Ponad 4 mln dol. – tyle wyniósł średni globalny koszt pojedynczego naruszenia danych w 2025 r. – wynika z raportu IBM Security Cost of a Data Breach.
Jednym z najczęściej wykorzystywanych wektorów ataku pozostaje phishing. Z danych z symulacji przeprowadzanych w Polsce przez firmę Nimblr, która rozwija chmurową platformę do budowania świadomości cyberbezpieczeństwa w firmach, wynika, iż w fałszywe wiadomości klika średnio 3,3% użytkowników. Natomiast w najbardziej „skutecznych” scenariuszach odsetek kliknięć sięgał już 10–13%. Znaczenie stałej edukacji pracowników rośnie m.in. w związku z wymogami dyrektywy NIS2. W Polsce wdroży je nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa.
Phishing i najczęstsze scenariusze cyberataku
Phishing to forma ataku socjotechnicznego, w której cyberprzestępcy podszywają się pod zaufane osoby lub instytucje, nakłaniając ofiarę do otwarcia przesłanego jej załącznika, kliknięcia w link lub przekazania im poufnych informacji. CERT Polska regularnie ostrzega przed fałszywymi wiadomościami tego typu, wykorzystującymi m.in. tematykę przesyłek kurierskich czy fałszywe e-maile podszywające się pod np. ZUS. Linki lub załączniki znajdujące się w phishingowych komunikatach zawierają zwykle złośliwe oprogramowanie, które umożliwia przestępcom kradzież haseł i uzyskanie dostępu do systemów firmowych. Maile tego typu często trafiają także na służbowe skrzynki pocztowe, stając się realnym zagrożeniem dla przedsiębiorstw.
– Z danych z symulacji phishingowych realizowanych przez Nimblr w Polsce wynika, iż w środowisku biznesowym największą skuteczność osiągają scenariusze naśladujące codzienną, wewnętrzną komunikację w firmach. Pracownicy najczęściej reagują na fałszywe wiadomości, w których nadawcy podszywają się pod przedstawicieli kadry zarządzającej (tzw. CEO fraud). Problemy z zachowaniem czujności pojawiły się również w przypadku pozornie rutynowych komunikatów, takich jak fałszywe zaproszenia z elektronicznego kalendarza czy inne powiadomienia organizacyjne – podkreśla Magdalena Baraniewska, Channel Sales Executive w Nimblr. Powtarzalność ataków phishingowych pokazuje, iż to pracownicy oraz procesy komunikacyjne powinny stanowić kluczową linię obrony organizacji. Jest to jeden z kluczowych obszarów wskazanych w najnowszych regulacjach dotyczących cyberbezpieczeństwa, w tym w dyrektywie NIS2.
NIS2 i Krajowy System Cyberbezpieczeństwa – nowe obowiązki dla firm
Dyrektywa NIS2 znacząco poszerza odpowiedzialność przedsiębiorstw za obszar cyberbezpieczeństwa. Przepisy obejmują m.in. energetykę, transport, ochronę zdrowia, sektor finansowy, infrastrukturę cyfrową, administrację publiczną oraz wybrane usługi cyfrowe i przemysłowe. Regulacje nakładają na firmy obowiązki związane m.in. z zarządzaniem ryzykiem cybernetycznym, raportowaniem incydentów, zabezpieczeniem łańcucha dostaw oraz systematycznym podnoszeniem świadomości zagrożeń cyfrowych wśród pracowników.
W Polsce postanowienia tej dyrektywy wprowadza nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, która została uchwalona przez Sejm 23 stycznia 2026 r. i w tej chwili oczekuje na podpis prezydenta. Nowe przepisy wejdą w życie po upływie miesiąca od publikacji w Dzienniku Ustaw, przy czym tzw. podmioty najważniejsze oraz ważne otrzymają dodatkowe sześć miesięcy na dostosowanie się do nowych wymogów.
Potrzeba regularnych szkoleń i działań edukacyjnych, szczególnie w obszarze phishingu
− Wymogi dyrektywy NIS2 podkreślają znaczenie kontroli dostępu do systemów i danych o krytycznym znaczeniu, jednak równie ważne jest przygotowanie pracowników do rozpoznawania zagrożeń. W praktyce oznacza to potrzebę regularnych szkoleń i działań edukacyjnych, szczególnie w obszarze phishingu, który przez cały czas pozostaje jednym z najczęściej wykorzystywanych wektorów ataku. Świadomy pracownik, który potrafi ocenić wiarygodność wiadomości, linków i załączników oraz wie, jak reagować, realnie wzmacnia poziom bezpieczeństwa w firmach – wyjaśnia Joanna Stawicka, Channel Sales Executive z Nimblr.
Phishing pozostaje jedną z najczęściej wykorzystywanych form ataku, ponieważ bazuje na naturalnych ludzkich odruchach – stresie wynikającym z presji czasu, automatyzmie rutynowych działań oraz zaufaniu do pozornie znanych nadawców. To sprawia, iż choćby dobrze zabezpieczone środowiska technologiczne mogą stać się podatne na incydenty zainicjowane pojedynczą decyzją pracownika.
