Styczeń 2025 r. — Zakład Usług Komunalnych w Szczecinie, firma Eurocert; marzec — szpital MWSiA w Krakowie, Smyk; kwiecień — Powiatowy Urząd Pracy w Żorach; czerwiec — Poznańska Pracownia Patomorfologii i Cytologii; lipiec — Herbapol, PWN; 14 sierpnia — Marma, producent folii. To tylko kilka przykładów firm, instytucji i urzędów, które stały się celem cyberataków i opinia publiczna została o nich poinformowana. Liczba przypadków nieujawnionych incydentów jest z pewnością znacznie większa.
W tym tygodniu kanał podcastowy BBC Daily Business opublikował podcast zatytułowany „Is cybercrime the biggest threat to business”. Występujący w nim specjaliści od cyberzabezpieczeń z całego świata zgodnie odpowiadają twierdząco — celowane ataki na firmy, instytucje i infrastrukturę krytyczną stają się plagą i codziennym wyzwaniem dla służb oraz przedsiębiorców. Tylko w ostatnich kilku dniach przestępcy włamali się do systemów informatycznych dużej telekomunikacyjnej firmy Colt w Londynie, do jednej ze spółek grupy pożyczkowej Welcome Finance w Korei Południowej, do firmy zarządzającej siecią ropociągów i gazociągów w Pakistanie oraz do producenta leków w USA. W każdym przypadku doszło do próby przejęcia infrastruktury i zaszyfrowania danych, aby szantażować poszkodowanych i zmusić do zapłaty okupu za odblokowanie systemów.
Według raportu „Ekonomiczne skutki cyberataków”, przygotowanego przez zespół głównego ekonomisty VeloBanku, globalne straty z tytułu ataków ransomware na firmy szacowane są na 1-10 proc. światowego PKB. Wyliczenie kosztów jest trudne, ponieważ rachunek obejmuje cały szereg pozycji: przerwa w biznesie, przywrócenie produkcji, wydatki na odtworzenie infrastruktury, często okup. Do tego dochodzą koszty pośrednie: straty wizerunkowe, utrata kontraktów, podważenie reputacji wśród klientów, możliwe roszczenia od poszkodowanych wskutek ataków. MFW szacuje bezpośrednie straty na 28 mld USD.
Nie ma statystyk dla Polski, natomiast skala szkód powodowanych przez cyberprzestępców musi być znaczna, bo jak wynika z badań, jesteśmy w światowej czołówce, jeśli chodzi o notowaną liczbę ataków wymierzonych w biznes. Z danych Eurostatu — dość już historycznych, bo z 2022 r. — wynika, że aż 30 proc. polskich firm zatrudniających powyżej dziewięciu osób odnotowało takie incydenty (wykres).
„Polskie przedsiębiorstwa zgłaszają więcej incydentów związanych z bezpieczeństwem cyfrowym niż średnia unijna, szczególnie w zakresie awarii sprzętu i oprogramowania. Incydenty te są znacznie częstsze niż w innych krajach UE, podczas gdy inne typy problemów są na zbliżonym poziomie” — czytamy w raporcie VeloBanku.
Wojna hybrydowa na wschodniej flance NATO
Najczęściej występującym incydentem w Polsce i UE była awaria sprzętu lub oprogramowania skutkująca brakiem dostępności usług ICT. 27,4 proc. rodzimych firm informowało o takich przypadkach, podczas gdy średnia unijna wyniosła 18,7 proc. Zniszczenie lub uszkodzenie danych w wyniku awarii sprzętu lub oprogramowania to drugi co do częstotliwości zgłaszany incydent. W Polsce dotknął on 7,5 proc. firm w porównaniu z 3,9 proc. w UE. Nieco mniej niż w UE było ataków typu ransomware i DoS — w Polsce zgłosiło je 2,9 proc. firm, a w UE 3,5 proc.
Analitycy VeloBanku zwracają uwagę, że wysoki odsetek firm raportujących incydenty cyberbezpieczeństwa notują również inne kraje wschodniej flanki NATO. Położenie geograficzne stanowi klucz do odpowiedzi na pytanie, dlaczego polskie firmy tak często doświadczają ataków cybernetycznych. Firma Eset podaje, że spośród zaraportowanych w I półroczu 2025 przypadków malware aż 9 proc. wykryto w Polsce. Więcej przypadków odnotowano tylko w USA i Turcji (wykres).
„Wysokie udziały zanotowały również Ukraina, Niemcy i Francja (po 7,5 proc.), co potwierdza, że Europa Środkowa i Zachodnia pozostają obszarami intensywnej aktywności cyberprzestępczej. Łącznie 20 krajów o najwyższym udziale odpowiadało za ponad 93 proc. globalnych wykryć, co wskazuje na silną koncentrację zagrożeń w wybranych regionach o wysokim stopniu cyfryzacji, obecności infrastruktury krytycznej lub aktywnym zaangażowaniu w konflikty zbrojne i hybrydowe” — stwierdzają autorzy raportu VeloBanku.
Dobre miejsce Polski w rankingach cyberbezpieczeństwa
Krzepiący jest fakt, że Polska stosunkowo wysoko stoi również w rankingach cyberbezpieczeństwa. Magazyn MIT Technology Review umieścił nas na 6. miejscu w Cyber Defence Index 2022/23 — za Australią, Holandią, Koreą Płd., USA i Kanadą.
