W 2023 roku tylko 20 proc. polskich firm padło ofiarą ataków ransomware. Na świecie ten odsetek wyniósł aż 59 proc. – wskazują raporty Sophos. Eksperci podkreślają jednak, że ryzyko ataków ransomware w Polsce jest nadal wysokie i nie można go lekceważyć. Raporty pokazują również, że polskie podmioty szybciej odzyskują dane. Najczęściej zajmuje im to maksymalnie tydzień, podczas gdy na świecie największy odsetek przedsiębiorstw potrzebuje nawet miesiąca.
– Taki wynik może budzić złudny optymizm i sugerować, że polskie podmioty są mniej narażone na ataki ransomware niż przedsiębiorstwa w innych częściach świata, ale nie jest to prawda. Wszyscy na całym świecie mogą w każdej chwili paść ofiarą cyberprzestępców i ryzyko to jest wysokie dla każdej firmy, bez względu na jej wielkość czy kraj, w którym operuje. Niższy odsetek ataków w Polsce może wiązać się z różnymi czynnikami, np. stopniem cyfryzacji przedsiębiorstw, ale również mniej precyzyjnym raportowaniem – podkreśla Chester Wisniewski, dyrektor ds. technologii w firmie Sophos.
Niektóre kraje, takie jak Francja, odnotowały nawet wyższe wskaźniki ataków niż średnia globalna – aż 74 proc. tamtejszych firm zgłosiło incydent ransomware w 2023 r. Natomiast w Czechach w ten sposób zaatakowany został tylko co piąty podmiot. Na Węgrzech odsetek ten był jeszcze niższy i wyniósł jedynie 7 proc. Różnice te mogą wynikać z wielu czynników, takich jak lokalne przepisy, poziom zabezpieczeń czy stopień cyfryzacji przedsiębiorstw.
Najczęstszą przyczyną ataków ransomware w Polsce był phishing – wskazało go 32 proc. przedsiębiorstw, które padły jego ofiarą. Na świecie dominującą metodą były jednak luki w zabezpieczeniach, które cyberprzestępcy wykorzystali do przejęcia kontroli nad systemami w 36 proc. firm dotkniętych ransomware. W ujęciu globalnym wiadomości e-mail ze złośliwymi załącznikami lub linkami znalazły się na drugim miejscu (34 proc.).
Kolejną istotną różnicą między polskimi a światowymi firmami jest odsetek przypadków, w których cyberprzestępcy zdołali zaszyfrować dane. W Polsce w 2023 r. udało się to w połowie ataków ransomware. Na świecie współczynnik ten był znacznie wyższy i wyniósł aż 70 proc. Globalne badanie wykazało niewielki spadek tego wskaźnika w porównaniu z 2022 r. (z 76 proc. do 70 proc.), ale zdaniem ekspertów nadal jest to bardzo wysoki poziom.
– Niższy procent przypadków zaszyfrowania danych w Polsce może świadczyć o lepszych mechanizmach zapobiegania pełnym atakom lub skuteczniejszych systemach wykrywania zagrożeń i reagowania na nie. Jednakże, biorąc pod uwagę, że nawet w połowie przypadków zasoby zostają zaszyfrowane, konieczne jest dalsze inwestowanie w systemy obronne i strategie odzyskiwania danych – podkreśla ekspert Sophos.
Jednym ze wskaźników opisanych w badaniach Sophos jest czas potrzebny firmom na odzyskanie danych po ataku. Polska na tym polu wypada zdecydowanie lepiej niż światowa średnia. Polskie firmy zazwyczaj odzyskują dane w ciągu tygodnia (24 proc.), podczas gdy w skali globalnej większość przedsiębiorstw (30 proc.) potrzebuje nawet miesiąca.
Zdaniem ekspertów szybsze tempo odzyskiwania danych może wynikać ze stopnia ucyfrowienia polskich firm. W Polsce działa wiele małych i średnich przedsiębiorstw, w których stosuje się mniej rozwiązań cyfrowych niż w dużych podmiotach, więc jest w nich przechowywanych mniej danych niż w większych firmach. Dlatego ich przywrócenie po ataku trwa krócej niż w spółkach zatrudniających więcej pracowników.
Na świecie największa grupa, bo 33 proc. firm, zapłaciła od 1 do 5 mln dolarów za odzyskanie danych po ataku ransomware. Z kolei większość polskich podmiotów przekazała atakującym poniżej 100 tys. złotych, co jest kwotą znacznie niższą niż najczęstszy wynik w skali globalnej.
– Tak duża różnica w wysokości okupu może wynikać z mniejszej liczby dużych podmiotów działających w Polsce. Cyberprzestępcy zażądają innej kwoty okupu od przedsiębiorstwa zatrudniającego 20 osób niż od wielkiej firmy z kilkoma tysiącami pracowników. Jednak warto podkreślić, że płacenie okupu nie gwarantuje odzyskania wszystkich danych, a co więcej, może stanowić zachętę dla cyberprzestępców do ponownych ataków – podkreśla Chester Wisniewski.