– Patrząc na badanie KPMG „Barometr Cyberbezpieczeństwa” z 2024 r., 2/3 firm zetknęło się z próbą cyberincydentu w swoim działaniu.
Jako ING pytaliśmy klientów, jakiego typu cyberataków doświadczają. Najczęstszym typem ataków jest phishing, czyli klienci na swojego maila otrzymują z jakiegoś podejrzanego adresu załącznik bądź link do fałszywej strony – mówi agencji Newseria Wojciech Kordas, dyr. Centrum Eksperckiego Przeciwdziałania Oszustwom w ING Banku Śląskim.
Większość przedsiębiorców, mimo rozpoznania próby oszustwa, nic z tym nie robi
Próby cyberataków to codzienność większości polskich firm. Największym zagrożeniem jest phishing, czyli maile czy SMS-y podszywające się pod różne instytucje mające na celu wyłudzenie danych i pieniędzy. Rośnie też liczba prób ataku ransomware, czyli szyfrowania zasobów organizacji dla okupu. Większość przedsiębiorców, mimo rozpoznania próby oszustwa, nic z tym nie robi. Tylko niewielki odsetek zgłasza incydenty do CERT Polska, często nie wiedząc, jakie korzyści może to przynieść.
Badanie przeprowadzone na zlecenie ING Banku Śląskiego wskazuje, że 56 proc. firm zetknęło się z próbą phishingu. Z kolei fałszywą fakturę czy propozycję fałszywej inwestycji otrzymało po 44 proc. badanych. KPMG wskazuje, że firmy w Polsce zgłaszają wyższy poziom dojrzałości, a 40 proc. wysoko ocenia bezpieczeństwo sieci wewnętrznej. Jednocześnie prawie co piąta firma nie kontroluje bezpieczeństwa w procesach wytwarzania oprogramowania.
90% przedsiębiorców uważa, że ma przynajmniej podstawową wiedzę o bezpieczeństwie w internecie
– Najczęstszymi atakami wymierzonymi w firmy, jakie obserwujemy jako CERT Polska, są ataki typu ransomware, czyli takie, gdzie dochodzi do zaszyfrowania organizacji, wykradzenia danych i potem żądania okupu od organizacji, który ma ona zapłacić, żeby te dane nie były publikowane i żeby je odzyskać – wskazuje Marcin Dudek, kierownik CERT Polska. – Powodem ataku są głównie podatności, czyli urządzenia czy oprogramowanie wystawione do internetu, które przestępcy wyszukują w wersji posiadającej podatności i umożliwiającej atak na organizację. Tutaj najważniejsze są aktualizacje.
Z badania ING wynika, że 90 proc. przedsiębiorców uważa, że ma przynajmniej podstawową wiedzę o bezpieczeństwie w internecie. Niekoniecznie jednak znają poszczególne rodzaje ataków i metody ochrony przed nimi. Na pytanie o to, czym jest spoofing, czyli podszywanie się przestępców pod banki czy urzędy w celu wyłudzenia danych lub pieniędzy, poprawną odpowiedź wskazała połowa badanych. Nieco mniej wiedziało, jaki jest cel ataku DDoS. Zdecydowana większość niewłaściwie wskazała najskuteczniejszą metodę ochrony przed phishingiem – nie jest nią ani firewall, ani antywirus, ale klucz U2F (wskazany przez 28 proc. badanych).
Kolejny powszechny błąd to trzymanie kopii zapasowych w tej samej sieci, co pozostałe zasoby firmy
– W momencie, kiedy wycieknie hasło, przestępcy mogą go użyć, żeby zalogować się zdalnie do firmy. Jeśli nie ma drugiego składnika, czyli np. tokenu fizycznego, urządzenia, które musi być podpięte do komputera, to przestępca uzyska pełny dostęp do firmy. Jeśli do poczty nie ma wymagania podania dodatkowego kodu SMS, to przestępca, mając hasło, będzie mógł się zalogować i przeprowadzić atak na organizację, np. wykorzystując tę skrzynkę i wysyłając wewnątrz organizacji maile wyłudzające dane czy atakujące kolejnych pracowników – tłumaczy kierownik CERT Polska.
Kolejny powszechny błąd to trzymanie kopii zapasowych w tej samej sieci, co pozostałe zasoby firmy. Włamanie do sieci wiąże się wówczas z ryzykiem zaszyfrowania wszystkich danych organizacji, również kopii zapasowych przygotowywanych właśnie na wypadek cyberataku. – Bardzo ważne jest to, żeby kopie zapasowe były odseparowane. To jest kluczowe, jeśli chodzi potem o podniesienie się po takim ataku – mówi Marcin Dudek.
Tylko 1/4 firm wie o tym, że CERT Polska istnieje. Widzimy więc potrzebę, żeby pomóc naszej widoczności
– ING w swoim badaniu zapytało przedsiębiorców o to, jak reagują na próby ataków. Okazało się, że przedsiębiorcy zwykle ignorują tego typu próby i są zadowoleni, że nie ulegli atakowi, natomiast przeważnie nie robią więcej nic – mówi Wojciech Kordas. W zależności od typu ataku od 56 proc. do 69 proc. badanych odpowiedziało, że nie zrobili nic lub nie pamiętają. Wśród przedsiębiorców, którzy reagowali, 8–22 proc. zgłosiło incydent do CERT Polska. Najczęściej dotyczyło to phishingu i fałszywych faktur. 8–14 proc. zgłosiło incydent na policję – najczęściej w reakcji na phishing, spoofing oraz złośliwe oprogramowanie. Z kolei do banków przedsiębiorcy najczęściej zgłaszali próby phishingu (19 proc.) oraz spoofingu (27 proc.).
– Nie każda firma zgłasza atak do nas, do CERT Polska, ponieważ tylko 1/4 firm wie o tym, że CERT Polska istnieje. Widzimy więc potrzebę, żeby pomóc naszej widoczności. Z drugiej strony, nawet jak firmy wiedzą o naszym istnieniu, często boją się zgłosić, bo myślą, że to się wiąże z jakimiś konsekwencjami. Chcę więc uspokoić – nie publikujemy informacji o ataku, nie idziemy z nią do mediów, dane ze zgłoszenia są chronione, podmiot może jedynie zyskać na zgłoszeniu – przekonuje Marcin Dudek.