Głośny niedawno atak na hakerski na bazę danych klientów firmy pożyczkowej, czy wyciek informacji kadrowych z Urzędu Marszałkowskiego w Lublinie pokazują, jak bardzo zagrożone są osobiste dane Polaków. Zjawisko wyłudzeń dotyczy także samych firm, niezależnie od branży ani wielkości firmy. W 2025 r. styczność z próbami oszustw finansowych miało niemal 32 proc. firm z sektora MŚP. Jednym z problemów stają się także nadużycia wewnątrz firm – często wynikające z niewystarczających zabezpieczeń i ludzkich błędów. Według Raportu Antyfraudowego BIK 2025, co piąty przedsiębiorca wskazuje na ryzyko fraudów wewnętrznych jako realne, a mimo wzmacniania zabezpieczeń – skala zagrożeń stale rośnie.
Z tekstu dowiesz się:
- Zauważalnie wzrasta poczucie zagrożenia wyciekiem danych (uważa tak 63 proc. Polaków).
- Prawie jedna piąta polskich małych i średnich firm (19,2 proc.) mierzy się z atakami hakerów z zewnątrz, jak również ryzykiem zagrożeń wewnątrz organizacji. Nadużycia ze strony pracowników, to nie tylko efekt celowego działania, lecz w dużym stopniu wynik nieświadomych błędów czy braku przeszkolenia.
- Najczęstsze formy oszustw wymierzonych w pracowników MŚP to fałszywe maile z linkami do płatności (35 proc.) oraz oszukańcze faktury (33 proc.).
- O niewystarczających działaniach prewencyjnych przedsiębiorstw – choć 34 proc. szkoli pracowników, to aż 36 proc. polega głównie na „zdrowym rozsądku”, a blisko 6 proc. MŚP przyznaje, że nie stosuje żadnych narzędzi ochronnych.
Wyciek danych 75 tys. osób i zagrożenie karą sięgającą ponad 3 mld dolarów, spowodowane przez dwóch byłych pracowników Tesli, to jeden z największych w ostatnich latach przykładów na to, jakie niebezpieczeństwa mogą ujawnić się wewnątrz organizacji. Do podobnych zdarzeń na coraz większą skalę dochodzi również w Polsce. Pod koniec sierpnia br. doszło do wycieku danych ponad 5 tys. osób, będących w bazie Urzędu Marszałkowskiego w Lublinie, które skopiował jeden z pracowników. Na początku listopada br. media informowały o ataku hakerskim na polską firmę pożyczkową, w wyniku którego wyciekły dane co najmniej 10 tys. osób, takie jak: numery PESEL, dowodów osobistych, rachunków bankowych, a nawet informacje o dochodach czy liczbie dzieci. To tylko wybrane przykłady zagrożeń, z jakimi mierzą się firmy i instytucje w kraju.
Przedsiębiorcy muszą działać ze zdwojoną czujnością – chronić zasoby firmy i dane Klientów
W 2025 r. styczność ze zdarzeniami fraudowymi, czyli próbami oszustw i wyłudzeń, często przy użyciu technologii, miało niemal 32 proc. firm z sektora MŚP. Eksperci BIK zauważają, że skali zjawiska nie determinują, ani branża, ani wielkość — zagrożone są wszystkie podmioty. Ponad 34 proc. badanych wskazało natomiast, że ich firmy stały się celem cyberataków. Co najbardziej niepokojące, wśród przedsiębiorstw, które padły ofiarą prób wyłudzeń, ponad połowa deklaruje, że incydenty te występowały nawet 10 razy w ciągu roku. Poczucie zagrożenia wykracza poza świat biznesu. Z danych Raportu Antyfraudowego BIK wynika, że aż 63 proc. Polaków uważa, że w ostatnim roku wzrosło ryzyko wycieku danych.
– Największą bolączką polskich przedsiębiorców są fałszywe maile z linkami do systemów płatności oraz oszukańcze faktury. Na te pierwsze wskazało ponad 35 proc. badanych. Miejsce drugie – z niemal 33 proc. wskazań, zajęły fałszywe faktury do zapłaty np. za usługi, których firmy nie zamawiały, bądź ze zmienionym numerem konta kontrahenta. W arsenale przestępców znajdowały się metody z wykorzystaniem socjotechnik: SMS-y z nakazem przelewu, próby przejęcia dostępu do danych bankowych czy podszywanie się pod inną firmę lub kontrahenta. Warto podkreślić, że od 2024 roku, w każdym z tych przypadków wzrosła liczba niepokojących zdarzeń. To pokazuje z jak dużym zagrożeniem mamy do czynienia – tłumaczy Andrzej Karpiński, Dyrektor Departamentu Bezpieczeństwa, BIK S.A.
