Cyberprzestępcy udają prezesa. Firmy tracą miliony przez jeden klik

Phishing to atak socjotechniczny, w którym przestępcy podszywają się pod zaufane osoby lub instytucje, by nakłonić ofiarę do kliknięcia w link, otwarcia załącznika lub ujawnienia poufnych danych. CERT Polska regularnie ostrzega przed fałszywymi wiadomościami imitującymi komunikaty firm kurierskich, urzędów czy instytucji finansowych. Coraz częściej jednak celem stają się skrzynki służbowe pracowników.

Szczególnie groźnym wariantem jest tzw. CEO fraud, czyli podszywanie się pod prezesa lub członka zarządu. Z danych z symulacji phishingowych prowadzonych w Polsce wynika, że w fałszywe wiadomości klika średnio 3,3 proc. użytkowników, a w najbardziej skutecznych scenariuszach nawet 10–13 proc.

– Z danych z symulacji phishingowych realizowanych przez Nimblr w Polsce wynika, że w środowisku biznesowym największą skuteczność osiągają scenariusze naśladujące codzienną, wewnętrzną komunikację w firmach. Pracownicy najczęściej reagują na fałszywe wiadomości, w których nadawcy podszywają się pod przedstawicieli kadry zarządzającej (tzw. CEO fraud). Problemy z zachowaniem czujności pojawiły się również w przypadku pozornie rutynowych komunikatów, takich jak fałszywe zaproszenia z elektronicznego kalendarza czy inne powiadomienia organizacyjne – podkreśla Magdalena Baraniewska, Channel Sales Executive w Nimblr.

NIS2 i Krajowy System Cyberbezpieczeństwa. Nowe obowiązki firm

Rosnąca skala ataków phishingowych sprawiła, że edukacja pracowników została wpisana w najnowsze regulacje unijne. Dyrektywa NIS2 rozszerza odpowiedzialność przedsiębiorstw za cyberbezpieczeństwo i obejmuje m.in. sektor energetyczny, finansowy, ochronę zdrowia, transport oraz administrację publiczną.

W Polsce wdrożenie przepisów nastąpi poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa, uchwaloną 23 stycznia 2026 roku. Firmy uznane za podmioty kluczowe i ważne będą miały sześć miesięcy na dostosowanie się do nowych wymagań.

Edukacja pracowników jako realna linia obrony

Nowe regulacje jasno wskazują, że same zabezpieczenia technologiczne nie wystarczą. Kluczowe znaczenie ma przygotowanie zespołów do rozpoznawania zagrożeń i właściwej reakcji na podejrzane komunikaty.

− Wymogi dyrektywy NIS2 podkreślają znaczenie kontroli dostępu do systemów i danych o krytycznym znaczeniu, jednak równie ważne jest przygotowanie pracowników do rozpoznawania zagrożeń. W praktyce oznacza to potrzebę regularnych szkoleń i działań edukacyjnych, szczególnie w obszarze phishingu, który nadal pozostaje jednym z najczęściej wykorzystywanych wektorów ataku. Świadomy pracownik, który potrafi ocenić wiarygodność wiadomości, linków i załączników oraz wie, jak reagować, realnie wzmacnia poziom bezpieczeństwa w firmach – wyjaśnia Joanna Stawicka, Channel Sales Executive z Nimblr. 

Phishing wykorzystuje ludzkie odruchy

Eksperci podkreślają, że skuteczność phishingu wynika z presji czasu, rutyny i zaufania do znanych nadawców. Nawet dobrze zabezpieczone środowiska IT mogą zostać naruszone przez jedną pochopną decyzję pracownika. Dlatego kluczowe stają się jasne procedury komunikacyjne, regularne testy oraz systematyczna edukacja cyberbezpieczeństwa.