Ponad 4 miliony dolarów: tyle wyniósł średni globalny koszt pojedynczego naruszenia danych w 2025 roku – wynika z raportu IBM Security Cost of a Data Breach. Jednym z najczęściej wykorzystywanych wektorów ataku pozostaje phishing. Z danych z symulacji przeprowadzanych w Polsce przez firmę Nimblr wynika, że w fałszywe wiadomości klika średnio 3,3% użytkowników. Natomiast w najbardziej „skutecznych” scenariuszach odsetek kliknięć sięgał już 10–13%. Znaczenie stałej edukacji pracowników rośnie m.in. w związku z wymogami dyrektywy NIS2. W Polsce wdroży je nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa.
Phishing i najczęstsze scenariusze cyberataku
Phishing to forma ataku socjotechnicznego, w której cyberprzestępcy podszywają się pod zaufane osoby lub instytucje, nakłaniając ofiarę do otwarcia przesłanego jej załącznika, kliknięcia w link lub przekazania im poufnych informacji. CERT Polska regularnie ostrzega przed fałszywymi wiadomościami tego typu, wykorzystującymi m.in. tematykę przesyłek kurierskich czy fałszywe e-maile podszywające się pod np. Zakład Ubezpieczeń Społecznych. Linki lub załączniki znajdujące się w phishingowych komunikatach zawierają zazwyczaj złośliwe oprogramowanie, które umożliwia przestępcom kradzież haseł i uzyskanie dostępu do systemów firmowych. Maile tego typu często trafiają także na służbowe skrzynki pocztowe, stając się realnym zagrożeniem dla przedsiębiorstw.
– Z danych z symulacji phishingowych realizowanych przez Nimblr w Polsce wynika, że w środowisku biznesowym największą skuteczność osiągają scenariusze naśladujące codzienną, wewnętrzną komunikację w firmach. Pracownicy najczęściej reagują na fałszywe wiadomości, w których nadawcy podszywają się pod przedstawicieli kadry zarządzającej (tzw. CEO fraud). Problemy z zachowaniem czujności pojawiły się również w przypadku pozornie rutynowych komunikatów, takich jak fałszywe zaproszenia z elektronicznego kalendarza czy inne powiadomienia organizacyjne – podkreśla Magdalena Baraniewska, Channel Sales Executive w Nimblr.
Powtarzalność ataków phishingowych pokazuje, że to pracownicy oraz procesy komunikacyjne powinny stanowić kluczową linię obrony organizacji. Jest to jeden z kluczowych obszarów wskazanych w najnowszych regulacjach dotyczących cyberbezpieczeństwa, w tym w dyrektywie NIS2.
NIS2 i Krajowy System Cyberbezpieczeństwa – nowe obowiązki dla firm
Dyrektywa NIS2 znacząco poszerza odpowiedzialność przedsiębiorstw za obszar cyberbezpieczeństwa. Przepisy obejmują m.in. energetykę, transport, ochronę zdrowia, sektor finansowy, infrastrukturę cyfrową, administrację publiczną oraz wybrane usługi cyfrowe i przemysłowe. Regulacje nakładają na firmy obowiązki związane m.in. z zarządzaniem ryzykiem cybernetycznym, raportowaniem incydentów, zabezpieczeniem łańcucha dostaw oraz systematycznym podnoszeniem świadomości zagrożeń cyfrowych wśród pracowników.
W Polsce postanowienia tej dyrektywy wprowadza nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, która została uchwalona przez Sejm 23 stycznia 2026 roku i obecnie oczekuje na podpis Prezydenta RP. Nowe przepisy wejdą w życie po upływie miesiąca od publikacji w Dzienniku Ustaw, przy czym tzw. podmioty kluczowe oraz ważne otrzymają dodatkowe sześć miesięcy na dostosowanie się do nowych wymogów.
− Wymogi dyrektywy NIS2 podkreślają znaczenie kontroli dostępu do systemów i danych o krytycznym znaczeniu, jednak równie ważne jest przygotowanie pracowników do rozpoznawania zagrożeń. W praktyce oznacza to potrzebę regularnych szkoleń i działań edukacyjnych, szczególnie w obszarze phishingu, który nadal pozostaje jednym z najczęściej wykorzystywanych wektorów ataku. Świadomy pracownik, który potrafi ocenić wiarygodność wiadomości, linków i załączników oraz wie, jak reagować, realnie wzmacnia poziom bezpieczeństwa w firmach – wyjaśnia Joanna Stawicka, Channel Sales Executive z Nimblr.
Phishing pozostaje jedną z najczęściej wykorzystywanych form ataku, ponieważ bazuje na naturalnych ludzkich odruchach – stresie wynikającym z presji czasu, automatyzmie rutynowych działań oraz zaufaniu do pozornie znanych nadawców. To sprawia, że nawet dobrze zabezpieczone środowiska technologiczne mogą stać się podatne na incydenty zainicjowane pojedynczą decyzją pracownika. Odpowiedzią na te ryzyka są spójne i konkretne polityki, jasno określone zasady komunikacji oraz systematyczna edukacja dotycząca codziennych praktyk operacyjnych.