Wyciek danych 75 tys. osób i zagrożenie karą sięgającą ponad 3 mld dolarów, spowodowane przez dwóch byłych pracowników Tesli, to jeden z największych w ostatnich latach przykładów na to, jakie niebezpieczeństwa mogą ujawnić się wewnątrz organizacji. Do podobnych zdarzeń na coraz większą skalę dochodzi również w Polsce.
W 2025 r. styczność z próbami oszustw finansowych miało niemal 32 proc. firm z sektora MŚP. Jednym z problemów stają się także nadużycia wewnątrz firm – często wynikające z niewystarczających zabezpieczeń i ludzkich błędów. Według Raportu Antyfraudowego BIK 2025, co piąty przedsiębiorca wskazuje na ryzyko fraudów wewnętrznych jako realne, a mimo wzmacniania zabezpieczeń - skala zagrożeń stale rośnie.
Rosnąca skala fraudów
W 2025 r. styczność ze zdarzeniami fraudowymi, czyli próbami oszustw i wyłudzeń, często przy użyciu technologii, miało niemal 32 proc. firm z sektora MŚP. Eksperci BIK zauważają, że skali zjawiska nie determinują, ani branża, ani wielkość — zagrożone są wszystkie podmioty. Ponad 34 proc. badanych wskazało natomiast, że ich firmy stały się celem cyberataków. Ponad połowa deklaruje, że incydenty te występowały nawet 10 razy w ciągu roku. Poczucie zagrożenia wykracza poza świat biznesu, bo aż 63 proc. Polaków uważa, że w ostatnim roku wzrosło ryzyko wycieku danych.
Obawy przedsiębiorców związane z cyberprzestępczością mają dwa oblicza. Z jednej strony mierzą się oni z zewnętrznymi atakami typu ransomware, polegającymi na zaszyfrowaniu danych przez cybergangi celem żądania okupu, z drugiej – coraz częściej patrzą z niepokojem na własne zespoły, podatność pracowników na chwyty socjotechniczne oszustów. Sami przedsiębiorcy przyznają, że wzrosło ich poczucie zagrożenia oszustwami w ramach struktur organizacji. Często to pracownicy, nie zawsze świadomie, stają się słabym ogniwem w łańcuchu cyberbezpieczeństwa. Do wycieku danych dochodzi zazwyczaj w wyniku zaniedbań lub błędów, jak np. wysłanie bazy danych z wrażliwymi informacjami do niewłaściwego kontrahenta lub przypadkowe zainstalowanie złośliwego oprogramowania. Bywa, że pracownik pada ofiarą przemyślanej socjotechniki stosowanej przez przestępców, którą często trudno rozpoznać jako próbę oszustwa.
Coraz częstsze cyberataki a wdrażanie nowych standardów
Aktywnych działalności gospodarczych w Polsce na koniec 1 kwartału 2025 roku, z sektora małych i średnich przedsiębiorstw, odnotowano ponad 2,8 mln (GUS). Jednostki mikro, czyli zatrudniające do 9 osób, stanowiły 95,8 proc. całego zbioru przedsiębiorstw aktywnych. Aż 5,8 proc. MŚP nie stosuje żadnych technik zabezpieczających przed ryzykiem włamania czy wyłudzenia. Oznacza to, że ponad 162 tys. małych i średnich przedsiębiorstw wręcz same narażają się na cyberataki i próby wyłudzeń. 36 proc. badanych przedsiębiorców z sektora MŚP przyznało, że kieruje się głównie czujnością i intuicją.
To z jaką uwagą przedsiębiorcy podchodzą do cyberbezpieczeństwa jest w dużym stopniu uzależnione od tego, czy doświadczyli wcześniej próby ataku lub wyłudzenia. Ci, którzy mieli do czynienia z takim zjawiskiem a tym bardziej, gdy stali się ofiarą przestępców, szybko wyciągają wnioski: dostrzegają potrzebę szkoleń wewnętrznych, wdrażają standardy bezpieczeństwa, często posiłkując się dostępnymi narzędziami antyfraudowymi i współpracując z wyspecjalizowanymi podmiotami. Paletę metod zabezpieczeń z pewnością należy dostosować do skali firmy. Jednak fundamentem bezpieczeństwa każdej firmy jest wdrożenie i przestrzeganie standardów.
Regularne szkolenia, weryfikacja - jak się bronić?
Postęp w tym zakresie widoczny jest w grupie 34 proc. MŚP, w których organizuje się już regularne szkolenia dla swoich pracowników, jedna trzecia średnich firm posiada w swoich strukturach komórki odpowiedzialne za przeciwdziałanie wyłudzeniom, a w ponad 28 proc. firm ma w swoim standardzie pracy weryfikację kontrahentów w zewnętrznych bazach danych.
W ciągu ostatniego roku wystąpił wyraźny skok, jeśli chodzi o liczbę firm, które zapowiadają wdrażanie działań prewencyjnych w zakresie zwiększenia cyberbezpieczeństwa. W roku 2024 deklarowało to 17,4 proc. MŚP, obecnie twierdzi tak już co czwarta z nich. Dotyczy to jednak przede wszystkim tych podmiotów, które spotkały się z próbą oszustwa lub padły jego ofiarą. Głównie te firmy chcą wzmacniać ochronę przed oszustami, ale potrzebują wsparcia. 27,6 proc. wskazuje na potrzebę alertów i list spamowych numerów, jedna czwarta MŚP oczekuje więcej profesjonalnych szkoleń dla pracowników, a ponad 22 proc. przyznaje, że brakuje im skutecznych narzędzi do wykrywania prób oszustw.
Fot. Pixabay/zdj. ilustracyjne
Tomasz Wypych
Inne tematy w dziale Technologie
