Dwie trzecie polskich przedsiębiorców znalazło się na celowniku cyberoszustów. Niewielki odsetek zgłasza to do odpowiednich służb

Próby cyberataków to codzienność większości polskich firm. Największym zagrożeniem jest phishing, czyli maile czy SMS-y podszywające się pod różne instytucje mające na celu wyłudzenie danych i pieniędzy. Rośnie też liczba prób ataku ransomware, czyli szyfrowania zasobów organizacji dla okupu. Większość przedsiębiorców, mimo rozpoznania próby oszustwa, nic z tym nie robi. Tylko niewielki odsetek zgłasza incydenty do CERT Polska, często nie wiedząc, jakie korzyści może to przynieść.

– Patrząc na badanie KPMG „Barometr Cyberbezpieczeństwa” z 2024 roku, 2/3 firm zetknęło się z próbą cyberincydentu w swoim działaniu. Jako ING pytaliśmy klientów, jakiego typu cyberataków doświadczają. Najczęstszym typem ataków jest phishing, czyli klienci na swojego maila otrzymują z jakiegoś podejrzanego adresu załącznik bądź link do fałszywej strony – mówi agencji Newseria Wojciech Kordas, dyrektor Centrum Eksperckiego Przeciwdziałania Oszustwom w ING Banku Śląskim.

Badanie przeprowadzone na zlecenie ING Banku Śląskiego wskazuje, że 56 proc. firm zetknęło się z próbą phishingu. Z kolei fałszywą fakturę czy propozycję fałszywej inwestycji otrzymało po 44 proc. badanych. KPMG wskazuje, że firmy w Polsce zgłaszają wyższy poziom dojrzałości, a 40 proc. wysoko ocenia bezpieczeństwo sieci wewnętrznej. Jednocześnie prawie co piąta firma nie kontroluje bezpieczeństwa w procesach wytwarzania oprogramowania.

– Najczęstszymi atakami wymierzonymi w firmy, jakie obserwujemy jako CERT Polska, są ataki typu ransomware, czyli takie, gdzie dochodzi do zaszyfrowania organizacji, wykradzenia danych i potem żądania okupu od organizacji, który ma ona zapłacić, żeby te dane nie były publikowane i żeby je odzyskać – wskazuje Marcin Dudek, kierownik CERT Polska. – Powodem ataku są głównie podatności, czyli urządzenia czy oprogramowanie wystawione do internetu, które przestępcy wyszukują w wersji posiadającej podatności i umożliwiającej atak na organizację. Tutaj najważniejsze są aktualizacje.

Z badania ING wynika, że 90 proc. przedsiębiorców uważa, że ma przynajmniej podstawową wiedzę o bezpieczeństwie w internecie. Niekoniecznie jednak znają poszczególne rodzaje ataków i metody ochrony przed nimi. Na pytanie o to, czym jest spoofing, czyli podszywanie się przestępców pod banki czy urzędy w celu wyłudzenia danych lub pieniędzy, poprawną odpowiedź wskazała połowa badanych. Nieco mniej wiedziało, jaki jest cel ataku DDoS. Zdecydowana większość niewłaściwie wskazała najskuteczniejszą metodę ochrony przed phishingiem – nie jest nią ani firewall, ani antywirus, ale klucz U2F (wskazany przez 28 proc. badanych).

– W momencie, kiedy wycieknie hasło, przestępcy mogą go użyć, żeby zalogować się zdalnie do firmy. Jeśli nie ma drugiego składnika, czyli np. tokenu fizycznego, urządzenia, które musi być podpięte do komputera, to przestępca uzyska pełny dostęp do firmy. Jeśli do poczty nie ma wymagania podania dodatkowego kodu SMS, to przestępca, mając hasło, będzie mógł się zalogować i przeprowadzić atak na organizację, np. wykorzystując tę skrzynkę i wysyłając wewnątrz organizacji maile wyłudzające dane czy atakujące kolejnych pracowników – tłumaczy kierownik CERT Polska.

Kolejny powszechny błąd to trzymanie kopii zapasowych w tej samej sieci, co pozostałe zasoby firmy. Włamanie do sieci wiąże się wówczas z ryzykiem zaszyfrowania wszystkich danych organizacji, również kopii zapasowych przygotowywanych właśnie na wypadek cyberataku.

