależeć od tego, czy użytkownicy zawsze postępują właściwie.

Ten artykuł wyjaśnia bezpieczeństwo mobilne w Europie w praktyczny sposób - jakie wymagania nakładają unijne przepisy, jakie są główne zagrożenia, co pomaga chronić system MDM i jaką rolę odgrywają rozwiązania Mobile Threat Defense.

W skrócie

• Bezpieczeństwo mobilne oznacza ochronę telefonów i tabletów jako urządzeń o kluczowym znaczeniu, a nie tylko narzędzi do połączeń, wiadomości i poczty e-mail.

• Europejska presja na zgodność z przepisami rośnie, a organy regulacyjne coraz częściej oczekują wdrożonych mechanizmów kontroli ryzyka, a nie tylko polityk i procedur na papierze - w odniesieniu do NIS2, RODO i przepisów sektorowych, takich jak DORA.

• MDM jest fundamentem, na którym opiera się kontrola urządzeń mobilnych, ale nie jest w stanie dostrzec ani powstrzymać wielu aktualnych zagrożeń, takich jak smishing, ryzykowne sieci czy podejrzane aplikacje.

• Mobile Threat Defense (MTD) dostarcza sygnałów o zagrożeniach i umożliwia reakcję tam, gdzie same polityki bezpieczeństwa nie wystarczą.

• Większość organizacji osiąga najlepsze wyniki, łącząc zarządzanie (MDM) i ochronę (MTD) w jednym podejściu.

Dlaczego bezpieczeństwo mobilne nabiera coraz większego znaczenia w Europie

Urządzenia mobilne stanowią obecnie główną ścieżkę dostępu do wrażliwych usług i danych. A kiedy ten dostęp jest nadużywany, problem rzadko jest "tylko mobilny" - szybko zamienia się w szerszy incydent operacyjny lub regulacyjny.

Polska jako jeden z najbardziej atakowanych krajów w Europie

Dane z 2025 roku pokazują, że:

• Polska była najczęściej atakowanym krajem na świecie w II kwartale 2025 roku w kategorii ataków motywowanych politycznie i społecznie.
• 88% organizacji w Polsce doświadczyło cyberataku lub wycieku danych w ostatnich latach.

Również dane CERT Polska pokazują skalę problemu:

• W 2025 roku zgłoszono ponad 658 tys. podejrzanych zdarzeń, a potwierdzono 260,8 tys. incydentów cyberbezpieczeństwa — to wzrost o 152% rok do roku.
• Dominującą kategorią był phishing. 

W praktyce oznacza to jedno: organizacje w Polsce działają w środowisku o podwyższonym ryzyku, szczególnie w sektorach publicznych, energetycznych i infrastrukturalnych.

Rola urządzeń mobilnych w nowoczesnych łańcuchach ataku

W wielu realnych incydentach telefon nie jest celem końcowym. To początek.

Typowy scenariusz:

• Użytkownik klika łącze na telefonie, ponieważ wygląda ono na "wystarczająco bezpieczne".

• Sesja logowania zostaje przejęta.

• Monity uwierzytelniania wieloskładnikowego (MFA) są zatwierdzane na tym samym urządzeniu, które zostało użyte do przeglądania strony phishingowej.

• Reguły skrzynki pocztowej, uprawnienia aplikacji w chmurze lub narzędzia do współpracy stają się prawdziwym obszarem roboczym atakującego.

Dlatego nie można traktować urządzeń mobilnych jako bocznego kanału komunikacji — często jest to najszybsza droga do kont, aplikacji i usług.

Konsekwencje słabych zabezpieczeń mobilnych

Gdy ochrona mobilna zawodzi, skutki są zwykle podobne:

• Wyciek danych: listy kontaktów, e-maile, dokumenty i tokeny uwierzytelniające.

• Zakłócenia operacyjne: zablokowane konta, urządzenia poddane kwarantannie, wstrzymane usługi.

• Ryzyko regulacyjne: w tym grzywny administracyjne RODO w wysokości do 20 mln EUR lub 4% światowego obrotu w przypadku niektórych naruszeń. (RODO | EUR-Lex)

• Negatywny wpływ na reputację: szczególnie w usługach publicznych, w których zaufanie jest częścią misji.

To jeszcze nie jest powód do paniki. Ta sytuacja wymaga przygotowania planu, który działa w prawdziwym świecie w obliczu realnych zagrożeń.

