Świadomość zagrożeń cybernetycznych w firmach wciąż niska. Szczególnie małe firmy uznają to ryzyko za niewielkie

Polskie firmy wciąż nie doszacowują ryzyka cyberataków, choć skala zagrożenia szybko rośnie. Z danych CERT Polska wynika, że w 2025 roku zarejestrowano 260,8 tys. incydentów cyberbezpieczeństwa, a badanie Mastercard pokazuje, że szczególnie małe firmy nadal zbyt często uznają to ryzyko za niewielkie. Według badania cyberatak lub naruszenie bezpieczeństwa cyfrowego miała już za sobą co czwarta mała firma i co druga duża organizacja w Polsce.

– Przeprowadziliśmy badanie wśród polskich przedsiębiorców – małych, średnich i dużych, aby ocenić, jak wygląda ich świadomość związana z cyberprzestępczością i potrzebą ochrony przed cyberatakami. To, co nas zaskoczyło, to brak świadomości na temat zagrożeń – podkreśla w rozmowie z agencją Newseria Małgorzata Domagała, VP, dyrektorka ds. produktów i rozwiązań Mastercard na Polskę, Czechy i Słowację. – Wśród małych firm tylko 5 proc. obawia się cyberataków.

Tylko w ubiegłym roku CERT Polska obsłużył ponad 260 tys. incydentów – o 152 proc. więcej niż rok wcześniej. Mimo to, jak wynika z badania Mastercard, 71 proc. ankietowanych reprezentantów małych firm ocenia ryzyko ataku cybernetycznego na swoje przedsiębiorstwo jako niskie lub raczej niskie. Tylko 5 proc. zauważa bardzo wysokie cyberzagrożenie dla swojej organizacji. Duże firmy pod tym kątem wykazują zdecydowanie mniej optymizmu – 18 proc. dostrzega bardzo wysokie lub wysokie ryzyko ataku.

– Świadomość zagrożeń skorelowana jest nie tylko z wielkością organizacji, ale również z doświadczeniami firmy. Organizacje, które mają już atak za sobą, częściej dostrzegają potencjalne ryzyka na przyszłość. W Polsce 1/4 małych firm, 44 proc. średnich firm i ponad 50 proc. dużych firm już doświadczyło takiego cyberataku – wskazuje Małgorzata Domagała.

Według małych firm obszary uznawane za najbardziej podatne na działania cyberprzestępców to dane klientów (46 proc.) oraz dane finansowe i księgowe (41 proc.). Średnie i duże organizacje częściej wskazują natomiast na wewnętrzne systemy IT, bazy danych, dane pracowników i dokumenty strategiczne.

– Widzimy na podstawie analiz i informacji od wyspecjalizowanych organizacji zajmujących się cyberbezpieczeństwem, że najczęściej atakowane są zasoby związane z danymi klientów i danymi pracowników – ocenia dyrektorka ds. produktów i rozwiązań Mastercard na Polskę, Czechy i Słowację.

Najczęściej ofiarami cyberprzestępców padają podmioty z branży produkcyjnej (49 proc.), handlowej (38 proc.) oraz e-commerce (34 proc.).

– Przedsiębiorcy nie doceniają skali ataków. Zagrożeń jest więcej niż te, z których zdają oni sobie sprawę, a jednocześnie firmy deklarują większą gotowość i lepsze zabezpieczenia organizacji niż te, którymi dysponują w rzeczywistości – ocenia ekspertka.

Największe niedoszacowanie zagrożeń dotyczy najmniejszych podmiotów. Z badania wynika, że wiele z nich zakłada, iż cyberprzestępcy koncentrują się przede wszystkim na dużych organizacjach. Dane z badania wskazują, że mniejsze firmy również są częstym celem ataków, m.in. ze względu na niższy poziom zabezpieczeń oraz dostęp do danych klientów lub partnerów biznesowych.

– Cyberprzestępczość to jest w tej chwili trzecia gospodarka na świecie – jej wartość to 10,5 bln dol. rocznie. W związku z tym, jeżeli mała firma ma odpowiednio atrakcyjne zasoby związane czy z bazą klientów, czy swoimi danymi, to może zostać zaatakowana – przekonuje Małgorzata Domagała.

Najczęstsze formy ataków to ransomware oraz działania z wykorzystaniem socjotechniki. W pierwszym przypadku cyberprzestępcy blokują dostęp do systemów i żądają okupu, w drugim – wykorzystują manipulację, aby uzyskać dostęp do danych lub infrastruktury. Skala tego typu zagrożeń widoczna jest także w danych CERT Polska – tylko w 2025 roku zablokowano ponad 140 mln prób wejścia na złośliwe strony, które często podszywają się pod banki, firmy kurierskie czy usługi publiczne.

– Czasami cyberprzestępcy podszywają się pod przełożonych i wywołują poczucie, że „coś” trzeba zrobić nagle i konieczne jest szybkie działanie. Powodują, że u pracownika włącza się mechanizm strachu i instynktownego reagowania, który sprawia, że dana osoba nie myśli racjonalnie – tłumaczy ekspertka Mastercard.

Badanie Mastercard pokazuje, że to właśnie czynnik ludzki pozostaje jednym z kluczowych elementów ryzyka. Jednocześnie działania firm po incydentach koncentrują się głównie na usuwaniu skutków ataku. Rzadziej wdrażane są rozwiązania o charakterze długofalowym, takie jak systemowe zarządzanie ryzykiem czy regularna edukacja pracowników.

Duże i średnie firmy oraz te, które w przeszłości doświadczyły cyberataku, częściej mają plan reagowania na incydenty cyberprzestępcze. W przypadku małych firm tylko 18 proc. posiada tego typu dokument. Podobnie jest w podejściu do szkolenia pracowników – 64 proc. dużych podmiotów szkoli pracowników w obszarze cyberbezpieczeństwa przynajmniej raz w roku, a ponad połowa małych jeszcze nigdy nie przeprowadziła tego typu szkoleń.

– Jeżeli pomyślimy, że manipulacja jest jednym z kluczowych elementów związanych z atakami, to można sobie wyobrazić, że głównym i najlepszym rozwiązaniem jest edukacja pracowników. Natomiast niewielki odsetek firm zaatakowanych informuje o tym pracowników oraz przekazuje im instrukcje, co należałoby zrobić i jak się przed takim cyberatakiem chronić. Dostrzegamy ogromną lukę edukacyjną, a w naszej ocenie właśnie świadomość i edukacja pracowników mogłyby w dużej mierze wesprzeć budowanie odporności cyfrowej firm – podkreśla Małgorzata Domagała.