Małe i średnie przedsiębiorstwa są zagrożone atakami cyfrowymi tak samo jak wielkie organizacje, choć ich właściciele i menedżerowie często bagatelizują problem, twierdząc, że nikomu nie będzie zależeć na ataku na tak małą firmę. Liczba cyberataków na małe i średnie przedsiębiorstwa w Polsce rośnie z każdym rokiem. Według raportu Check Point Research w 2023 r. liczba cyberataków na polskie firmy wzrosła o 24 proc. w porównaniu do 2022 r. Średnio na jedną firmę przypadało ponad 1 000 ataków tygodniowo.
Mała firma, duże zagrożenie
Z danych CERT Polska wynika, że małe i średnie przedsiębiorstwa stanowią ok. 60 proc. wszystkich ofiar cyberataków. Atakujący wykorzystują słabe zabezpieczenia i niski poziom świadomości pracowników.
Raport Cybersecurity Threat Landscape 2023 pokazuje, że ataki ransomware (szyfrowanie plików i żądanie okupu) wzrosły w Polsce o 37 proc. w 2023 r. MŚP, które nie mają solidnych kopii zapasowych, często płacą okup, co dodatkowo zachęca przestępców.
Z danych Związku Banków Polskich wynika, że aż 72 proc. ataków phishingowych w Polsce było wymierzonych w sektor MŚP. W wielu przypadkach ataki prowadziły do przejęcia kont bankowych firm lub wyłudzenia pieniędzy przez fałszywe faktury.
Badania przeprowadzone przez PwC Polska wskazują, że średni koszt cyberataku dla małej lub średniej firmy w Polsce to od 50 tys. do 500 tys. zł. W przypadku bardziej zaawansowanych ataków straty mogą przekraczać nawet 1 mln zł, nie licząc szkód wizerunkowych.
Eksperci przewidują, że liczba ataków na MŚP będzie nadal rosła – szczególnie za sprawą coraz bardziej zaawansowanych oszustw AI (np. deepfake).
Ataki phishingowe staną się bardziej wyrafinowane – cyberprzestępcy będą używać fałszywych rozmów telefonicznych generowanych przez sztuczną inteligencję. Jednocześnie nadal będzie rosła rola regulacji i zabezpieczeń – firmy będą musiały dostosować się do nowych wymagań UE, takich jak dyrektywa NIS2, która weszła w życie w 2024 r. i nałożyła na przedsiębiorców większe obowiązki w zakresie cyberbezpieczeństwa.
Taki odsetek wszystkch cyberataków na przedsiębiorstwa stanowią małe i średnie firmy.
Niewystarczające działania
W 2024 r. cyberbezpieczeństwo MŚP w Polsce poprawiło się, ale wciąż pozostaje wiele do zrobienia. Coraz więcej firm wdraża podstawowe środki ochrony, ale brak budżetów i świadomości nadal stanowi problem. Rosnąca liczba cyberataków sprawia, że przedsiębiorcy powinni traktować bezpieczeństwo IT priorytetowo – to już nie opcja, ale konieczność.
Co prawda większość MŚP stosuje podstawowe środki ochrony, takie jak firewalle czy programy antywirusowe, ale często brakuje im bardziej zaawansowanych rozwiązań, takich jak systemy wykrywania i zapobiegania włamaniom (IDS/IPS), szyfrowanie danych czy regularne audyty bezpieczeństwa. Brak im również kompleksowych strategii zarządzania ryzykiem cybernetycznym, co czyni je bardziej podatnymi na ataki. Elementami takiej strategii są m.in. zasady informowania o incydentach, wyznaczenie osób odpowiedzialnych za reagowanie na cyberzagrożenia i przeszkolenie pracowników nie tylko z zasad cyberbezpieczeństwa, ale i z procedur, które powinny być wdrażane w momencie wystąpienia takich zagrożeń.
Polscy przedsiębiorcy chcieliby pracować bezpiecznie, ale często na przeszkodzie stają finanse. Małe i średnie przedsiębiorstwa muszą ponosić relatywnie wysokie koszty nowoczesnych technologii. Jednocześnie sektor MŚP, który mógłby korzystać z tanich, a czasem darmowych rozwiązań open source, pada ofiarą przyzwyczajenia. Jedyny znany przedsiębiorcom system operacyjny to Microsoft Windows, a jedyne znane narzędzia – systemy CRM, magazynowe czy spedycyjne – powstały właśnie dla Windows. Przedsiębiorcy często słyszeli o systemach opartych na Linuxie, ale boją się, że „przesiadka” na nie mogłaby być zbyt skomplikowana.
Droga do bezpieczeństwa
Jak MŚP w Polsce mogą poprawić swoje cyberbezpieczeństwo? Pierwszym krokiem jest regularne szkolenie pracowników. Wystarczą krótkie, ale powtarzane w miarę potrzeb kursy online i testy phishingowe, które pokażą pracownikom, jakie metody mogą stosować wobec nich cyberprzestępcy.
Kolejny krok to uświadomienie pracownikom roli, jaką w zabezpieczeniach odgrywają silne hasła i 2FA. To też moment, w którym przedsiębiorcy powinni wdrożyć w swoich firmach managery haseł i uwierzytelnianie dwuskładnikowe.
