Więcej ataków, ale i większa świadomość. Jak cyberpolisy ograniczają koszty ataków hakerskich

3,3 mln zł okupu zażądali na początku lipca od firmy Herbapol hakerzy, którzy zaatakowali stronę lubelskiego producenta ziół, blokując mu dostęp do systemów informatycznych i baz danych. Choć od tamtych wydarzeń minął ponad tydzień, strona firmy nadal nie działa, co jedynie potwierdza skalę problemów, z jakimi się mierzy.

Nie jest to odosobniony przypadek. Według przedstawionego w kwietniu 2025 r. raportu CERT Polska skala cyberzagrożeń szybko rośnie. Tylko w 2024 r. doszło do 100 tys. incydentów, czyli o 29 proc. więcej niż przed rokiem. Średnio zespół obsługuje 600 tys. zgłoszeń rocznie. To aż o 62 proc. więcej niż w 2023 r. Dla porównania: jeszcze trzy lata wcześniej zgłoszeń było tylko 116 tys.

W tym roku atakowane były m.in. POLSA i EuroCERT

– Cyberzagrożenia w dobie coraz większej cyfryzacji to coś naturalnego. Praktycznie każdego dnia tworzone są nowe technologie albo co najmniej aktualizacje istniejących. Tempo innowacji jest ogromne w sektorze sztucznej inteligencji. Coraz bardziej zaawansowane modele, coraz większa ilość przetwarzanych danych i większa dostępność niosą wyraźnie większą podatność na ataki. Oszuści uczą się wykorzystywać nowe technologie szybciej, niż jesteśmy w stanie się zabezpieczać. Potencjalne straty nie są tylko finansowe. Dużym ryzykiem jest przede wszystkim kradzież danych wrażliwych – komentuje Marek Chlebicki, partner w PwC Polska.

Ataki na polskie firmy stały się codziennością. Mówi się o tym chociażby w sektorze bankowym. Raport Check Point Threat Intelligence wykazuje, że średnio co tydzień dochodzi do 1,75 tys. ataków na polskie instytucje finansowe. To sporo więcej niż w Czechach (1,2 tys.) czy średnio na świecie (1,69 tys.). Dzięki dużym inwestycjom w ochronę przed atakami większość prób jest szybko udaremniana.

Co jakiś czas do mediów trafiają jednak informacje poszkodowanych firmach. W 2024 r. można było przeczytać o ataku na Bank Spółdzielczy w Zambrowie, a w 2015 r. na Plus Bank. Z powodu ataku hakerskiego w 2017 r. tymczasowo została wyłączona strona Urzędu Komisji Nadzoru Finansowego (UKNF).

W marcu 2025 r. hakerzy atakowali m.in. Polską Agencję Kosmiczną (POLSA). W celu zabezpieczenia danych po włamaniu od razu wyłączono sieć POLSA. Dwa miesiące wcześniej cyberprzestępcy zaatakowali firmę EuroCERT oferującą elektroniczne podpisy.

Polska jednym z najczęściej atakowanych krajów

O tym, jak poważna jest skala wyzwań, najlepiej świadczą dane Eurostatu z raportu "Digitalisation in Europe – 2025 edition". Wynika z nich, że w 2024 roku 32 proc. polskich firm doświadczyło incydentów cyberbezpieczeństwa, takich jak przerwy w dostępności usług, utrata lub uszkodzenie danych czy wyciek informacji poufnych. W Unii Europejskiej gorzej wypada tylko Finlandia, w której odsetek ten sięga 42 proc.

Sposobów ataków jest wiele. To m.in. ataki phishingowe polegające na podszywaniu się pod inną osobę lub instytucję. Pomaga w tym szybki rozwój sztucznej inteligencji, ułatwiający tworzenie deep fake'ów, łudząco przypominających strony banków czy mediów.

Popularne są także ataki DDOS (distributed denial of service, rozproszona blokada usług), służące skierowaniu na serwer dużego ruchu w celu jego przeciążenia i uniemożliwienia funkcjonowania. Z takim atakiem mierzył się w maju 2023 r. Narodowy Bank Polski (NBP), a w sierpniu tego samego roku serwisy internetowe kilku banków, m.in. BNP Paribas i Santandera.

Trzeci rodzaj to ataki ransomware, czyli oprogramowanie, które blokuje dostęp do strony internetowej i żąda okupu za odzyskanie kontroli. Właśnie z takim atakiem zmierzył się Herbapol, EuroCERT czy BS w Zambrowie.

Potrzebna rekrutacja cyberspecjalistów i szkolenia

Eksperci od cyberbezpieczeństwa podkreślają, że wobec rosnącej liczby incydentów konieczne jest zwiększanie świadomości odpowiedniego zabezpieczenia się przed cyberatakami. Mówi się nie tylko o działaniach edukacyjnych i szkoleniowych dla pracowników, klientów i partnerów. Takie działania są szczególnie istotne w mniejszych firmach, gdzie świadomość jest dużo niższa niż w międzynarodowych korporacjach.