Obawy przedsiębiorców związane z cyberprzestępczością mają dwa oblicza. Z jednej strony mierzą się oni z zewnętrznymi atakami typu ransomware, polegającymi na zaszyfrowaniu danych przez cybergangi celem żądania okupu, z drugiej – coraz częściej patrzą z niepokojem na własne zespoły, podatność pracowników na chwyty socjotechniczne oszustów. Sami przedsiębiorcy przyznają, że wzrosło ich poczucie zagrożenia oszustwami w ramach struktur organizacji. Często to pracownicy, nie zawsze świadomie, stają się słabym ogniwem w łańcuchu cyberbezpieczeństwa. Do wycieku danych dochodzi zazwyczaj w wyniku zaniedbań lub błędów, jak np. wysłanie bazy danych z wrażliwymi informacjami do niewłaściwego kontrahenta lub przypadkowe zainstalowanie złośliwego oprogramowania typu infostealer. W takim wypadku problem braku podstawowej wiedzy rozwiązać może wprowadzenie cyklicznych szkoleń dla pracowników z zakresu cyberbezpieczeństwa. Gorzej, gdy pracownik pada ofiarą przemyślanej socjotechniki stosowanej przez przestępców, którą często trudno rozpoznać jako próbę oszustwa.
Intuicja i zdrowy rozsądek nie wystarczą – ponad 162 tys. MŚP to dziś potencjalny cel oszustów
Aktywnych działalności gospodarczych w Polsce na koniec 1 kwartału 2025 roku, z sektora małych i średnich przedsiębiorstw, odnotowano ponad 2,8 mln (GUS). Jednostki mikro, czyli zatrudniające do 9 osób, stanowiły 95,8% całego zbioru przedsiębiorstw aktywnych. Jak polscy przedsiębiorcy chronią swoje zasoby i dane osobowe przed oszustwami finansowymi, zwłaszcza cyberatakami?
Wnioski z Raportu Antyfraudowego BIK 2025 nie są zbyt optymistyczne. Zwraca uwagę, że aż 5,8 proc. MŚP nie stosuje żadnych technik zabezpieczających przed ryzykiem włamania czy wyłudzenia. Oznacza to, że ponad 162 tys. małych i średnich przedsiębiorstw wręcz same narażają się na cyberataki i próby wyłudzeń.
Co gorsza, firmy wciąż prowadzą dość prowizoryczne działania ochrony antywyłudzeniowej, opierają je przede wszystkim na zdrowym rozsądku. 36 proc. badanych przedsiębiorców z sektora MŚP przyznało, że kieruje się głównie czujnością i intuicją – podmioty te prowadzą swój biznes w błędnym przekonaniu, że to wystarczy.
To z jaką uwagą przedsiębiorcy podchodzą do cyberbezpieczeństwa jest w dużym stopniu uzależnione od tego, czy doświadczyli wcześniej próby ataku lub wyłudzenia. Ci, którzy mieli do czynienia z takim zjawiskiem a tym bardziej, gdy stali się ofiarą przestępców, szybko wyciągają wnioski: dostrzegają potrzebę szkoleń wewnętrznych, wdrażają standardy bezpieczeństwa, często posiłkując się dostępnymi narzędziami antyfraudowymi i współpracując z wyspecjalizowanymi podmiotami. Paletę metod zabezpieczeń z pewnością należy dostosować do skali firmy. Jednak fundamentem bezpieczeństwa każdej firmy jest wdrożenie i przestrzeganie standardów.
Postęp w tym zakresie widoczny jest w grupie 34 proc. MŚP, w których organizuje się już regularne szkolenia dla swoich pracowników, jedna trzecia średnich firm posiada w swoich strukturach komórki odpowiedzialne za przeciwdziałanie wyłudzeniom, a w ponad 28 proc. firm ma w swoim standardzie pracy weryfikację kontrahentów w zewnętrznych bazach danych.
Lepiej być mądrym przed szkodą – przyznają poszkodowani
W ciągu ostatniego roku wystąpił wyraźny skok, jeśli chodzi o liczbę firm, które zapowiadają wdrażanie działań prewencyjnych w zakresie zwiększenia cyberbezpieczeństwa. W roku 2024 deklarowało to 17,4 proc. MŚP, obecnie twierdzi tak już co czwarta z nich. Dotyczy to jednak przede wszystkim tych podmiotów, które spotkały się z próbą oszustwa lub padły jego ofiarą. Głównie te firmy chcą wzmacniać ochronę przed oszustami, ale potrzebują wsparcia. 27,6 proc. wskazuje na potrzebę alertów i list spamowych numerów, jedna czwarta MŚP oczekuje więcej profesjonalnych szkoleń dla pracowników, a ponad 22 proc. przyznaje, że brakuje im skutecznych narzędzi do wykrywania prób oszustw.