Niezbędne są także regularne aktualizacje oprogramowania. Systemy, programy antywirusowe i zapory ogniowe muszą być aktualne. Ich producenci zwykle szybko reagują na działania cyberprzestępców, usprawniając zabezpieczenia.
Przedsiębiorcy muszą też mieć świadomość, jak ważną rolę odgrywają kopie zapasowe (backupy). Można je tworzyć automatycznie na zewnętrznych serwerach, można wykorzystać zewnętrzne zabezpieczone dyski w samej firmie. W przypadku regularnie wykonywanych backupów firma zabezpiecza się przed utratą danych lub ogranicza skalę takiej utraty.
Ważnym elementem strategii każdego, a więc i małego, i średniego przedsiębiorstwa jest opracowanie polityki dostępu do danych. Nawet w niewielkiej firmie dostęp do ważnych plików powinny mieć tylko upoważnione osoby.
Ataki phishingowe
Cyberprzestępcy podszywają się pod banki, urzędy lub partnerów biznesowych, wysyłając fałszywe e-maile z linkami do zainfekowanych stron. Wiele firm nieświadomie udostępnia dane logowania lub pobiera zainfekowane załączniki.
Ransomware – blokada danych za okup
Ataki ransomware, czyli szyfrowanie plików i żądanie okupu za ich odzyskanie, stanowią poważne zagrożenie. W 2023 r. wiele polskich firm, w tym przedsiębiorstwa z branży logistycznej i handlowej, padło ofiarą tego typu ataków.
Ataki na łańcuch dostaw
Coraz częściej cyberprzestępcy wykorzystują słabe punkty w łańcuchach dostaw, aby dotrzeć do większych firm poprzez ich mniejszych partnerów.
Słabe hasła i brak uwierzytelniania dwuskładnikowego
Wiele firm nadal używa łatwych do odgadnięcia haseł (np. „123456” lub „firma#2024”), a brak uwierzytelniania dwuskładnikowego (2FA) ułatwia hakerom dostęp do systemów.
Nieaktualizowane oprogramowanie i brak zabezpieczeń
MŚP często oszczędzają na IT i nie aktualizują systemów, co prowadzi do powstawania luk w zabezpieczeniach. Częsty problem MŚP to brak oprogramowania antywirusowego i dobrze skonfigurowanych zapór ogniowych (firewalli).
Brak świadomości i szkoleń pracowników
Wielu pracowników nie rozpoznaje zagrożeń przychodzących z sieci. Otwierają podejrzane pliki, które zwykle instalują na komputerach złośliwe oprogramowanie, odpowiadają na wiadomości phishingowe. Brak szkoleń z cyberbezpieczeństwa sprawia, że łatwo padają ofiarą socjotechniki (np. fałszywych e-maili z prośbą o przelew).
Ochrona przed phishingiem i cyberatakami
- CrowdStrike Falcon - zaawansowana platforma bezpieczeństwa, chroniąca stacje robocze i serwery przed atakami, wykorzystująca AI i Threat Intelligence.
- Proofpoint Email Security Essential – technologia enterprise dla każdego, kompleksowe narzędzie do ochrony poczty
- Netia DNS Shield, Orange Cyber Tarcza, T-Mobile Cyber Guard - usługi operatorów, zapewniające bezpieczeństwo sieci i ochronę przed złośliwym oprogramowaniem
Menedżery haseł i uwierzytelnianie dwuskładnikowe (2FA)
- Bitwarden – bezpieczny i tani menedżer haseł dla firm, który pozwala przechowywać i udostępniać hasła w zespole.
- 1Password – świetna opcja dla firm o wyższym poziomie bezpieczeństwa (np. agencje IT, kancelarie prawne).
- YubiKey – fizyczne klucze sprzętowe do logowania (superbezpieczne, szczególnie dla kont bankowych i e-maili).
Zabezpieczenie sieci i systemów firmowych
- Fortinet FortiGate - z usługą SOC-as-a-Service od producenta i analityką 24/7
- Cisco Umbrella – filtruje ruch sieciowy i blokuje dostęp do zł-śliwych stron internetowych.
- NETIA, Orange, T-Mobile - serwisy zarządzane przez czołowych polskich operatorów przy wsparciu ekspertów od cyberbezpieczeństwa
Backupy i odzyskiwanie danych
- HPE Zerto - Disaster Rocovery dla środowisk IT, połączone z ochroną przed ransomware
- Veeam Backup & Replication – popularne narzędzie do automatycznych backupów dla firm (dobre dla Windows i Linux).
- Google Drive / OneDrive / Dropbox Business – jeśli szukasz prostszego sposobu na przechowywanie plików w chmurze.
Szkolenia i podnoszenie świadomości pracowników
- Proofpoint ZenGuide – platforma do edukacji o cyberbezpieczeństwie, testów phishingowych i szkoleń online.
- eduHEZO - usługa Security Awareness, zapewniająca kompleksowe szkolenia, które obejmują zarządzanie i obsługę cyklu edukacyjnego, raportowanie oraz ukierunkowane kampanie phishingowe w języku polskim