Myślisz, że Twoja firma jest za mała dla cyberprzestępców? Ten błąd drogo kosztuje polski biznes

Materiał sponsorowany

W powszechnej świadomości opowieść o cyberatakach wciąż wygląda tak samo: genialny haker w ciemnym pokoju, skomplikowany kod i wielka, międzynarodowa korporacja odcięta od systemów na oczach całego świata. Ten hollywoodzki mit odbija się czkawką w biznesie. Rzeczywistość jest znacznie bardziej prozaiczna i brutalna – cyberprzestępczość to dziś doskonale naoliwiona, zorganizowana machina rynkowa, która pod względem wartości ustępuje jedynie dwóm globalnym gospodarkom.

W tym biznesie liczy się prosty rachunek zysków i strat. Zamiast kruszyć kopie o systemy obronne cyfrowych gigantów, przestępcy coraz częściej i chętniej pukają do drzwi małych i średnich firm. Celują tam, gdzie brakuje procedur, a jedna osoba decyduje o wszystkim. Najnowsze badanie Mastercard bezlitośnie obnaża tę lukę – mniejsi przedsiębiorcy wciąż żyją w złudnym przekonaniu, że dla atakujących są „niewidzialni”.

O tym, jak głęboki jest to błąd, dlaczego socjotechnika wygrywa z najlepszym oprogramowaniem oraz jak skutecznie budować cyfrową odporność bez milionowych budżetów rozmawiamy z Małgorzatą Domagałą, VP i dyrektorką ds. produktów i rozwiązań w Mastercard.

Mit „niewidzialnego” malucha

Szymon Palczewski, CyberDefence24: 71 proc. małych firm uważa, że ryzyko cyberataku na nie jest niskie. Wiele z nich nie ma nawet planu reagowania na incydenty, ani nie informuje swoich pracowników o problemach – tak wynika z waszego badania. O czym to świadczy? Dlaczego bagatelizujemy zagrożenie?

Małgorzata Domagała, VP, dyrektorka ds. produktów i rozwiązań w Mastercard: Problem wynika z błędnego myślenia, że cyberprzestępcom bardziej opłaca się zaatakować dużą organizację. Jeśli przyjmiemy to za pewnik, można się niemile zaskoczyć, gdy nagle, niespodziewanie dojdzie do incydentu u nas, czyli w mniejszej organizacji. 

Tu swoje robią też stereotypy. Często postrzegamy atakujących jako hakerów siedzących gdzieś w ciemnym pokoju, w kapturach, realizujących zadania z kategorii „tych najpoważniejszych”.

Zgadza się. Musimy być świadomi, że obecnie źródłem zagrożenia są m.in. cyberprzestępcy działający w ramach zorganizowanych grup, przypominających dobrze prosperujące przedsiębiorstwa. To biznes, który jest nastawiony na jak największe generowanie zysków. 

Cyberprzestępczość to biznes masowy

Jaka jest w ogóle skala cyberprzestępczości?

W 2025 r. odnotowano ponad 270 tys. incydentów podjętych do realizacji (dane przekazane przez wicepremiera i ministra cyfryzacji Krzysztof Gawkowski podczas prezentacji sprawozdania pełnomocnika rządu ds. cyberbezpieczeństwa – przyp. red.). Oznacza to wzrost o 150 proc. w porównaniu do 2024 r. A to są tylko przypadki, o których wiemy.

Patrząc z innej perspektywy, według globalnych danych, cyberprzestępczość można uznać za „trzecią gospodarkę” świata pod względem wartości. I wpływają na to m.in. cyberataki wymierzone właśnie w mniejsze podmioty. 

Mówiąc brutalnie, jeśli łatwiej jest zaatakować np. 100 000 małych firm i na tym zarobić, zamiast uderzać w dobrze zabezpieczonego giganta, to cyberprzestępcy będą się tego trzymać. 

Zgodnie z wynikami badania Mastercard z 2026 r., do cyberataku lub naruszenia bezpieczeństwa cyfrowego przyznaje się co druga duża firma, 44% średnich i 25% małych.

A myślenie – jak już wspomnieliśmy – jest odwrotne.

Dokładnie tak. Kluczowa jest zatem świadomość. Z naszych obserwacji wynika, że im większe przedsiębiorstwo, tym wyższy poziom świadomości na temat ryzyka oraz obawy. Tego typu organizacje zdają sobie sprawę z potencjalnych dotkliwych konsekwencji incydentu. 

