Badanie przeprowadzone na zlecenie ING Banku Śląskiego wskazuje, że 56 proc. firm zetknęło się z próbą phishingu. Z kolei fałszywą fakturę czy propozycję fałszywej inwestycji otrzymało po 44 proc. badanych. KPMG wskazuje, że firmy w Polsce zgłaszają wyższy poziom dojrzałości, a 40 proc. wysoko ocenia bezpieczeństwo sieci wewnętrznej. Jednocześnie prawie co piąta firma nie kontroluje bezpieczeństwa w procesach wytwarzania oprogramowania.
– Patrząc na badanie KPMG „Barometr Cyberbezpieczeństwa” z 2024 roku, 2/3 firm zetknęło się z próbą cyberincydentu w swoim działaniu. Jako ING pytaliśmy klientów, jakiego typu cyberataków doświadczają. Najczęstszym typem ataków jest phishing – mówi agencji Newseria Wojciech Kordas, dyrektor Centrum Eksperckiego Przeciwdziałania Oszustwom w ING Banku Śląskim.
Największym zagrożeniem jest phishing, czyli maile czy SMS-y podszywające się pod różne instytucje mające na celu wyłudzenie danych i pieniędzy. Rośnie też liczba prób ataku ransomware. Większość przedsiębiorców, mimo rozpoznania próby oszustwa, nic z tym nie robi. Tylko niewielki odsetek zgłasza incydenty do CERT Polska, często nie wiedząc, jakie korzyści może to przynieść.
– Najczęstszymi atakami wymierzonymi w firmy, jakie obserwujemy jako CERT Polska, są ataki typu ransomware, czyli takie, gdzie dochodzi do zaszyfrowania organizacji, wykradzenia danych i potem żądania okupu od organizacji, który ma ona zapłacić, żeby te dane nie były publikowane i żeby je odzyskać – wskazuje Marcin Dudek, kierownik CERT Polska. – Powodem ataku są głównie podatności, czyli urządzenia czy oprogramowanie wystawione do internetu, które przestępcy wyszukują w wersji posiadającej podatności i umożliwiającej atak na organizację. Tutaj najważniejsze są aktualizacje.
Z badania ING wynika, że 90 proc. przedsiębiorców uważa, że ma przynajmniej podstawową wiedzę o bezpieczeństwie w internecie. Niekoniecznie jednak znają poszczególne rodzaje ataków i metody ochrony przed nimi. Na pytanie o to, czym jest spoofing, czyli podszywanie się przestępców pod banki czy urzędy w celu wyłudzenia danych lub pieniędzy, poprawną odpowiedź wskazała połowa badanych. Nieco mniej wiedziało, jaki jest cel ataku DDoS. Zdecydowana większość niewłaściwie wskazała najskuteczniejszą metodę ochrony przed phishingiem – nie jest nią ani firewall, ani antywirus, ale klucz U2F (wskazany przez 28 proc. badanych).
Kolejny powszechny błąd to trzymanie kopii zapasowych w tej samej sieci, co pozostałe zasoby firmy. Włamanie do sieci wiąże się wówczas z ryzykiem zaszyfrowania wszystkich danych organizacji, również kopii zapasowych przygotowywanych właśnie na wypadek cyberataku. – Bardzo ważne jest to, żeby kopie zapasowe były odseparowane. To jest kluczowe, jeśli chodzi potem o podniesienie się po takim ataku – mówi Marcin Dudek.
W zależności od typu ataku od 56 proc. do 69 proc. badanych odpowiedziało, że nie zrobili nic lub nie pamiętają. Wśród przedsiębiorców, którzy reagowali, 8–22 proc. zgłosiło incydent do CERT Polska. Najczęściej dotyczyło to phishingu i fałszywych faktur. 8–14 proc. zgłosiło incydent na policję – najczęściej w reakcji na phishing, spoofing oraz złośliwe oprogramowanie. Z kolei do banków przedsiębiorcy najczęściej zgłaszali próby phishingu (19 proc.) oraz spoofingu (27 proc.).
– Nie każda firma zgłasza atak do nas, do CERT Polska, ponieważ tylko 1/4 firm wie o tym, że CERT Polska istnieje. Widzimy więc potrzebę, żeby pomóc naszej widoczności. Z drugiej strony, nawet jak firmy wiedzą o naszym istnieniu, często boją się zgłosić, bo myślą, że to się wiąże z jakimiś konsekwencjami. Chcę więc uspokoić – nie publikujemy informacji o ataku, nie idziemy z nią do mediów, dane ze zgłoszenia są chronione, podmiot może jedynie zyskać na zgłoszeniu – przekonuje Marcin Dudek.
Jednym z narzędzi opracowywanych przez ekspertów CERT Polska są wzorce SMS tworzone na podstawie zgłoszeń od obywateli. Dotychczas powstało blisko kilkaset takich wzorców, co pozwoliło zatrzymać 1,5 mln wiadomości od oszustów, zanim dotarły one do użytkowników. Zespół blokuje też dostęp do stron wyłudzających dane, na które kierują oszuści. CERT Polska w marcu 2020 r. uruchomił listę ostrzeżeń przed niebezpiecznymi stronami. Dziś wprowadza na nią średnio 265 adresów dziennie. W 2024 r. zablokowano 75 mln prób wejścia na strony z listy.
