Połowa osób na stanowiskach kierowniczych w Polsce zetknęła się z phishingiem

Aż 68 proc. kadry zarządzającej w polskich firmach zetknęło się ze spamem lub podejrzanymi wiadomościami przychodzącymi na służbową skrzynkę mailową. Z badania firmy Sophos wynika też, że 59 proc. osób na stanowiskach kierowniczych otrzymało fałszywe SMS-y, a połowa spotkała się z próbą wyłudzenia danych logowania.

Phishing to jedna z najpopularniejszych technik manipulacyjnych stosowanych przez cyberprzestępców. Polega na przekonaniu ofiary odpowiednio spreparowanymi wiadomościami do przekazania swoich danych logowania lub wykonania określonych czynności, np. kliknięcia w link do strony infekującej system złośliwym oprogramowaniem. Według badania przeprowadzonego na zlecenie firmy Sophos, w ciągu ostatnich 12 miesięcy aż połowa osób na kierowniczych stanowiskach zetknęła się z phishingiem. W Czechach i na Węgrzech, gdzie również przeprowadzono badanie, odsetek ten wyniósł odpowiednio 60 proc. i 41 proc.

Celem phishingu zarówno małe, jak i duże firmy

Z przeprowadzonych badań wynika, że phishing dotknął 55 proc. kadry zarządzającej w firmach zatrudniających powyżej 250 osób. W przypadku małych przedsiębiorstw, liczących do 50 osób, problem dotyczy 53 proc. pracowników na kierowniczych stanowiskach. Najczęściej próbowano wyłudzić poufne dane od dyrektorów (61 proc.) i menadżerów (46 proc.). W przypadku członków zarządu styczność z wiadomościami od oszustów miały 4 na 10 osób. Cyberprzestępcy równie często biorą na cel przedsiębiorstwa o niższych obrotach, rzędu miliona złotych rocznie, jak i te, w których wynoszą one powyżej 15 mln zł (w obu przypadkach odsetek zaatakowanych wyniósł 44 proc.). Do najczęściej atakowanych za pomocą phishingu branż należą usługi (62 proc.), administracja (54 proc.) i przemysł (53 proc.).

– Metody socjotechniczne, takie jak phishing, są jednym z najczęstszych sposobów, w jaki przestępcy próbują obejść zabezpieczenia i włamać się do firmowej sieci. Dlatego tak ważna jest świadomość pracowników dotycząca środków ostrożności: nieklikania w podejrzane linki i załączniki, korzystania tylko z programów ze sprawdzonych źródeł, dokonywania regularnych aktualizacji. Ma to kluczowe znaczenie w przypadku pracowników najwyższego szczebla, którzy mają dostęp do wrażliwych i poufnych danych. Należy upewnić się, że każdy – od szeregowego pracownika, aż po dyrektora – zna ścieżkę zgłaszania podejrzanych sytuacji działowi IT lub specjalistom ds. bezpieczeństwa – mówi Grzegorz Nocoń, inżynier systemowy w firmie Sophos.

Ransomware częściej celuje w firmy o wyższych obrotach

Średnio co piąty ankietowany miał także bezpośrednią styczność z atakami ransomware, prowadzonymi za pomocą złośliwego oprogramowania szyfrującego dane w celu wyłudzenia okupu. W tym przypadku widać jednak wyraźną korelację między wysokością obrotów firmy, a częstością występowania tego zagrożenia.

Ataku z wykorzystaniem ransomware’u doświadczyło tylko 3 proc. respondentów pracujących w przedsiębiorstwach o rocznych obrotach do miliona złotych. Tam, gdzie obroty sięgają 5 mln zł, było to już 17 proc. W największych firmach (powyżej 15 mln zł obrotu) – aż 31 proc.

– Cyberprzestępcy dokładnie wiedzą, w jakie firmy celować atakami ransomware. Ich ofiarą padają przedsiębiorstwa generujące wysokie obroty, od których potencjalnie mogą żądać najwyższych okupów. Wielkość firmy pod względem zatrudnienia ma mniejsze znaczenie, choć z badań wynika, że najczęściej atakowane są firmy, w których pracuje od 50 do 249 osób – tłumaczy Nocoń.

Edukacja i cyberhigiena kluczowa również na najwyższych stanowiskach

Według badania Sophos z cyberbezpieczeństwa przeszkolone zostało 72 proc. kadry zarządzającej w polskich przedsiębiorstwach. Połowa przeszła taki kurs organizowany przez zewnętrznych specjalistów – na to rozwiązanie decydowały się głównie największe firmy.

– Wydarzenia z ostatnich dwóch lat, takie jak pandemia i inwazja Rosji na Ukrainę, sprawiły, że wzrosło zainteresowanie kwestiami bezpieczeństwa danych. Z naszych informacji wynika, że połowa polskich firm ma politykę cyberbezpieczeństwa i procedury na wypadek cyberataku. Pod tym względem wypadamy lepiej niż Czesi i Węgrzy, jednak wciąż jest sporo do poprawy. Aż 28 proc. osób zajmujących kierownicze stanowiska nie przeszło nawet wewnętrznego szkolenia z cyberbezpieczeństwa, a w 13 proc. przedsiębiorstw nie ma specjalistów ds. ochrony przed zagrożeniami. Im mniejsza firma, tym niestety gorsza sytuacja – komentuje ekspert Sophos.

Tam, gdzie zatrudnianych jest powyżej 250 osób, prawie 15 proc. menadżerów, dyrektorów lub członków zarządu nie zostało przeszkolonych z cyberbezpieczeństwa. W średnich firmach było to aż 37 proc. Problem ten dotyczy też co trzeciej małej firmy, zatrudniającej do 50 pracowników.

Dla porównania z uśrednionymi danymi z Polski (72 proc. przeszkolonych ankietowanych), w Czechach 57 proc. ankietowanych nie miało żadnego szkolenia dotyczącego cyberbezpieczeństwa. Na Węgrzech nie przeszło go aż 83 proc. osób zajmujących kierownicze stanowiska. Jest to wyjątkowo niepokojące, gdyż w co trzeciej tamtejszej firmie to właśnie ci pracownicy są odpowiedzialni za ochronę danych. W Polsce należy to do obowiązków zaledwie 12 proc. ankietowanych osób na stanowiskach kierowniczych, najczęściej w małych lub średnich przedsiębiorstwach.

Badanie „Sposób postrzegania cyberbezpieczeństwa wśród menedżerów polskich firm” zostało przeprowadzone przez niezależną agencję badawczą SW Research w lipcu i sierpniu 2022 r. W ramach badania przeprowadzono wywiady z 310 menadżerami wyższego szczebla pracującymi w małych, średnich i dużych przedsiębiorstwach. Identyczne badanie zrealizowano na terenie Czech i Węgier.