Dramatyczne skutki „niewidzialnych” ataków

„Konsekwencje incydentu” – to jedno z kluczowych haseł. Często są one bardzo dotkliwe i kosztowne. Nie tylko finansowo.

Kwestie finansowe to tylko jeden ze skutków, choć trzeba przyznać, że najwięcej przedsiębiorców ich się właśnie obawia: 61 proc. Jednak do tego dochodzą też: spadek reputacji i zaufania do organizacji (41 proc.), szczególnie jeśli doszło do wycieku danych klientów czy informacji handlowych, konsekwencje wizerunkowe, problemy natury prawnej (41 proc.) czy biznesowej, bo np. nie jesteśmy w stanie wywiązać się z umów ze względu na przerwanie działalności biznesowej (25%) czy ciągłości produkcji (Badanie Minds&Roses dla Mastercard Advisors, listopad-grudzień 2024 – przyp. red.).

Do tego dochodzą również bolesne następstwa długofalowe, które mogą wstrzymać rozwój i budowanie konkurencyjności organizacji. Dla wielu przedsiębiorstw równie istotnym ryzykiem jest ograniczenie możliwości współpracy z dużymi organizacjami. Coraz więcej korporacji, instytucji publicznych oraz podmiotów z sektorów regulowanych uwzględnia poziom cyberbezpieczeństwa swoich dostawców w procesach zakupowych i przetargowych. Firmy są oceniane pod kątem tzw. cyberhigieny, procedur bezpieczeństwa oraz ryzyka strony trzeciej (third-party risk management), ponieważ luki w zabezpieczeniach partnerów czy podwykonawców mogą stanowić bezpośrednie zagrożenie również dla ich organizacji. 

Jakie czynniki wpływają na zmianę podejścia MŚP do cyberbezpieczeństwa?

Na pewno doświadczenia. Świadomość rośnie, jeśli organizacja sama padła już celem atakujących lub też ktoś znajomy bądź też inny podmiot z branży zmagał się z podobnym problemem. 

Czyli typowo: „Mądry Polak po szkodzie”.

To pokazują liczby. Gdy firma zostanie zaatakowana, ryzyko cyberataku ocenia znacznie wyżej niż przed incydentem. Wówczas pojawiają się plany reagowania na incydenty, których wcześniej brakowało, bo – jak wielu błędnie myślało – są niepotrzebne. 

Dla porównania: 78 proc. dużych firm ma taki dokument, w przypadku małych jedynie 18 proc. A przecież fundamentem gospodarki są MŚP, których jest znacznie więcej niż wielkich przedsiębiorstw. 

A czy na postrzeganie znaczenia cyberbezpieczeństwa wpływa branża, w której działa organizacja?

Tak, w zależności od sektora ocena postrzegania ryzyka zmienia się. Przykładowo, w usługach czy produkcji świadomość jest wyższa niż m.in. w handlu. W pierwszym przypadku wiąże się to z np. chęcią ochrony danych klientów, zaś w drugim w grę wchodzi zabezpieczenie ciągłości produkcji. 

Wspomniała Pani o produkcji i usługach, więc pozwolę sobie dopytać. Kto zatem jest celem?

W zasadzie wszystkie firmy. Żadna branża nie jest całkowicie wolna od ryzyka. Podobnie to wygląda z perspektywy wielkości organizacji. Z jednej strony w przypadku dużych podmiotów mamy wiele mechanizmów bezpieczeństwa, ale za to liczny personel, a zatem wiele potencjalnych wektorów ataku. Z drugiej strony, mamy MŚP, gdzie wektorów wejścia jest znacznie mniej, ale równie mniej jest mechanizmów bezpieczeństwa. 

Sztuczna inteligencja i psychologia w służbie hakerów

Jeśli chodzi o rodzaje/typy cyberataków, to jakie są wasze obserwacje? Co dominuje?

Obecnie przedsiębiorstwa muszą mierzyć się nie tyle z przełamywaniem zabezpieczeń, ale socjotechniką. Różnego rodzaju manipulacje, próby nakłonienia użytkowników do np. kliknięcia w link czy pobrania pliku, to główne źródło zagrożenia dla organizacji. A będzie ich więcej ze względu m.in. na rozwój technologii sztucznej inteligencji, która ułatwia pracę atakującym. Wystarczy wspomnieć o automatyzacji w przygotowywaniu wiadomości phishingowych. 

Phishing nas zalewa…

Fałszywe wiadomości mailowe, SMS-y, oszukańcze komunikaty w aplikacjach – tego jest cała masa. 

