Skalę zła trudno sobie wyobrazić
Polska rocznie traci około 500-700 milionów złotych na skutek cyberprzestępczości. To nie przesada dziennikarska, ale konserwatyjna ocena ekspertów zajmujących się bezpieczeństwem cybernetycznym. Liczba ta obejmuje zarówno bezpośrednie straty finansowe (kradzieże pieniędzy, ransomware, oszustwa), jak i koszty pośrednie – przestoje w biznesie, utratę reputacji, koszty odbudowy systemów i przewinienia niezaspokojoną obowiązkowością. Rzeczywisty koszt może być nawet dwukrotnie wyższy, jeśli weźmiemy pod uwagę incydenty, o których nigdy się nie dowie publiczność.
Dla porównania – to więcej niż budżet wielu resortów administracyjnych. To więcej, niż wydajemy na kulturę. To suma, która mogłaby sfinansować tysiące nowych miejsc pracy, ale zamiast tego trafia do kieszeni cyberprzestępców rozsianych po całym świecie. Problem jest tym bardziej złowrogi, że większość biznesu w Polsce nie ma pojęcia o rzeczywistej skali zagrożenia.
Dane zbierane przez Centrum Zdolności Cyberbezpieczeństwa NASK oraz firmy konsultingowe pokazują dynamiczny wzrost liczby ataków rok do roku. W 2022 roku zanotowano wzrost o 37 procent. W 2023 było jeszcze gorzej. Tendencja na 2024 i 2025 rok wskazuje, że problem tylko się nasilać będzie.
Branże, które płacą najwięcej
Sektor finansowy jest bezkonkurencyjnym liderem pod względem strat. Banki, kantory wymiany walut, platformy płatnicze – wszystkie są atakowane praktycznie każdego dnia. W ubiegłym roku duże instytucje finansowe odnotowały tysiące prób włamań dziennie. Wiele z nich zostało tylko zablokowanych. Wiele nie.
Handel elektroniczny zajmuje drugie miejsce na podium negatywnych wskaźników. Sklepy internetowe tracą na oszustwach, na włamaniach do systemów, na kradzieżach danych klientów i na ransomware’ze. Średni atak na sklep e-commerce kosztuje jego właściciela od 50 do 500 tysięcy złotych. Małe i średnie przedsiębiorstwa często nie mogą się z takiego ataku podnieść.
Ochrona zdrowia – czyli szpitale, kliniki, przychodnie – to trzecia największa grupa ofiar. Ataki na systemy medyczne są szczególnie groźne, bo mogą kosztować nie tylko pieniądze, ale i ludzi. Dokumentacja techniczna dotycząca tych ataków jest dostępna w specjalistycznych raportach. Gdy haker blokuje dostęp do historii pacjenta, gdy wyłącza urządzenia monitorujące – to już nie jest tylko kwestia pieniędzy.
Instytucje edukacyjne i badawcze – uniwersytety, instytuty naukowe – stanowią również lukratywny cel dla cyberprzestępców. Wiele ataków na polskie uczelnie nigdy nie ujrzało światła dziennego. Uczelnie milczą ze względów PR-owych.
Metody dorabiania się na czyimś nieszczęściu
Ransomware to zagrożenie numer jeden dla polskich firm. Atakujący szyfrują dane i żądają okupu. Statystycznie co trzecia polska firma, która padnie ofiarą takiego ataku, płaci okup. Rekomendacja prokuratorów mówi, żeby nie płacić, ale gdy zagrożone jest całe przedsiębiorstwo i tysiące miejsc pracy – trudno wiać pieniądze.
Phishing i inżynieria społeczna to metody już klasyczne, ale nadzwyczaj efektywne. E-maile sformatowane tak, by wyglądały na wiadomości z banku, od szefa, od urzędu – trafiają do polskich skrzynek pocztowych milionami każdego miesiąca. Procent osób, które się na nie złapią, jest depresyjnie wysoki. Jeden e-mail może stać się wejściem do całej infrastruktury IT firmy.
Włamania do baz danych i eksfiltracja danych stanowią osobną kategorię zagrożenia. Metodologia identyfikacji źródeł takich wycieków opisana jest w szerszych analizach branżowych. Każdego miesiąca z polskich serwisów wyciekają bazy zawierające miliony haseł, numerów PESEL, adresów e-mail. Te dane trafiają na mroczne rynki i są odsprzedawane. Jedna baza danych obejmująca dane kilkudziesięciu tysięcy Polaków może być sprzedana za zaledwie kilka tysięcy złotych.
