Fałszywe maile i ataki na firmy. Dane są jednoznaczne
Średni koszt jednego naruszenia danych przekroczył 4 mln dolarów w 2025 r., a phishing wciąż pozostaje najczęściej stosowaną przez przestępców metodą ataku. Z danych wynika, że skuteczność takich działań stale rośnie.
Najczęściej wykorzystywanym sposobem atakowania firm jest phishing, czyli podszywanie się pod zaufane osoby lub instytucje. Jak ujawnia raport IBM Security Cost of a Data Breach, średni koszt pojedynczego naruszenia danych wyniósł w ubiegłym roku ponad 4 mln dolarów.
Według informacji z symulacji Nimblr, przeprowadzanych w Polsce, aż 3,3 proc. użytkowników klika w fałszywe wiadomości, a w niektórych wariantach wskaźnik ten przekracza 10 proc. Przestępcy coraz częściej celują w pracowników, korzystając z codziennej komunikacji biznesowej.
W codziennej pracy największe ryzyko niosą mailowe scenariusze naśladujące komunikację kierownictwa, tzw. CEO fraud. Pracownicy bywają również podatni na fałszywe zaproszenia z elektronicznego kalendarza czy powiadomienia organizacyjne.
"Z danych z symulacji phishingowych realizowanych przez Nimblr w Polsce wynika, że w środowisku biznesowym największą skuteczność osiągają scenariusze naśladujące codzienną, wewnętrzną komunikację w firmach" - określa przedstawicielka Nimblr, Magdalena Baraniewska. "Pracownicy najczęściej reagują na fałszywe wiadomości, w których nadawcy podszywają się pod przedstawicieli kadry zarządzającej (tzw. CEO fraud). Problemy z zachowaniem czujności pojawiły się również w przypadku pozornie rutynowych komunikatów, takich jak fałszywe zaproszenia z elektronicznego kalendarza czy inne powiadomienia organizacyjne".
Stała edukacja pracowników to priorytet, szczególnie wobec nowych regulacji związanych z dyrektywą NIS2 oraz nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa. Nowe przepisy obejmą szereg sektorów, w tym energetykę, transport, ochronę zdrowia, sektor finansowy, infrastrukturę cyfrową i administrację publiczną. Przedsiębiorstwa będą musiały zarządzać ryzykiem, raportować incydenty i szkolić personel z zakresu zagrożeń cyfrowych.
Phishing bazuje na naturalnych odruchach – stresie, rutynie oraz zaufaniu do znajomych adresatów. Dlatego nawet firmy z nowoczesnymi zabezpieczeniami mogą być zagrożone, jeśli pracownik błędnie oceni charakter wiadomości. Skuteczną odpowiedzią są przemyślane polityki bezpieczeństwa, jasne zasady komunikacji i inicjatywy edukacyjne, które mają kluczowe znaczenie dla ochrony organizacji.
Oskar Ziomek, redaktor prowadzący dobreprogramy.pl
