Mimo rosnącej skali zagrożeń, większość małych firm w Polsce wciąż bagatelizuje ryzyko cyberataków – wynika z badania Mastercard. Jednocześnie dane pokazują, że problem jest realny: incydentów bezpieczeństwa doświadczyła już około jedna czwarta najmniejszych przedsiębiorstw.
Z badania przeprowadzonego na przełomie 2025 i 2026 r. wynika, że aż 71 proc. przedstawicieli małych firm ocenia ryzyko cyberataku jako niskie lub raczej niskie. Tylko 5 proc. uznaje je za bardzo wysokie. Zupełnie inne podejście mają większe organizacje – w ich przypadku 18 proc. wskazuje na wysokie lub bardzo wysokie zagrożenie.
Optymizm małych firm nie znajduje potwierdzenia w rzeczywistości. Cyberataku lub naruszenia bezpieczeństwa doświadczyło: ok. 25 proc. małych firm, 44 proc. średnich i ok. 50 proc. dużych przedsiębiorstw.
Najczęściej atakowane są firmy z branży produkcyjnej (49 proc.), handlowej (38 proc.) i e-commerce (34 proc.). Dominują ataki ransomware, socjotechniczne (e-mail, SMS) oraz próby naruszenia systemów uwierzytelniania.
Z badania wynika też, że najsłabszym ogniwem pozostaje człowiek – cyberprzestępcy częściej wykorzystują błędy pracowników niż luki infrastrukturalne.
Jednym z kluczowych problemów jest niski poziom przygotowania organizacyjnego najmniejszych firm. Tylko 18 proc. z nich posiada plan reagowania na incydenty cyberbezpieczeństwa (dla porównania: 78 proc. dużych firm).
Jeszcze gorzej wygląda kwestia edukacji. 54 proc. małych firm nigdy nie szkoliło pracowników z cyberbezpieczeństwa, a w dużych firmach 64 proc. prowadzi takie szkolenia przynajmniej raz w roku.
Firmy, które doświadczyły cyberataku, częściej inwestują w szkolenia i procedury, co potwierdza, że działania mają często charakter reaktywny.
Po incydencie przedsiębiorstwa najczęściej wzmacniają zabezpieczenia. Duże firmy częściej informują pracowników i izolują systemy, natomiast mniejsze korzystają ze wsparcia zewnętrznych ekspertów.
Jednocześnie stosunkowo niewiele organizacji przeprowadza pogłębioną analizę incydentu – tylko 16 proc. dużych firm ocenia skalę szkód i naruszeń, a jeszcze mniej aktywuje formalne procedury reagowania.
Badanie pokazuje wyraźną różnicę w podejściu do cyberbezpieczeństwa. Duże i średnie organizacje są bardziej świadome zagrożeń i lepiej przygotowane systemowo, podczas gdy małe firmy często nie postrzegają cyberataków jako istotnego ryzyka.
Tymczasem – jak podkreślają autorzy badania – to właśnie mniejsze, słabiej zabezpieczone podmioty są częstym celem cyberprzestępców i mogą stanowić punkt wejścia do większych organizacji w ramach łańcucha dostaw.
Badanie zostało przeprowadzone przez agencję badawczą Minds & Roses na przełomie października 2025 r. i stycznia 2026 r. wśród osób odpowiedzialnych za cyberbezpieczeństwo w małych, średnich i dużych firmach w Polsce za pomocą metody CATI (telefonicznych wywiadów).