Europejski krajobraz zagrożeń jest bardzo realny

Analiza zagrożeń raportu ENISA z 2024 r. wskazuje, że administracja publiczna to jeden z najczęściej atakowanych sektorów (19% incydentów). (Krajobraz zagrożeń ENISA 2024)

Nie jest to jednak problem wyłącznie organizacji rządowych. ENISA wskazuje także na sektor opieki zdrowotnej, finanse, energetykę i przedsiębiorstwa użyteczności publicznej, transport, telekomunikację/ICT i innych dużych pracodawców z wrażliwymi danymi i usługami 24/7. (ENISA Threat Landscape 2024)

Wniosek jest prosty: nie musisz być ministerstwem obrony, aby stać się celem ataku. Jeśli telefony i tablety są używane do zatwierdzania dostępu, obsługi incydentów lub uzyskiwania dostępu do podstawowych systemów, Twoja organizacja również może się znaleźć na celowniku cyberprzestępców.

Europejskie przepisy bezpieczeństwa

W tym środowisku wysokiego ryzyka Europa dodaje kolejną warstwę presji: w wielu sektorach bezpieczeństwo mobilne musi sprostać kontroli regulacyjnej, a także rzeczywistości technicznej.Ten krajobraz regulacyjny wpływa nie tylko na organizacje wymienione w unijnych przepisach, ale także na ich dostawców, dlatego ważne jest, aby zrozumieć, czego wymaga każda dyrektywa.

• Dyrektywa NIS2 określa szerokie oczekiwania w zakresie zarządzania ryzykiem cyberbezpieczeństwa, wymagając od organizacji podjęcia "odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych". (Dyrektywa NIS2 | EUR-Lex)

• RODO ma zastosowanie w każdym przypadku, gdy urządzenia mobilne przetwarzają dane osobowe — co w większości organizacji oznacza codzienne elementy, takie jak wiadomości e-mail, kontakty, kalendarze, notatki i dokumenty. (RODO | EUR-Lex)

• W usługach finansowych i ich łańcuchu dostaw ICT, DORA podnosi oczekiwania dotyczące zarządzania ryzykiem ICT, odporności i obsługi incydentów - a mobilny dostęp do podstawowych systemów jest w to włączony. (Rozporządzenie DORA (UE) 2022/2554)

• W przypadku podmiotów krytycznych dyrektywa CER wzmacnia oczekiwania dotyczące odporności w szerszym zakresie, a ryzyko cybernetyczne jest jej kluczowym elementem. (Dyrektywa CER (UE) 2022/2557)

Mówiąc prościej: musisz wykazać, że celowo zarządzasz ryzykiem mobilnym - wiesz, jakie masz urządzenia, wdrażasz podstawowe mechanizmy kontroli oraz potrafisz wykryć i zareagować, gdy coś pójdzie nie tak.

Europa coraz częściej wymaga, aby kontrole bezpieczeństwa mobilnego były przejrzyste, egzekwowalne i możliwe do weryfikacji — bo telefony i tablety często są pierwszym punktem wejścia dla szerszych ataków.

Aktualne zagrożenia mobilne dla organizacji

Aby zrozumieć dzisiejszy krajobraz zagrożeń mobilnych, pomocne jest pogrupowanie zagrożeń według sposobu, w jaki zwykle się pojawiają: wiadomości, aplikacje i sieci.

Smishing, phishing i decyzje dotyczące "małych ekranów"

Phishing nie jest niczym nowym. Mobilność sprawia, że łatwiej się na niego nabrać.

• Skrócone linki i ograniczony kontekst na ekranach.
  
  
• Ludzie są w ciągłym ruchu, nie skupiają uwagi (dojazdy do pracy, spotkania, dyżury).
  
  
• Powiadomienia, które uczą użytkowników zatwierdzania wiadomości.

A ich ilość jest nieubłagana. Dane CERT Polska pokazują skalę problemu:

• W 2025 roku zgłoszono ponad 658 tys. podejrzanych zdarzeń, a potwierdzono 260,8 tys. incydentów cyberbezpieczeństwa — to wzrost o 152% rok do roku.
• Dominującą kategorią był phishing. W samym grudniu odnotowano 7 300 phishingów, a operatorzy zgłosili 295 200 podejrzanych SMS‑ów.

To nie jest przykład dotyczący wyłącznie mobilności, ale dobrze opisuje zachowania użytkowników. Badanie Proofpoint State of the Phish z 2024 r. wykazało, że 24% użytkowników przyznało się do odpowiedzi na wiadomość (e-mail lub SMS) od kogoś, kogo nie znają. (Proofpoint: Raport 2024 State of the Phish)

Złośliwe i ryzykowne aplikacje

We flotach przedsiębiorstw i sektora publicznego problemem często nie jest "ewidentnie zła aplikacja", ale..:

• Legalnie wyglądająca aplikacja z agresywnymi uprawnieniami.

