34,4 proc. firm sektora MŚP doświadczyło w 2025 r. prób cyberataków; to wzrost prawie o 20 pkt proc. w porównaniu z rokiem ubiegłym - wynika z najnowszego raportu BIK. Najczęściej przedsiębiorcy mieli do czynienia z fałszywymi linkami i fałszywymi fakturami do zapłaty.
W Raporcie Antyfraudowym BIK 2025 wskazano, że 34,4 proc. firm sektora MŚP było w 2025 r. celem cyberataków; co stanowi wzrost o 19,8 pkt proc. w porównaniu z rokiem ubiegłym. Z kolei styczność ze zdarzeniami fraudowymi, czyli próbami oszustw i wyłudzeń, często przy użyciu technologii, miało 31,8 proc. małych i średnich firm (wzrost 15,4 pkt proc. rdr.).
Najczęściej małe i średnie przedsiębiorstwa miały do czynienia z phishingiem, czyli fałszywymi mailami (35,3 proc.). Natomiast fałszywe faktury do zapłaty, np. za usługi, których nie zamawiali bądź ze zmienionym numerem konta kontrahenta, otrzymało 32,8 proc. firm. Cyberprzestępcy próbowali też przejmować dane dostępowe do rachunków bankowych i baz klientów (31,5 proc. wszystkich przypadków), wysyłali SMS-y z prośbami o przelew (25 proc.) czy wyłudzali towary lub usługi (23,3 proc.). W każdym przypadku skala zjawiska od 2024 r. wzrosła - podkreślili autorzy badania.
Co drugie przedsiębiorstwo (50,9 proc.), które padło ofiarą prób wyłudzeń, zadeklarowało, że incydenty te występowały nawet 10 razy w ciągu roku - podano. W przypadku 45 proc. firm skala prób ataków była jeszcze większa - od kilkunastu do nawet stu rocznie.
Straty finansowe poniesione przez firmy, które znalazły się na celowniku oszustów, w prawie połowie przypadków (47,2 proc.) nie przekroczyły 10 tys. zł. Jednocześnie 11,3 proc. przedsiębiorstw poniosło straty sięgające do 100 tys. zł; a 5,7 proc. - nawet 1 mln zł.
Zgodnie z raportem obawy przedsiębiorców sektora MŚP związane z cyberprzestępczością z jednej strony związane są z atakami typu ransomware, polegającymi na zaszyfrowaniu danych przez cyberprzestępców, często celem żądania okupu. Z drugiej strony przedsiębiorcy coraz częściej patrzą z niepokojem na własne zespoły i podatność pracowników na chwyty socjotechniczne oszustów. Do wycieku danych dochodzi bowiem zazwyczaj w wyniku zaniedbań lub błędów, jak np. wysłania bazy danych z wrażliwymi informacjami do niewłaściwego kontrahenta lub przypadkowego zainstalowania złośliwego oprogramowania.
36 proc. badanych przedsiębiorców z sektora MŚP przyznało, że w ramach zabezpieczeń przed ryzykiem włamania czy wyłudzenia kieruje się głównie czujnością i intuicją. Według BIK jest to bardzo niepokojące, gdyż działania oparte na tzw. zdrowym rozsądku są niewystarczające, by ochronić firmę. Co trzeci przedsiębiorca zadeklarował, że szkoli pracowników z zakresu cyberbezpieczeństwa (34,4 proc.), a 28,2 proc. zadeklarowało, że sprawdza dane kontrahentów, w tym maile i telefony w bazach danych. Niemal co czwarta firma (24,2 proc.) wskazała, że wdrożyła zabezpieczenia internetowe, tj. programy i systemy antywirusowe dla komputerów, systemu czy serwera.
23,8 proc. przedsiębiorców podało, że wszystko sprawdza i zabezpiecza informatyk, a 17 proc. zatrudniło do tego firmę zewnętrzną. 18 proc. firm stosuje zarówno monitoring zewnętrzny, jak i wewnętrzny, w tym prowadzi kontrole pracowników. 12,8 proc. firm wskazało, że korzysta z płatnych narzędzi lub usług ochrony przed cyberatakami.
Natomiast 5,8 proc. MŚP nie stosuje żadnych technik zabezpieczających przed ryzykiem włamania czy wyłudzenia. Oznacza to, że ponad 162 tys. małych i średnich przedsiębiorstw naraża się na cyberataki i próby wyłudzeń - ocenili autorzy badania.
Raport Antyfraudowy BIK powstał na podstawie danych z bazy własnej Biura Informacji Kredytowej oraz informacji z trzech badań opinii zrealizowanych na zlecenie BIK. Badanie dot. mikro, małych i średnich firm zostało wykonane na 500 podmiotach, metodą wywiadów telefonicznych, w czerwcu br. (PAP)
mbl/ mmu/
