– W ostatnich latach ataki ransomware stały się jednym z najpoważniejszych zagrożeń dla firm i instytucji na całym świecie. W 2023 roku ich ofiarą padło 59 proc. przedsiębiorstw globalnie i 20 proc. w Polsce. Z badań firmy Sophos wynika, że w Polsce odsetek podmiotów, w których cyberprzestępcy zaszyfrowali dane po udanym ataku, był niższy niż globalnie. Raporty pokazują również, że polskie podmioty szybciej odzyskują dane. Najczęściej zajmuje im to maksymalnie tydzień, podczas gdy na świecie największy odsetek przedsiębiorstw potrzebuje nawet miesiąca.
Wyniki raportów firmy Sophos wyraźnie obrazują różnice w skali ataków ransomware między Polską a średnią globalną w ostatnim roku. Podczas gdy w Polsce co piąta firma zadeklarowała, że padła ofiarą ransomware w 2023 roku, na świecie odsetek ten wyniósł aż 59 proc.
– Taki wynik może budzić złudny optymizm i sugerować, że polskie podmioty są mniej narażone na ataki ransomware niż przedsiębiorstwa w innych częściach świata, ale nie jest to prawda. Wszyscy na całym świecie mogą w każdej chwili paść ofiarą cyberprzestępców i ryzyko to jest wysokie dla każdej firmy, bez względu na jej wielkość czy kraj, w którym operuje. Niższy odsetek ataków w Polsce może wiązać się z różnymi czynnikami, np. stopniem cyfryzacji przedsiębiorstw, ale również mniej precyzyjnym raportowaniem – podkreśla Chester Wisniewski, dyrektor ds. technologii w firmie Sophos.
Niektóre kraje, takie jak Francja, odnotowały nawet wyższe wskaźniki ataków niż średnia globalna – aż 74 proc. tamtejszych firm zgłosiło incydent ransomware w 2023 roku. Natomiast w Czechach w ten sposób zaatakowany został tylko co piąty podmiot. Na Węgrzech odsetek ten był jeszcze niższy i wyniósł jedynie 7 proc. Różnice te mogą wynikać z wielu czynników, takich jak lokalne przepisy, poziom zabezpieczeń czy stopień cyfryzacji przedsiębiorstw.
W Polsce najczęściej działa phishing
Najczęstszą przyczyną ataków ransomware w Polsce był phishing – wskazało go 32 proc. przedsiębiorstw, które padły jego ofiarą. Na świecie dominującą metodą były jednak luki w zabezpieczeniach, które cyberprzestępcy wykorzystali do przejęcia kontroli nad systemami w 36 proc. firm dotkniętych ransomware. W ujęciu globalnym wiadomości e-mail ze złośliwymi załącznikami lub linkami znalazły się na drugim miejscu (34 proc.).
– Krajobraz zagrożeń stale się zmienia, ale przestępcy wciąż stosują metody, które sprawdzają się najlepiej, takie jak phishing. Dlatego jednym z kluczowych działań ochronnych w przedsiębiorstwach cały czas jest edukacja. Zespół musi być jak najlepiej zorientowany w zagrożeniach i sposobach ochrony, a pracownicy powinni umieć rozpoznawać potencjalnie niebezpieczne wiadomości – wskazuje Chester Wisniewski.
W skali globalnej cyberprzestępcy częściej szyfrują dane
Kolejną istotną różnicą między polskimi a światowymi firmami jest odsetek przypadków, w których cyberprzestępcy zdołali zaszyfrować dane. W Polsce w 2023 roku udało się to w połowie ataków ransomware. Na świecie współczynnik ten był znacznie wyższy i wyniósł aż 70 proc. Globalne badanie wykazało niewielki spadek tego wskaźnika w porównaniu z 2022 rokiem (z 76 proc. do 70 proc.), ale zdaniem ekspertów nadal jest to bardzo wysoki poziom.
– Niższy procent przypadków zaszyfrowania danych w Polsce może świadczyć o lepszych mechanizmach zapobiegania pełnym atakom lub skuteczniejszych systemach wykrywania zagrożeń i reagowania na nie. Jednakże, biorąc pod uwagę, że nawet w połowie przypadków zasoby zostają zaszyfrowane, konieczne jest dalsze inwestowanie w systemy obronne i strategie odzyskiwania danych – podkreśla ekspert Sophos.
Ile czasu potrzeba na odzyskanie danych po ataku?
Jednym ze wskaźników opisanych w badaniach Sophos jest czas potrzebny firmom na odzyskanie danych po ataku. Polska na tym polu wypada zdecydowanie lepiej niż światowa średnia. Polskie firmy zazwyczaj odzyskują dane w ciągu tygodnia (24 proc.), podczas gdy w skali globalnej większość przedsiębiorstw (30 proc.) potrzebuje nawet miesiąca.
Zdaniem ekspertów szybsze tempo odzyskiwania danych może wynikać ze stopnia ucyfrowienia polskich firm. W Polsce działa wiele małych i średnich przedsiębiorstw, w których stosuje się mniej rozwiązań cyfrowych niż w dużych podmiotach, więc jest w nich przechowywanych mniej danych niż w większych firmach. Dlatego ich przywrócenie po ataku trwa krócej niż w spółkach zatrudniających więcej pracowników.
Ile firmy płacą cyberprzestępcom?
Na świecie największa grupa, bo 33 proc. firm, zapłaciła od 1 do 5 milionów dolarów za odzyskanie danych po ataku ransomware. Z kolei większość polskich podmiotów przekazała atakującym poniżej 100 tysięcy złotych, co jest kwotą znacznie niższą niż najczęstszy wynik w skali globalnej.
– Tak duża różnica w wysokości okupu może wynikać z mniejszej liczby dużych podmiotów działających w Polsce. Cyberprzestępcy zażądają innej kwoty okupu od przedsiębiorstwa zatrudniającego 20 osób niż od wielkiej firmy z kilkoma tysiącami pracowników. Jednak warto podkreślić, że płacenie okupu nie gwarantuje odzyskania wszystkich danych, a co więcej, może stanowić zachętę dla cyberprzestępców do ponownych ataków – podkreśla Chester Wisniewski.
Niezależnie od różnic w skali skuteczności ataków ransomware w Polsce i na świecie, pozostają one poważnym zagrożeniem, które wymaga ciągłej uwagi i inwestowania w systemy ochronne. Pomimo niższego odsetka liczby firm w Polsce, które padły ofiarą ransomware, nie mogą one spocząć na laurach, a przede wszystkim dążyć do ciągłego poprawiania bezpieczeństwa swoich danych.