• Zmodyfikowana aplikacja spoza oficjalnego sklepu.

• Popularna aplikacja, która po cichu gromadzi więcej danych niż powinna.

W praktyce ryzykowne aplikacje nie są na pierwszy rzut oka "podejrzane". Często wyglądają jak codzienne narzędzia — dlatego mogą wślizgnąć się do zarządzanych flot.

Konkretnym przykładem jest Anatsa (znana również jako TeaBot), trojan bankowy, który według niemieckiej federalnej agencji cybernetycznej może przejąć kontrolę nad zainfekowanymi telefonami i wykraść dane bankowe. (BSI: Anatsa / TeaBot) W udokumentowanych kampaniach trafiał na telefony przez aplikacje wyglądające na nieszkodliwe, np. przeglądarki dokumentów lub skanery QR, a potem instalował się jako dodatkowa aktualizacja lub pobrany komponent. (ThreatFabric: Anatsa celuje w Europę) Skutki są proste: gdy znajdzie się na telefonie, może przejąć dostęp do aplikacji bankowych i danych logowania — a taki sam rodzaj kontroli interesuje atakujących, jeśli urządzenie przechowuje też loginy firmowe, dostęp do maili czy poufne dokumenty.

Innym bardzo skutecznym, ukierunkowanym przypadkiem jest Pegasus, komercyjne mobilne oprogramowanie szpiegujące wykorzystywane do ukierunkowanego nadzoru. Stało się o nim głośno w Hiszpanii, gdzie zainfekowane zostały telefony premiera i kilku ministrów.(Amnesty International: Catalans targeted with Pegasus) (AP: Pegasus case cooperation) Hiszpania nie potwierdziła publicznie drogi infekcji, ale Pegasus był dostarczany w innych udokumentowanych kampaniach poprzez exploity "zero-click" w aplikacjach do przesyłania wiadomości - w tym iMessage i WhatsApp - co oznacza, że ofiary nie muszą niczego instalować.(Citizen Lab: FORCEDENTRY) (Google Project Zero: NSO zero-click iMessage exploit) (Financial Times: WhatsApp Pegasus hack)

Więc tak, kontrola aplikacji i oficjalne sklepy pomagają. Ale pozostawiają pole do działania — dlatego bezpieczeństwo mobilne wymaga zarówno silnej kontroli zarządzania, jak i wykrywania zagrożeń na urządzeniu.

Niebezpieczne sieci i ryzyko przechwycenia danych

Użytkownicy mobilni łączą się z siecią gdziekolwiek się znajdują. Obejmuje to niezabezpieczone sieci Wi-Fi w węzłach komunikacyjnych, hotelach i budynkach użyteczności publicznej.

CERT-FR wyjaśnia, w jaki sposób słabości interfejsów bezprzewodowych (komórkowych, Wi-Fi, Bluetooth, NFC) mogą zostać wykorzystane do przechwytywania, zmiany danych lub wdrażania oprogramowania szpiegującego. (Raport CERT-FR/ANSSI CTI-013) Prawdziwy przykład: CERT-FR przytacza przypadek z Paryża, gdzie fałszywa stacja bazowa (IMSI catcher) została znaleziona w pojeździe i powiązana z wiadomościami phishingowymi SMS podszywającymi się pod Assurance Maladie. (Raport CERT-FR/ANSSI CTI-013)

Podobną taktykę "fałszywego masztu" zaobserwowano w Wielkiej Brytanii, gdzie policja opisała narzędzie SMS blaster znajdujące się w samochodzie do wysyłania SMS-ów na pobliskie telefony (UK Finance: SMS blaster case) oraz w Norwegii, gdzie IMSI-catcher jeździł po Oslo i Bergen, wysyłając wiadomości smishingowe podszywające się pod banki i zbierające poufne dane bankowe.(NRK: Økokrim IMSI-catcher case)

W praktyce: jeśli Twoja polityka mówi "nie używaj publicznych sieci Wi-Fi", ale zespoły mobilne i tak z nich korzystają, kontrola istnieje tylko na papierze.

Mobilne zagrożenia przyszłości

Następna fala zagrożeń mobilnych nie pojawi się w uporządkowany i jednoznaczny sposób. Można spodziewać się bardziej wyrafinowanej socjotechniki, ryzykownych ekosystemów aplikacji oraz bardziej zaawansowanych narzędzi do włamań — wszystko to trafia na urządzenia, którym użytkownicy najbardziej ufają.