– Przede wszystkim musimy stawiać na kompetencje pracownicze. Chodzi tutaj o zatrudnianie czołowych ekspertów od cyberbezpieczeństwa, ale także o szkolenia pracownicze i bieżące informowanie o potencjalnych zagrożeniach dla firmy. Większość ataków odbywa się przez omylnie kliknięty link od podszywającego się pod prezesa oszusta – wskazuje Marek Chlebicki.

Drugą rzeczą do poprawki jest jego zdaniem właściwe operowanie danymi, szczególnie przy używaniu generatywnej sztucznej inteligencji. Ekspert twierdzi, że nadal za często pracownicy przesyłają wrażliwe dokumenty do zewnętrznych modeli językowych, takich jak ChatGPT czy CoPilot. Nie tędy droga. Żeby być bezpieczne, firmy muszą postawić na trenowanie własnego AI, dostępnego tylko przez wewnętrzną sieć firmową.

– Nadal najlepszą formy obrony pozostają silnie zbudowane procedury bezpieczeństwa. Szkolenia związane z bezpieczeństwem danych, budowanie odporności cyfrowej oraz regularne testowanie swoich zabezpieczeń to kwestie, na które polskie firmy powinny postawić w pierwszej kolejności. Dopiero potem warto brać się za cyfryzację pełną parą – przekonuje partner w PwC Polska.

Przybywa firm rozważających zakup cyberpolisy

Firmy ubezpieczeniowe dodają, że warto także zainteresować się ofertą cyberpolis, które chronią przed skutkami ataków hakerskich i naruszenia regulacji, np. w zakresie danych osobowych (RODO). Taka polisa pokrywa nie tylko koszty naprawy i ewentualnych kar administracyjnych, ale też zapewnia pomoc specjalistów w razie ataku, a także rekompensuje utracony przez firmę zysk.

Munich Re, jeden z największych reasekuratorów na świecie, przeprowadził ankietę "Global Cyber Risk and Insurance Survey 2024", z której wynika, że 41 proc. globalnych firm rozważa zakup ubezpieczenia cybernetycznego. Najczęściej polisę mają firmy z branży finansowej (39 proc.) i IT (34 proc.). W mniejszych firmach ta świadomość nie jest jednak zbyt wysoka. Pokazują to dane serwisu ChronPESEL.pl i Krajowego Rejestru Długów.

– Z danych wynika, że aż 65 proc. podmiotów z sektora MŚP w Polsce nie obawia się kradzieży lub wycieku danych osobowych, a tylko 13 proc. w tej grupie ma wykupioną cyberpolisę. Najczęściej ubezpieczenie od cyberryzyk posiadają średnie firmy (28 proc.), a znacznie rzadziej małe (17 proc.) i mikroprzedsiębiorstwa (13 proc.). Najczęściej cyberpolisę posiadają firmy transportowe i handlowe (po 25 proc.), a nieco rzadziej budowlane (22 proc.). Natomiast sporadycznie wykupują ubezpieczenie przedsiębiorstwa usługowe (5 proc.) i produkcyjne (1 proc.) – wskazuje Bartłomiej Drozd, ekspert ChronPESEL.pl.

Sprzedaż cyberpolis rośnie, ale z niskiego pułapu

Eksperci nie mają jednak wątpliwości, że duża liczba ataków oraz wzrost świadomości w firmach powinien przekładać się także na zwiększenie popytu na cyberpolisy.

– Zainteresowanie ubezpieczeniem „cyber” wyraźnie rośnie. Decyzje o zakupie takich produktów podejmują firmy świadome zagrożeń. Sprzedaż się zwiększa, ale startuje z bardzo niskiego pułapu. Szkody, które na rynku pojawiają się regularnie, w zdecydowanej większości przypadków nie są nagłaśniane w przestrzeni publicznej. To sprawia, że firmy nie zdają sobie do końca sprawy ze skali zagrożenia – przestrzega Maciej Kleina, straszy underwriter w biurze ubezpieczeń korporacyjnych Ergo Hestii.

Bartłomiej Drozd uważa, że na rozwój rynku cyberpolis w Polsce w najbliższych latach będzie wpływać wzrost liczby i skali ataków hakerskich oraz rosnąca świadomość przedsiębiorców co do ich konsekwencji.

– Coraz więcej firm, również z sektora MŚP, doświadcza kradzieży danych czy prób wyłudzeń, które mogą prowadzić do poważnych strat finansowych i wizerunkowych. W takich sytuacjach cyberpolisa może stanowić realne wsparcie – nie tylko pokrywając koszty odzyskiwania danych, ale także np. oferując pomoc prawną czy IT – wskazuje ekspert ChronPESEL.pl.

