Jednym z najczęściej wykorzystywanych wektorów ataku wciąż pozostaje phishing. Z symulacji przeprowadzanych w Polsce przez firmę Nimblr wynika, że w fałszywe wiadomości klika średnio 3,3% użytkowników. Natomiast w najbardziej „skutecznych” scenariuszach odsetek kliknięć sięgał już 10–13%. Pracownicy najczęściej reagują na fałszywe wiadomości, w których nadawcy podszywają się pod przedstawicieli kadry zarządzającej. Jak się chronić?
W skrócie
Ponad 4 miliony dolarów: tyle wyniósł średni globalny koszt pojedynczego naruszenia danych w 2025 roku – wynika z raportu IBM Security Cost of a Data Breach. Na wysokiej pozycji wciąż jest phishing.
Uważaj w co wchodzisz
Phishing to forma ataku socjotechnicznego. Cyberprzestępcy podszywają się pod zaufane osoby lub instytucje. Nakłaniają ofiarę do otwarcia przesłanego jej załącznika, kliknięcia w link lub przekazania im poufnych informacji. CERT Polska regularnie ostrzega przed fałszywymi wiadomościami tego typu. Ataki te wykorzystują m.in. tematykę przesyłek kurierskich czy fałszywe e-maile podszywające się pod np. Zakład Ubezpieczeń Społecznych. Linki lub załączniki znajdujące się w phishingowych komunikatach zawierają zazwyczaj złośliwe oprogramowanie. W związku z tym umożliwia ono przestępcom kradzież haseł i uzyskanie dostępu do systemów firmowych. Maile tego typu często trafiają także na służbowe skrzynki pocztowe. Przez to stają się realnym zagrożeniem dla przedsiębiorstw.
“Z danych z symulacji phishingowych realizowanych przez Nimblr w Polsce wynika, że w środowisku biznesowym największą skuteczność osiągają scenariusze naśladujące codzienną, wewnętrzną komunikację w firmach. Pracownicy najczęściej reagują na fałszywe wiadomości, w których nadawcy podszywają się pod przedstawicieli kadry zarządzającej (tzw. CEO fraud). Problemy z zachowaniem czujności pojawiły się również w przypadku pozornie rutynowych komunikatów, takich jak fałszywe zaproszenia z elektronicznego kalendarza czy inne powiadomienia organizacyjne” – podkreśla Magdalena Baraniewska, Channel Sales Executive w Nimblr.
Powtarzalność ataków phishingowych pokazuje, że to pracownicy oraz procesy komunikacyjne powinny stanowić kluczową linię obrony organizacji. Jest to jeden z kluczowych obszarów wskazanych w najnowszych regulacjach dotyczących cyberbezpieczeństwa, w tym w dyrektywie NIS2.
NIS2 i KSC
Dyrektywa NIS2 znacząco poszerza odpowiedzialność przedsiębiorstw za obszar cyberbezpieczeństwa. Przepisy obejmują m.in. energetykę, transport, ochronę zdrowia, sektor finansowy, infrastrukturę cyfrową, administrację publiczną oraz wybrane usługi cyfrowe i przemysłowe. Regulacje nakładają na firmy obowiązki związane m.in. z zarządzaniem ryzykiem cybernetycznym, raportowaniem incydentów, zabezpieczeniem łańcucha dostaw. Ponadto wymusza systematyczne podnoszenie świadomości zagrożeń cyfrowych wśród pracowników.
W Polsce postanowienia tej dyrektywy wprowadza nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa.
“Wymogi dyrektywy NIS2 podkreślają znaczenie kontroli dostępu do systemów i danych o krytycznym znaczeniu, jednak równie ważne jest przygotowanie pracowników do rozpoznawania zagrożeń. W praktyce oznacza to potrzebę regularnych szkoleń i działań edukacyjnych, szczególnie w obszarze phishingu, który nadal pozostaje jednym z najczęściej wykorzystywanych wektorów ataku. Świadomy pracownik, który potrafi ocenić wiarygodność wiadomości, linków i załączników oraz wie, jak reagować, realnie wzmacnia poziom bezpieczeństwa w firmach” – wyjaśnia Joanna Stawicka, Channel Sales Executive z Nimblr.