Warto jednak zaznaczyć, że zanim taka kampania się zacznie, cyberprzestępcy analizują daną organizację, jej pracowników, sprawdzają co może się udać. Dopiero potem przechodzą do działania. 

Tu przypomnę raz jeszcze: w przypadku MŚP mówimy o nielicznej grupie personelu, a przez to jedna osoba często pełni wiele funkcji, również decyzyjnych. Oznacza to, że liczba „bezpieczników” po drodze, w porównaniu do dużego przedsiębiorstwa, skraca się znacząco. 

Mówiąc prościej: wiedząc, kto za co odpowiada w mniejszej organizacji, cyberprzestępcy mogą dostosować odpowiednie metody, aby zwiększyć skuteczność ataku. 

Można mieć najlepsze narzędzia cyberbezpieczeństwa, ale wiedzy i świadomości nic nie zastąpi.

Dlatego ogromne znaczenie ma edukacja. Tymczasem zgodnie z wynikami najnowszego badania Mastercard, 54% małych firm przyznaje, że nigdy nie szkoliła swoich pracowników w obszarze cyberzagrożeń, a 31% średnich i 32% dużych firm deklaruje, że szkoli ich sporadycznie.

Edukacja przez empatię i outsourcing bezpieczeństwa

Pytanie tylko jak to skutecznie robić. Straszyć konsekwencjami?

Z mojego doświadczenia wynika, że najlepiej działają testy oraz omówienie przypadków z podobnej organizacji. Chodzi o pokazanie skutków i ich skali w podmiotach np. z branży, takiej samej lub zbliżonej wielkości czy też znajomych. 

Czyli mówimy wprost: „Słuchaj, jak nie będziesz dbał o cyberbezpieczeństwo, podobnie jak oni do tej pory, to spójrz co może cię spotkać…”.

Dokładnie tak. Warto, aby przedsiębiorca wcielił się w sytuację zaatakowanej organizacji. To potrafi skutecznie podnieść świadomość i zapaść w pamięć. 

Jak poza edukacją i szkoleniami przygotować firmę pod kątem cyberbezpieczeństwa?

Warto wdrażać dobrej jakości nowe zabezpieczenia i wzmacniać już istniejące. Dobrą praktyką są backupy czy systemy wykrywania zagrożeń. Do tego dochodzą testy oraz stosowanie zasad cyberhigieny. A na samym początku należy stworzyć jasną procedurę cyberbezpieczeństwa – w tym plan reagowania na incydenty – która będzie regularnie przeglądana i aktualizowana. 

Zadań jest wiele tylko samodzielna ich realizacja przez MŚP nie jest łatwa. Nie ma co ukrywać, nie każdą organizację stać na posiadanie np. własnego SOC-u.

Dlatego w przypadku mniejszych organizacji niezwykle cenny jest outsourcing usług cyberbezpieczeństwa. Warto zwrócić się do podmiotów – publicznych czy prywatnych – o wsparcie. One zadbają o naszą ochronę w sieci, dzięki posiadanym zasobom i kompetencjom. 

Jako przykład można podać chociażby NASK, który podejmuje wiele działań na rzecz pomocy przedsiębiorcom: od edukacji po udostępnienie narzędzi. Na rynku znajdziemy też firmy oferujące kompleksowe usługi cyberbezpieczeństwa. A mówimy o kwestii wymaganej w coraz większej liczbie regulacji – pierwsza na myśl przychodzą NIS 2 i nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa. 

Tylko też nikt tego nie zrobi za darmo, poza instytucjami publicznymi takimi jak NASK.

Nikt tego nie zrobi za darmo, ale z drugiej strony mamy koszty związane z potencjalnym incydentem. Według IBM, w ubiegłym roku średni koszt naruszenia danych wyniósł 4,4 mln dolarów. Oczywiście mówimy o skali globalnej, natomiast daje do myślenia. To zawsze jest rachunek zysków i strat. 

Podsumowując naszą rozmowę, co rekomendowałaby Pani przedsiębiorcom?

Przede wszystkim postawić na edukację. To absolutny fundament cyberbezpieczeństwa. Świadomość i stosowanie cyberhigieny pozwala ograniczyć ryzyko wpadnięcia w pułapkę zastawioną przez cyberprzestępców stosujących socjotechnikę. 

Do tego przydatne jest posiadanie narzędzi do wykrywania ataków. Wiele rozwiązań wykorzystuje już technologię sztucznej inteligencji, co podnosi ich skuteczność. Jeśli sami nie możemy ich pozyskać, warto postawić na outsourcing i skorzystać z zewnętrznego wsparcia.

Bardzo dziękuję za rozmowę.