Na rozwój rynku wpłynąć może regulacja NIS2

Jego zdaniem drugi istotny czynnik to dyrektywa NIS2 nt. cyberbezpieczeństwa, zgodnie z którą wiele firm, w tym z branż krytycznych, będzie musiało wdrożyć odpowiednie środki ochrony i zarządzania ryzykiem. Posiadanie ubezpieczenia od skutków cyberataku może być postrzegane jako element kompleksowego podejścia do zgodności z przepisami.

Dodaje, że o tempie rozwoju rynku cyberpolis będzie decydować również dostępność ofert dopasowanych do realnych potrzeb i możliwości finansowych firm. Obecnie wiele małych i średnich przedsiębiorstw wciąż uważa, że ubezpieczenia od cyberryzyk są przeznaczone wyłącznie dla dużych korporacji.

Według danych firmy SkyQuest do 2032 r. globalny rynek cyberpolis ma urosnąć do 71,9 mld dolarów. Dla porównania: w 2024 r. było to "zaledwie" 16,8 mld dolarów.

Zdaniem eksperta

Cyberzagrożenia to prawie największe wyzwanie dla biznesu

Ryzyk cybernetycznych nie widać, a niematerialne dane utrudniają wizualizację skutków ataków. Musimy uświadamiać, że cyberzagrożenia to obecnie prawie największe wyzwanie dla biznesu. Proces budowania świadomości przyspieszy, gdy incydenty będą szerzej omawiane w mediach i firmy przestaną obawiać się mówić o tym, że padły ich ofiarą. Wiele podmiotów wciąż nie jest w stanie odpowiedzieć na podstawowe zagrożenia, stąd waga akcji edukacyjnych, zachęcających do inwestycji w rozwój zabezpieczeń i wypracowanie odpowiednich procedur.

Zawsze podkreślamy, że cyberzagrożenia są realne i dotyczą każdej branży. Pytanie dla biznesu to nie czy zostanie zaatakowany ale kiedy to nastąpi. Niewystarczająca świadomość często prowadzi do niedofinansowania działów IT, bo bezpieczeństwo jest postrzegane jako koszt, nie inwestycja.

Majątek firmy to nie tylko budynki, ale też informacja, know-how, czyli dane, które można utracić. Odtworzenie danych, odblokowanie dostępu czy zakup nowego oprogramowania generuje znaczne koszty, które polisa powinna pokrywać. Szkoda w systemach może zakłócić ciągłość działania. Dlatego kluczowe jest ubezpieczenie utraty zysku. Cyberatak to też często początek kłopotów z wizerunkiem, konieczność zabezpieczenia danych czy wsparcia prawnego. Nie zapominajmy o obowiązkach związanych z przetwarzaniem danych osobowych i karach za ich naruszenie. Koszty notyfikacji osób dotkniętych wyciekiem danych, okupu czy specjalistów to istotne elementy polisy.

Koszt polisy jest niewspółmiernie niższy od ewentualnych skutków ataków, które są coraz częstsze, bardziej wyrafinowane i trudne do powstrzymania bez kosztownych inwestycji. Polisa cyber nie zniweluje wszystkich strat, ale pomoże je ograniczyć do minimum. Poza odpowiednim zakresem ochrony kluczowy jest najlepszy assistance szkodowy, wspierany przez wyspecjalizowaną informatykę śledczą. Tylko wtedy klient otrzyma kompleksowe rozwiązanie na ograniczenie skutków ataków, a polisa będzie chronić przed ryzykami aktualnymi w całym okresie trwania umowy.

Tomasz Dolata

kierownik ds. ubezpieczeń mienia i utraty zysku w biurze ubezpieczeń korporacyjnych Ergo Hestii

Główne wnioski

1. Skala cyberzagrożeń szybko rośnie, wynika z przedstawionego w kwietniu 2025 r. raportu CERT Polska. Tylko w 2024 r. doszło do 100 tys. incydentów, czyli o 29 proc. więcej niż przed rokiem. Raport Check Point Threat Intelligence wykazuje, że średnio co tydzień dochodzi do 1,75 tys. ataków na polskie instytucje finansowe. To więcej niż przeciętna liczba ataków na świecie.
2. Wobec rosnącej liczby incydentów, konieczne jest zwiększanie świadomości odpowiedniego zabezpieczenia się przed cyberatakami. Chodzi np. o zatrudnianie czołowych ekspertów od cyberbezpieczeństwa, ale także o szkolenia pracownicze i bieżące informowanie o potencjalnych zagrożeniach dla firmy. Ważne jest też rozsądne podejście do sztucznej inteligencji.
3. Obecnie 41 proc. globalnych firm rozważa zakup ubezpieczenia cybernetycznego. Chronią one przed skutkami ataków hakerskich i naruszenia regulacji. Taka polisa pokrywa nie tylko koszty naprawy i ewentualnych kar administracyjnych, ale też np. utracone zyski. Zdaniem ekspertów popyt na takie produkty będzie rósł i będzie zależeć m.in. od nagłośnienia spraw w mediach, wejścia w życie nowych regulacji i dopasowania oferty cyberpolis do potrzeb mniejszych firm.