• Socjotechniki wspomagane przez sztuczną inteligencję (wykorzystująca sztuczną inteligencję do pisania, tłumaczenia i dostosowywania przynęt) sprawi, że phishing i podszywanie się będą łatwiejsze do skalowania i trudniejsze do wykrycia. Brytyjskie NCSC spodziewa się, że sztuczna inteligencja wzmocni skuteczność socjotechniki poprzez poprawę tego, jak przekonujący mogą być atakujący. (UK NCSC: Krótkoterminowy wpływ sztucznej inteligencji na zagrożenia cybernetyczne)
  
  

• Ryzyko związane z łańcuchem dostaw aplikacji (problemy z zewnętrznymi zestawami SDK, bibliotekami lub usługami wewnątrz aplikacji) będzie stale rosnąć, ponieważ aplikacje mobilne opierają się na komponentach zewnętrznych. Gdy jeden z nich zachowuje się źle, "legalna" aplikacja może spowodować wyciek danych.
  
  

• Ukierunkowane narzędzia włamań (specjalistyczne oprogramowanie, np. komercyjny spyware) pozostaną częścią europejskiego krajobrazu ryzyka, dlatego rządy pracują także nad zarządzaniem i nadzorem. (Kodeks postępowania Pall Mall Process)
  
  

• Zagrożenia post-kwantowe (ryzyko, że przyszłe komputery kwantowe mogą osłabić dzisiejsze szyfrowanie z kluczem publicznym) mają największe znaczenie tam, gdzie dane mobilne muszą pozostać poufne przez lata - na przykład rejestry rządowe, dane zdrowotne lub planowanie infrastruktury krytycznej. (ENISA: Kryptografia postkwantowa)

Nie chodzi o to, by przewidzieć każdy zwrot akcji, ale by zaostrzyć to, co kontrolujesz dzisiaj — zaczynając od podstaw: zarządzania urządzeniami.

Fundament:
Zarządzanie urządzeniami mobilnymi (MDM)

MDM (Mobile Device Management) to sposób rejestrowania, konfigurowania i kontrolowania smartfonów i tabletów na dużą skalę.

Co daje MDM w rzeczywistych wdrożeniach

W sektorze publicznym i przedsiębiorstwach podlegających regulacjom prawnym wartość zarządzania urządzeniami mobilnymi jest zarówno operacyjna, jak i techniczna.

MDM zazwyczaj odpowiada za:

• Standaryzowane wdrożenie i onboarding (zarówno urządzenia firmowe, jak i BYOD).

• Konfiguracje (hasła, szyfrowanie, restrykcje, certyfikaty).

• Wdrażanie i cykl życia aplikacji (zdalna instalacja aplikacji, aktualizacje, usuwanie, blacklista i whitelista).

• Zdalne działania (blokada, reset, wycofanie).

• Inwentaryzacja i raportowanie (na potrzeby audytów i reagowania na incydenty).

W praktyce: MDM to sposób na wdrożenie polityki. Napisanie polityki jest szybkie. Jej egzekwowanie na tysiącach urządzeń jest trudniejsze.

Jeśli zastanawiasz się nad wyborem rozwiązania MDM lub planujesz wdrożenie, możesz zobaczyć, jak Techstep podchodzi do zarządzania urządzeniami w praktyce: Techstep Essentials MDM

Dlaczego samo MDM już nie wystarcza

MDM daje solidną podstawę, bez której dalsze zabezpieczenia mobilne nie mają szansy działać. Ale nie chroni przed wszystkimi ryzykami.

Gdzie kontrola zasad napotyka barierę

MDM zapewnia solidną podstawę: potrzebujesz go do rejestracji, wdrożenia podstawowych ustawień, zarządzania aplikacjami i raportów. Ma jednak martwy punkt: nie jest w stanie wiarygodnie zobaczyć, co dzieje się na urządzeniu w danym momencie.

Ma to znaczenie, ponieważ wiele ataków mobilnych nie łamie zasad, ale je obchodzi. Nawet przy najsilniejszym haśle na urządzeniu link typu smishing może wykraść sesję na żywo, ryzykowna sieć Wi-Fi może znajdować się między użytkownikiem a usługą, a złośliwa aplikacja może wyglądać normalnie, dopóki nie zacznie nadużywać uprawnień lub ruchu sieciowego. MDM może wymusić reakcję (zablokować dostęp, usunąć aplikację, poddać urządzenie kwarantannie), ale często potrzebuje innego sygnału, aby wiedzieć, kiedy działać.