Ekonomiści VeloBanku podkreślają, że „w przypadku znajdującej się na trzecim miejscu Korei Płd. i szóstym miejscu Polski dużą rolę w liczbie przyznanych w rankingu punktów odegrała geopolityka. Oba kraje zostały docenione za skuteczne odpieranie ataków pochodzących z krajów sąsiadujących — Korei Północnej i Rosji. Polska została doceniona m.in. za działania realizowane przez Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni”
Międzynarodowa organizacja telekomunikacyjna ITU w raporcie za 2024 r. zalicza Polskę do grona krajów rozwijających się pod względem ekosystemu bezpieczeństwa. Jesteśmy tu w towarzystwie m.in. Izraela. ITU wytyka nam brak dostatecznie rozwiniętej infrastruktury cyberbezpieczeństwa — prawnej i regulacyjnej.
Milionowe koszty okupu
Jak wspomniano, w Polsce brakuje statystyk dotyczących strat, jakie biznes ponosi wskutek cyberataków. Od niedawna mamy takie dane dotyczące osób fizycznych — od roku publikuje je NBP — które pokazały ogromną skalę szkód powodowanych przez przestępców. Roczny koszt działalności przestępczej przekracza 0,5 mld zł. Jednostkowo, statystycznie, straty nie są duże — średnia to 8 tys. zł. Podobnie jest z jednostkowymi stratami firm. VeloBank podjął próbę oszacowania średniego kosztu incydentu cybernetycznego w Polsce, korzystając z danych Statista.
„Koszt cyberataku, zniszczenia lub utraty danych wyniósł 32 tys. zł. Suma ta nie wydaje się tak wysoka, ale pamiętajmy, że oznacza to, że niektóre firmy mają straty sięgające wielokrotności milionów złotych” — konkludują autorzy raportu.
W przypadku niedawnego ataku na polską firmę przestępcy mieli żądać 900 tys. USD okupu.
Według badań Sophos 42 proc. ofiar, które zapłaciły okup, przelewa cyberprzestępcom do 100 tys. zł, 1/3 firm przekazuje ponad 500 tys. zł, a 8 proc. płaci nawet ponad 5 mln zł. Na zapłatę okupu zdecydowało się 39 proc. zaatakowanych firm. Niestety, mimo to 6 proc. firm straciło wszystkie swoje dane.
Polisa od cyberataku
Jednym ze sposobów zabezpieczenia się przed stratami powodowanymi przez cyberataki jest wykupienie polisy. W Polsce ubezpiecza się tylko 14 proc. firm, podczas gdy w Danii 71, w Szwecji 46, a w Irlandii 42 proc. We Francji odsetek ubezpieczonych sięga 40 proc., a w Niemczech 32. Są oczywiście kraje, gdzie odsetki te są jeszcze niższe niż w Polsce. To przede wszystkim Bułgaria, Litwa, Węgry, Rumunia i inne kraje naszego regionu Europy, gdzie z takich ubezpieczeń korzysta zaledwie kilka procent firm.
1. Inwestycje w nowoczesne technologie zabezpieczeń
Firewalle nowej generacji, oprogramowanie klasy XDR/ERD (Extended Detection and Response), które uzupełnia, a wręcz zastępuje oprogramowania antywirusowe działające w trybie expost na aktualizowanych sygnaturach złośliwego oprogramowania, systemy wykrywania i zapobiegania włamaniom (IDS/IPS) oraz narzędzia do analizy zagrożeń (SIEM, SOAR czy nawet platformy AI-driven dla zapewnienia bezpieczeństwa operacji nadzorowanych przez SOC).
2. Regularna aktualizacja oprogramowania
Wdrażanie poprawek bezpieczeństwa (patch management) eliminuje luki w oprogramowaniu.
3. Szkolenia pracowników
Regularne szkolenia dotyczące identyfikacji zagrożeń, takich jak phishing i spear-phishing, które są najczęstszą przyczyną infekcji ransomware.
4. Backup danych
Zgodnie z zasadą 3-2-1 firmy powinny mieć trzy kopie swoich danych na dwóch różnych nośnikach, z jedną kopią przechowywaną poza siedzibą.
5. Plan reagowania na incydenty
Plan powinien uwzględniać szybką reakcję, minimalizację strat oraz komunikację zarówno wewnątrz firmy, jak też na zewnątrz, np. z regulatorami i klientami.
6. Zarządzanie dostępami
Ograniczenie dostępu do danych i systemów IT tylko do tych pracowników, którzy tego potrzebują, znacznie zmniejsza ryzyko ataków.
7. Ubezpieczenie cybernetyczne
Polisa może pokryć część kosztów związanych z incydentami takimi jak odzyskiwanie danych, rekompensata dla klientów, a także koszty wynikające z przerw w działalności operacyjnej.
8. Monitorowanie zagrożeń w czasie rzeczywistym
9. Audyt i testy penetracyjne
Dobrą praktyką jest także wdrożenie koncepcji realizacji projektów IT w modelu SecurityByDesign. Już w początkowych etapach pozwala to uwzględnić kwestie bezpieczeństwa wdrażanych produktów, serwisów czy funkcji, a dodatkowo narzuca obowiązek przeprowadzenia z wynikiem pozytywnym testów penetracyjnych rozwiązania przed uruchomieniem produkcyjnym.
10. Współpraca z organami regulacyjnymi i Policją
Firmy powinny współpracować z krajowymi oraz międzynarodowymi organami, takimi jak CSIRT NASK, CSIRT KNF, Centralne Biuro Zwalczania Cyberprzestępczości.