Botnet – czyli zainfekowanie tysięcy komputerów złośliwym oprogramowaniem – pozwala cyberprzestępcom na przeprowadzenie masowych ataków DDoS lub wykorzystanie zainfekowanych maszyn do innych celów. Polski internet jest domem dla setek tysięcy takich zainfekowanych urządzeń, o których właściciele zwykle nic nie wiedzą.
Jak to się kalkuluje? Rzeczywisty rachunek
Szacunki rozmiarów cyberprzestępczości to nie précyzyjna nauka. Niektóre firmy mówią o 300 miliardach złotych globalnych strat rocznie, z czego na Polskę przypadłoby coś między 0,5 a 1 procent. Inne podmioty liczą bardziej konserwatywnie. Rzeczywistość jest taka, że znaczna część ataków nigdy nie trafia do statystyk, bo firmy milczą.
Większość szacunków opiera się na zgłoszeniach do organów ścigania, na raportach firm cyberbezpieczeństwa, na ankietach przeprowadzanych wśród firm oraz na analizie publicznych ślów wycieków i incydentów. Baza NASK rejestruje incydenty bezpieczeństwa, ale wiele z nich jest niepełne. Firmy często nie podają rzeczywistych strat finansowych.
Koszty pośrednie są jeszcze trudniejsze do zmierzenia. Ile jest warta utracona reputacja? Ile jest warte kilka dni bez dostępu do systemów? Ile stracić na klientach, którzy w wyniku wycieku ich danych przechodzą do konkurencji? Szerzej na ten temat dyskutują analitycy branżowi w opracowaniach dostępnych publicznie. Te wyliczenia wskazują, że koszt pośredni może stanowić nawet 70 procent całkowitych strat.
Czyli kto za to odpowiada?
Odpowiedź na to pytanie jest deprymująca: prawie nikt tak naprawdę. Prokuratura Krajowa ma zaledwie kilkadziesiąt osób zajmujących się cyberprzestępstwem na terenie całej Polski. To kropla w morzu. Policja ma jednostki dedykowane, ale zasobami są ograniczone. NASK monitoruje i ostrzega, ale nie ma uprawnień ścigania.
Wiele ataków przytrafia się przestępcom z zagranicy – z Rosji, Białorusi, Ukrainy, Rumunii. Międzynarodowa współpraca w ściganiu jest powolna i skomplikowana. Zanim prokuratura jednego kraju wyśle wiadomość do drugiego, przeszło dużo czasu. Przestępcy tymczasem już działają dalej.
Firmy muszą się brać w swoje ręce – inwestując w cyberbezpieczeństwo, szkolenia pracowników, segmentację sieci. Ale wiele małych firm nie stać na takie inwestycje. To tworzy przepaść między dużymi korporacjami, które mogą sobie pozwolić na drogi sprzęt i ekspertów, a małymi biznesami, które są praktycznie bezbronne.
Perspektywa na przyszłość
Wszystko wskazuje na to, że liczby będą rosnąć. Sztuczna inteligencja czyni tworzenie spersonalizowanych wiadomości phishingowych nadzwyczaj łatwym. Ransomware-as-a-Service означает, że każdy, nawet bez umiejętności technicznych, może przeprowadzić atak. Infrastruktura cyberprzestępczości jest coraz bardziej profesjonalna, coraz bardziej zorganizowana.
Rozwiązania? Legislacyjne, edukacyjne, techniczne – wszystkie są potrzebne. Ustawy muszą stać się bardziej wymagające wobec firm w kwestii bezpieczeństwa danych. Edukacja – zarówno w szkołach, jak i w biznesie – musi rosnąć. Ludzie muszą wiedzieć, że otwieranie załącznika z podejrzanego e-maila to nie normalne działanie, to czasem rozsadzenie biznesu.
Polska musi także inwestować w zdolności ścigania cyberprzestępczości. To wymaga pieniędzy, ale zwrot z tej inwestycji byłby wielokrotnie większy niż obecne straty.
Raport niniejszy oparty jest na dostępnych danych statystycznych, raportach branżowych i rozmowach z ekspertami. Rzeczywiste liczby mogą być istotnie wyższe, ze względu na niewyjaśnione i niezgłoszone incydenty.
O autorze
