Atak już był. I to nie raz
W badaniu VECTO uderza nie tylko skala incydentów, ale też to, jak szybko cyberbezpieczeństwo przestało być „tematem działu IT”, a stało się kwestią przetrwania biznesu. Firmy widzą, że działają w świecie zależnym od usług cyfrowych, od poczty i chmury po systemy sprzedażowe i logistyczne. Problem w tym, że świadomość nie zawsze zamienia się w praktykę. Co ciekawe, deklaratywnie rynek brzmi dojrzale: 91,4 proc. respondentów uważa, że zabezpieczanie danych informatycznych w firmie jest ważne (rok wcześniej było to 81,3%). Tylko że sama deklaracja nie zatrzyma ataku, jeśli brakuje narzędzi i procedur, które działają także w piątek po 17.
Monitoring wciąż „dla wybranych”
Jeśli cyberatak jest dziś tak powszechny, logika podpowiada jedno: monitoring zagrożeń powinien być standardem. A jednak w danych widać coś odwrotnego. W wielu organizacjach reakcja zaczyna się dopiero wtedy, gdy systemy zaczynają wariować albo ktoś dzwoni, że „coś dziwnego dzieje się z kontami”. To trochę jak z alarmem przeciwpożarowym: można go mieć, ale można też liczyć, że akurat się nie przyda. Tylko 35,4% firm monitoruje zagrożenia wynikające z cyberprzestępczości. I to jest liczba, która powinna zapalić lampkę także u tych, którzy jeszcze „nie mieli incydentu” albo po prostu o nim nie wiedzą.
Plan na incydent? Zaskakująco często go nie ma
Druga rzecz, która wyraźnie kuleje, to gotowość proceduralna. W teorii każdy chce działać szybko i sprawnie, ale w praktyce podczas incydentu pojawia się chaos: kto podejmuje decyzję, kto odcina dostęp, kto kontaktuje się z klientami, a kto z prawnikiem? Bez scenariusza łatwo wpaść w tryb gaszenia pożaru na oślep, a wtedy rośnie ryzyko błędów i kosztów. Gotowy scenariusz działania na wypadek incydentu ma 30,8% organizacji, a 38,9% odpowiada wprost, że takiego scenariusza nie ma. To nie są detale administracyjne. To różnica między kontrolowaną reakcją a improwizacją pod presją.
Ransomware: moment, w którym zaczyna rządzić panika
Najbardziej niepokojący fragment raportu dotyczy ransomware, bo ten typ ataku potrafi zatrzymać firmę w kilka godzin: pliki zaszyfrowane, systemy stoją, klienci pytają, a każdy dzień przestoju boli bardziej niż wczoraj. Wtedy zaczyna się brutalna kalkulacja: ile kosztuje przestój, ile kosztuje odzyskanie danych, ile kosztuje utrata reputacji i czy okup „nie wyjdzie taniej”. W badaniu widać, jak silnie działa presja biznesowa. Aż 81,5 proc. respondentów uważa, że w scenariuszu zaszyfrowania wszystkich danych firma zapłaciłaby okup. Dla porównania, gdy pytanie dotyczy wyłącznie danych prywatnych, gotowość do zapłaty spada: 22,8% mówi „tak”, a 67,9% „nie”. W firmie stawka jest inna: nie chodzi tylko o pliki, ale o ciągłość działania.
Dwa słabe punkty na 2026: tożsamość i GenAI
Raport wskazuje też dwa obszary, które będą mocno determinować ryzyko w najbliższym czasie: zarządzanie tożsamością (czyli m.in. MFA) oraz kontrola użycia narzędzi GenAI w kontekście danych. To tematy, które łatwo zlekceważyć, bo nie brzmią „spektakularnie”. A jednak to właśnie tam często zaczyna się atak: od przejętego konta, od zbyt szerokich uprawnień, od wklejenia w narzędzie czegoś, co nie powinno opuścić firmy. MFA w większości kluczowych usług deklaruje jedynie 23 proc. firm, a kolejne 27 proc. stosuje je tylko częściowo (do tego 18 proc. jest w trakcie wdrożenia lub planuje je w najbliższych miesiącach). Jeśli chodzi o GenAI, obraz jest jeszcze bardziej surowy: pełny model zasad (polityka, szkolenia i egzekwowanie) ma zaledwie 5 proc. organizacji, podczas gdy 36 proc. przyznaje, że zasad nie ma, a 24 proc. dopiero przygotowuje polityki.
"Podstawy” wciąż robią przewagę
Z danych VECTO wyłania się prosty wniosek: w cyberbezpieczeństwie nie wygrywa ten, kto ma najbardziej efektowne hasła, tylko ten, kto ma poukładane fundamenty. Monitoring, procedury, testowane kopie zapasowe, sensowne zarządzanie tożsamością i jasne reguły korzystania z GenAI. To nie jest fanaberia ani „trend”, tylko codzienna cyberhigiena. Cyberatak stał się normą, a brak przygotowania zamienia go w kryzys.
Źródło: Raport VECTO „Cyberbezpieczeństwo w polskich firmach 2025” (online): https://vecto.pl/raport-2025
