Z raportu Sophos wynika, że w 2023 roku najczęstszym źródłem ataków ransomware na polskie firmy był phishing. Przedsiębiorstwa przygotowują się na cyberataki, ale wciąż w niewystarczającym stopniu – jedynie 46 proc. tworzy zapasowe kopie danych, a 51 proc. zatrudnia specjalistów ds. cyberbezpieczeństwa lub wewnętrzny dział SOC.
Z przeprowadzonego na zlecenie firmy Sophos badania „State of Ransomware Poland 2024” wynika, że w 2023 roku co piąte przedsiębiorstwo w Polsce zostało zaatakowane złośliwym oprogramowaniem ransomware. 28 proc. firm nie doświadczyło cyberataku, ale spodziewa się go w przyszłości. Z kolei co trzecie przedsiębiorstwo, które nie zostało zaatakowane w 2023 r., nie przewiduje, by miało paść ofiarą cyberprzestępców w przyszłości. 14 proc. przedstawicieli badanych firm nie wiedziało lub nie pamiętało, czy w 2023 roku w ich przedsiębiorstwie wystąpił cyberatak, a 5 proc. zadeklarowało, że atak nastąpił, ale nie wykorzystano w nim złośliwego oprogramowania.
W połowie polskich firm zaatakowanych przez ransomware w 2023 roku cyberprzestępcy zaszyfrowali dane, zaś w 39 proc. atak udało się zatrzymać zanim doszło do zaszyfrowania. Natomiast w co dziesiątym przedsiębiorstwie napastnikom udało się uzyskać dostęp do cyfrowych zasobów, ale nie zaszyfrowali ich.
Phishing wciąż skuteczny
W przypadku 32 proc. firm dotkniętych ransomware w 2023 roku praprzyczyną umożliwiającą cyberprzestępcom przeniknięcie do systemów IT ofiary były wiadomości phishingowe. Była to też najczęściej wskazywana przez respondentów przyczyna ataków.
– Popularność phishingu jako metody ułatwiającej uzyskanie dostępu do danych w przedsiębiorstwach pokazuje, że wciąż mają one lekcję do odrobienia w zakresie edukacji swoich pracowników – podkreśla Chester Wisniewski, dyrektor ds. technologii w firmie Sophos. – Jeśli użytkownik dostanie wiadomość phishingową i następnie kliknie w złośliwy link, to wykonuje on pracę za cyberprzestępców i „wpuszcza” ich do systemu firmy. Dlatego tak ważne jest edukowanie pracowników i tłumaczenie jakie elementy wiadomości powinny wzbudzić czujność: narzucanie przez oszustów presji czasowej na podjęcie konkretnych działań albo dziwne prośby i wiadomości, których się ktoś nie spodziewa.
Inne najczęściej wykorzystywane przez cyberprzestępców metody, za których pośrednictwem uzyskiwali dostęp do systemów zaatakowanych firm, to luki w zabezpieczeniach (26 proc.) oraz nielegalnie pozyskane dane uwierzytelniające (22 proc.). 15 proc. respondentów badania Sophos wskazało, że oszuści dostali się do systemu IT w wyniku nieautoryzowanego dostępu lub szkodliwego działania pracowników czy innych osób związanych z firmą.
Rozwiązania techniczne oraz sztuczna inteligencja powinny wspierać pracowników
W badanych firmach znaczną rolę w ochronie przed cyberatakami pełnią specjaliści ds. cyberbezpieczeństwa. Połowa polskich podmiotów zatrudnia własnych ekspertów lub wewnętrzy dział SOC (security operations center), który jest w stanie powstrzymywać ataki. Z kolei 18 proc. przedsiębiorstw współpracuje z zewnętrznymi specjalistami i zespołami reagowania. Niestety, jednocześnie firmy mierzą się z problemami budżetowymi. W 27 proc. przedsiębiorstw brakuje zasobów na zwiększenie liczby wykwalifikowanych pracowników, a 17 proc. ma problem ze znalezieniem ich na rynku pracy.
– Dane pokazują, że firmy w ogromnym stopniu polegają na ekspertach i ich umiejętnościach. Należy jednak pamiętać, że kluczem do skutecznej ochrony jest wspomaganie działów IT odpowiednimi rozwiązaniami i narzędziami, dzięki którym będą one mogły wystarczająco wcześnie wykrywać incydenty i wdrażać działania naprawcze. Niestety, zespoły odpowiedzialne za cyberbezpieczeństwo często są przeciążone dużą liczbą różnych alertów. Dlatego warto rozważyć sięgnięcie po sztuczną inteligencję, która mogłaby analizować część zgłoszeń i automatycznie reagować w odpowiedni sposób. Wykorzystanie AI nie zastąpi specjalistów w całości, ale może być sposobem na załatanie luki kompetencyjnej w obszarze IT – tłumaczy Chester Wisniewski.
Firmy tworzą kopie zapasowe i plany odzyskiwania danych
Prawie połowa (46 proc.) badanych firm wykorzystuje kopie zapasowe, aby chronić się przed skutkami cyberataków i ransomware. 31 proc. przedsiębiorstw dysponuje backupem w chmurze, a 22 proc. przechowuje go w formie fizycznej. Część firm korzysta z obu tych metod. Prawie jedna trzecia firm posiada specjalne zabezpieczenia przed ransomware, jak oprogramowanie ochronne, zapory sieciowe czy filtry treści. Z badania Sophos wynika również, że przedsiębiorstwa sięgają po cyfrowe ubezpieczenia, aby chronić się przed skutkami ataków ransomware. Jednak raport Sophos poświęcony cyberubezpieczeniom wskazuje, że w 2023 roku średnia kwota wypłaty od firmy ubezpieczeniowej stanowiła 63 proc. całkowitego roszczenia zaatakowanego podmiotu.
Oprócz wykorzystywania konkretnych narzędzi do ochrony przed cyberatakami firmy tworzą plany odzyskiwania danych. Prawie połowa przedsiębiorstw ma opracowany pełny i szczegółowy dokument, a 32 proc. dysponuje takim planem, ale nie przewiduje on wszystkich możliwych scenariuszy ataku. Nawet jeśli przedsiębiorstwo nie posiada opracowanego planu odzyskiwania danych, powinno mieć przynajmniej plan ciągłości działania w sytuacji cyberataku. Takim dokumentem dysponuje 13 proc. firm w Polsce. Dobrą wiadomością jest fakt, że jedynie 3 proc. podmiotów nie ma ani planu odzyskiwania danych, ani planu ciągłości działania.
O badaniu
Badanie „Ransomware w Polsce 2024” zostało przeprowadzone w kwietniu 2024 roku metodą CAWI przez UCE RESEARCH dla Sophos. Badani byli przedstawiciele 400 firm, zajmujący stanowisko pracownika działu IT minimum na poziomie specjalisty lub specjalisty ds. cyberbezpieczeństwa w firmie.