Właśnie tę lukę ma wypełnić Mobile Threat Defense: wykrywa phishing i ryzykowne zachowania aplikacji, flaguje niebezpieczne sieci i wyświetla wskaźniki na urządzeniu, których samo MDM nie wychwyci. (Blog bezpieczeństwa Microsoft: kradzież plików cookie do BEC)

Mobile Threat Defense (MTD): Co to jest i dlaczego warto

Mobile Threat Defense (MTD) to technologia bezpieczeństwa zaprojektowana do wykrywania i reagowania na zagrożenia na mobilnych punktach końcowych w czasie rzeczywistym.

Tam, gdzie MDM informuje, czy urządzenie jest poprawnie skonfigurowane, MTD pomaga stwierdzić, czy urządzenie jest narażone lub atakowane w tej chwili.

Czym zajmuje się rozwiązanie MTD

Rozwiązania MTD zazwyczaj koncentrują się na sygnałach takich jak:

• Złośliwe oprogramowanie i ryzykowne zachowanie aplikacji

• Ochrona przed phishingiem i smishingiem

• Ryzyko sieciowe (np. podejrzane Wi-Fi, wzorce przechwytywania)

• Luki w systemie operacyjnym i podejrzany stan urządzenia

Dlaczego potrzebne jest podejście łączone

Podział narzędzi utrudnia działanie: sygnały reagowania widziane są w jednym systemie, polityki w innym — reakcje się opóźniają, alerty krążą między zespołami, a blokady i kwarantanna przychodzą zbyt późno.

Połączenie MDM i MTD działa lepiej, bo łączy zarządzanie urządzeniami z sygnałami zagrożeń. To zwykle oznacza mniej narzędzi, szybsze decyzje i jaśniejsze raporty do audytów.

Od podstawowej kontroli do ochrony urządzeń mobilnych w czasie rzeczywistym

W wielu europejskich organizacjach nie chodzi o to, czy telefony komórkowe są zarządzane. Chodzi o to, czy telefony i tablety są zabezpieczone w sposób, który wytrzymuje presję. Presję regulacyjną, ale też presję związaną z zagrożeniami zewnętrznymi.

Dlaczego suwerenność i lokalizacja danych mają teraz znaczenie w Europie

W Europie pojawia się również bardzo praktyczne pytanie: gdzie przechowywane są dane dotyczące bezpieczeństwa mobilnego i jakie opcje wdrożenia będą dostępne za 10 lat? Wraz z bardziej napiętym klimatem geopolitycznym i rosnącym naciskiem na suwerenność cyfrową, nie jest to już szczegół - dostępność rozwiązania on-site może decydować o tym, czy platforma jest akceptowalna dla usług publicznych i sektorów regulowanych. W praktyce od organizacji często oczekuje się wykazania lokalizacji danych, pewności dostawcy i długoterminowych wyborów - a nie tylko funkcji technicznych.

Praktyczna odpowiedź na współczesne wymagania

Techstep Essentials Mobile Threat Defense: Essentials MDM z wbudowanym rozwiązaniem Pradeo Mobile Threat Defense wychodzi na przeciw potrzebom europejskich instytucji i przedsiębiorstw. Techstep Essentials Mobile Threat Defense to:

• Ujednolicona platforma: jedna konsola i platforma do kontroli urządzeń i wykrywania sygnałów o zagrożeniach.

• Europejska kontrola danych: system rozwijany w Polsce i hostowany w Europie, z danymi przechowywanymi w UE. Interfejs, wsparcie i dokumentacja dostępne w języku polskim.

• Wybór wdrożenia: w chmurze, dedykowanej chmurze lub lokalnie, z obsługą migracji z istniejących wdrożeń i długoterminowym zaangażowaniem w opcję lokalną.

• Certyfikat rządowy: certyfikowany w ramach hiszpańskiego ENS przez Narodowe Centrum Kryptologiczne (CCN) z wpisem do katalogu STIC, posiada poświadczenie bezpieczeństwa osobowego wydane przez Agencję Bezpieczeństwa Wewnętrznego (ABW). (CCN: ENS framework)

W praktyce to rzadkie połączenie dla organizacji europejskich: codzienna kontrola urządzeń, sygnały o zagrożeniach na żywo oraz zgodność z wymaganiami UE, o które faktycznie pytają audytorzy i działy zakupów.

Jeżeli próbujesz osiągnąć to z osobnych narzędzi, zwykle oznacza to dopinanie produktu do innej platformy MDM lub wybór szerszego pakietu zabezpieczeń, w którym hosting w UE, certyfikaty i opcje on-premise nie są zgodne z potrzebami sektora publicznego. Rezultat: więcej „ruchomych części”, wolniejsza reakcja i trudniejsza do obrony strategia bezpieczeństwa mobilnego.