–Przeprowadziliśmy badanie wśród polskich przedsiębiorców – małych, średnich idużych, aby ocenić, jak wygląda ich świadomość związana zcyberprzestępczością ipotrzebą ochrony przed cyberatakami. To, co nas zaskoczyło, to brak świadomości na temat zagrożeń– podkreśla wrozmowie zagencją Newseria Małgorzata Domagała, VP, dyrektorka ds. produktów irozwiązań Mastercard na Polskę, Czechy iSłowację. –Wśród małych firm tylko 5 proc. obawia się cyberataków.
Tylko wubiegłym roku CERT Polska obsłużył ponad 260 tys. incydentów – o152 proc. więcej niż rok wcześniej. Mimo to, jak wynika zbadania Mastercard, 71 proc. ankietowanych reprezentantów małych firm ocenia ryzyko ataku cybernetycznego na swoje przedsiębiorstwo jako niskie lub raczej niskie. Tylko 5 proc. zauważa bardzo wysokie cyberzagrożenie dlaswojej organizacji. Duże firmy pod tym kątem wykazują zdecydowanie mniej optymizmu – 18 proc. dostrzega bardzo wysokie lub wysokie ryzyko ataku.
– Świadomość zagrożeń skorelowana jest nietylko zwielkością organizacji, ale również zdoświadczeniami firmy. Organizacje, które mają jużatak za sobą, częściej dostrzegają potencjalne ryzyka na przyszłość. W Polsce 1/4 małych firm, 44 proc. średnich firm iponad 50 proc. dużych firm już doświadczyło takiego cyberataku– wskazuje Małgorzata Domagała.
Według małych firm obszary uznawane za najbardziej podatne na działania cyberprzestępców to dane klientów (46 proc.) orazdane finansowe iksięgowe (41 proc.). Średnie iduże organizacje częściej wskazują natomiast na wewnętrzne systemy IT, bazy danych, dane pracowników idokumenty strategiczne.
–Widzimy na podstawie analiz iinformacji od wyspecjalizowanych organizacji zajmujących się cyberbezpieczeństwem, że najczęściej atakowane są zasoby związane zdanymi klientów idanymi pracowników– ocenia dyrektorka ds. produktów irozwiązań Mastercard na Polskę, Czechy iSłowację.
Najczęściej ofiarami cyberprzestępców padają podmioty zbranży produkcyjnej (49 proc.), handlowej (38 proc.) oraze-commerce (34 proc.).
–Przedsiębiorcy niedoceniają skali ataków. Zagrożeń jest więcej niż te, zktórychzdają oni sobie sprawę,a jednocześnie firmy deklarują większą gotowość ilepszezabezpieczenia organizacji niż te, którymi dysponująw rzeczywistości– ocenia ekspertka.
Największe niedoszacowanie zagrożeń dotyczy najmniejszych podmiotów. Z badania wynika, że wiele znich zakłada, iż cyberprzestępcy koncentrują się przede wszystkim na dużych organizacjach. Dane zbadania wskazują, że mniejsze firmy również są częstym celem ataków, m.in. ze względu na niższy poziom zabezpieczeń orazdostęp do danych klientów lub partnerów biznesowych.
– Cyberprzestępczość to jest wtej chwili trzecia gospodarka na świecie–jej wartość to10,5 bln dol. rocznie. W związku ztym, jeżeli mała firma ma odpowiednio atrakcyjne zasoby związane czy zbazą klientów, czy swoimi danymi, to może zostać zaatakowana– przekonuje Małgorzata Domagała.
Najczęstsze formy ataków to ransomware orazdziałania zwykorzystaniem socjotechniki. W pierwszym przypadku cyberprzestępcy blokują dostęp do systemów iżądają okupu, wdrugim – wykorzystują manipulację, aby uzyskać dostęp do danych lub infrastruktury.Skala tego typu zagrożeń widoczna jest także wdanych CERT Polska – tylko w2025 roku zablokowano ponad 140 mln prób wejścia na złośliwe strony, które często podszywają się pod banki, firmy kurierskie czy usługi publiczne.
–Czasami cyberprzestępcy podszywają się pod przełożonych iwywołują poczucie, że „coś”trzeba zrobić nagle ikonieczne jest szybkie działanie. Powodują, że u pracownika włącza się mechanizm strachu iinstynktownego reagowania, który sprawia, że dana osoba niemyśli racjonalnie– tłumaczy ekspertka Mastercard.
Badanie Mastercard pokazuje, że to właśnie czynnik ludzki pozostaje jednym zkluczowych elementów ryzyka. Jednocześnie działania firm po incydentach koncentrują się głównie na usuwaniu skutków ataku. Rzadziej wdrażane są rozwiązania ocharakterze długofalowym, takie jak systemowe zarządzanie ryzykiem czy regularna edukacja pracowników.
Duże iśrednie firmy orazte, które wprzeszłości doświadczyły cyberataku, częściej mają plan reagowania na incydenty cyberprzestępcze. W przypadku małych firm tylko 18 proc. posiada tego typu dokument. Podobnie jest wpodejściu do szkolenia pracowników – 64 proc. dużych podmiotów szkoli pracowników wobszarze cyberbezpieczeństwa przynajmniej raz wroku, a ponad połowa małych jeszcze nigdy nieprzeprowadziła tego typu szkoleń.
–Jeżeli pomyślimy, że manipulacja jest jednym zkluczowych elementów związanych zatakami, to można sobie wyobrazić, że głównym inajlepszym rozwiązaniem jest edukacja pracowników. Natomiast niewielki odsetek firm zaatakowanych informuje otym pracowników orazprzekazuje im instrukcje, co należałoby zrobić ijak się przed takim cyberatakiem chronić.Dostrzegamy ogromną lukęedukacyjną, a wnaszej ocenie właśnie świadomość iedukacja pracowników mogłyby wdużej mierze wesprzeć budowanie odporności cyfrowej firm– podkreśla Małgorzata Domagała.
