Phishing zagrożeniem dla firm. Nowe dane i regulacje
Jak wynika ze świeżych danych, średni koszt pojedynczego incydentu naruszenia danych w 2025 r. przekroczył 4 mln dolarów. Phishing niezmiennie pozostaje przy tym najpopularniejszą metodą cyberataku na firmy.
Phishing utrzymuje się na szczycie metod cyberataków wykorzystywanych przez przestępców. Polega on na podszywaniu się pod zaufane osoby lub instytucje, by nakłonić pracowników do podjęcia niebezpiecznych działań. Według najnowszego raportu IBM Security Cost of a Data Breach, koszty związane z naruszeniem danych są coraz wyższe – w 2025 r. średnia strata dla zaatakowanej firmy przekroczyła 4 mln dolarów.
Statystyki przeprowadzone na polskim rynku przez Nimblr pokazują, że aż 3,3 proc. pracowników korporacyjnych klika w fałszywe wiadomości phishingowe. W niektórych organizacjach wskaźnik ten sięga nawet 10 proc. Oznacza to, że mimo rosnącej świadomości zagrożenia, skuteczność ataków nadal niepokojąco rośnie.
Jednym z najgroźniejszych scenariuszy pozostaje tzw. CEO fraud, czyli fałszywe wiadomości rzekomo wysyłane przez zarząd firmy. Oszuści podszywają się pod kluczowe osoby w organizacji, wprowadzając pracowników w błąd i nakłaniając do wykonywania działań. Magdalena Baraniewska z Nimblr wyjaśniła, że największą skuteczność osiągają te ataki, które imitują codzienną, wewnętrzną komunikację.
Firmy muszą być wyczulone nie tylko na wyłudzenia od zarządu, ale także na rutynowe powiadomienia, takie jak zaproszenia z elektronicznego kalendarza czy komunikaty organizacyjne. Baraniewska podkreśla, że brak czujności może pojawić się nawet przy typowych, często powtarzanych wiadomościach.
Konieczność stałego szkolenia pracowników z cyberbezpieczeństwa staje się szczególnie aktualna w związku z nowymi przepisami. Dyrektywa NIS2 oraz znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa zobowiążą organizacje wielu sektorów do lepszego zarządzania ryzykiem oraz raportowania incydentów. Nowe regulacje obejmą m.in. energetykę, transport, ochronę zdrowia, finanse, infrastrukturę cyfrową i administrację publiczną.
Eksperci wskazują, że skuteczna ochrona to nie tylko kwestia technologii. Właściwe polityki bezpieczeństwa, jasne zasady komunikacji wewnętrznej oraz edukacja personelu są kluczowe w zapobieganiu skutkom phishingu i utracie danych, niezależnie od rozmiaru czy branży firmy.