– Bardzo ważne jest to, żeby kopie zapasowe były odseparowane. To jest kluczowe, jeśli chodzi potem o podniesienie się po takim ataku – mówi Marcin Dudek.

– ING w swoim badaniu zapytało przedsiębiorców o to, jak reagują na próby ataków. Okazało się, że przedsiębiorcy zwykle ignorują tego typu próby i są zadowoleni, że nie ulegli atakowi, natomiast przeważnie nie robią więcej nic – mówi Wojciech Kordas.

W zależności od typu ataku od 56 proc. do 69 proc. badanych odpowiedziało, że nie zrobili nic lub nie pamiętają. Wśród przedsiębiorców, którzy reagowali, 8–22 proc. zgłosiło incydent do CERT Polska. Najczęściej dotyczyło to phishingu i fałszywych faktur. 8–14 proc. zgłosiło incydent na policję – najczęściej w reakcji na phishing, spoofing oraz złośliwe oprogramowanie. Z kolei do banków przedsiębiorcy najczęściej zgłaszali próby phishingu (19 proc.) oraz spoofingu (27 proc.).

– Nie każda firma zgłasza atak do nas, do CERT Polska, ponieważ tylko 1/4 firm wie o tym, że CERT Polska istnieje. Widzimy więc potrzebę, żeby pomóc naszej widoczności. Z drugiej strony, nawet jak firmy wiedzą o naszym istnieniu, często boją się zgłosić, bo myślą, że to się wiąże z jakimiś konsekwencjami. Chcę więc uspokoić – nie publikujemy informacji o ataku, nie idziemy z nią do mediów, dane ze zgłoszenia są chronione, podmiot może jedynie zyskać na zgłoszeniu – przekonuje Marcin Dudek.

Jak podkreśla, masowe cyberoszustwa wymagają od przestępców czasu i pieniędzy na organizację. Zgłoszenie do CERT Polska może pokrzyżować im plany.

– Musimy mieć świadomość, że tego typu cyberataki są atakami masowymi. Maile z linkami, SMS-y, telefony trafiają do tysięcy ludzi. Poprzez reakcję i zgłoszenie tego incydentu do CERT Polska możemy przerwać ten ciąg. CERT jest w stanie zablokować fałszywą stronę czy SMS-y – podkreśla przedstawiciel ING Banku Śląskiego.

Jednym z narzędzi opracowywanych przez ekspertów CERT Polska są wzorce SMS tworzone na podstawie zgłoszeń od obywateli. Dotychczas powstało blisko kilkaset takich wzorców, co pozwoliło zatrzymać 1,5 mln wiadomości od oszustów, zanim dotarły one do użytkowników. Zespół blokuje też dostęp do stron wyłudzających dane, na które kierują oszuści. CERT Polska w marcu 2020 roku uruchomił listę ostrzeżeń przed niebezpiecznymi stronami. Dziś wprowadza na nią średnio 265 adresów dziennie. W 2024 roku zablokowano 75 mln prób wejścia na strony z listy.

– Zgłoszenie ataku do CERT Polska daje szereg korzyści. Przede wszystkim poprawia widoczność, co pozwala uchronić kolejne firmy. Wiemy, jakie ataki są obecnie w Polsce podejmowane, przed czym mamy ostrzegać, jak mamy edukować, żeby do ataku nie dochodziło. Ale jest też korzyść bezpośrednia, bo pomagamy w obronie przed atakami i po incydencie, wysyłamy szereg porad, jak się zachować, jak rozmawiać z mediami, jakie działania trzeba podjąć pod kątem prawnym – wymienia Marcin Dudek.

ING od lat wspiera klientów w dbaniu o bezpieczeństwo w sieci. Promowanie działalności CERT Polska to kolejny sposób na niwelowanie negatywnych skutków cyberprzestępczości. Na potrzeby kampanii „Cyberbezpieczeństwo dla firm” bank we współpracy z Piotrem Koniecznym, ekspertem ds. bezpieczeństwa w internecie, przygotował „10 zasad bezpiecznej firmy w sieci”. 

– W ramach kampanii przypominamy przedsiębiorcom, jak najlepiej reagować na tego typu ataki – dodaje Wojciech Kordas. – Przedsiębiorcy powinni reagować aktywnie i zgłaszać każdą próbę tego typu ataków na stronę incydent.cert.pl. To jest właściwa instytucja, która może podjąć działania w tym zakresie.