- W przypadku 19% zaatakowanych małych firm w Polsce, skutki ataku cybernetycznego były bardzo poważne, jednocześnie 32% zaatakowanych podmiotów nie wprowadziło żadnych zmian po incydencie;
- 26% małych firm deklaruje, że nie ponosi żadnych wydatków na zabezpieczenie przed atakami cyfrowymi. W dużych organizacjach kwoty sięgają powyżej 50 000 zł rocznie;
- W średnich i dużych podmiotach cyberbezpieczeństwem najczęściej zajmuje się pracownik lub dedykowany zespół IT, w małych podmiotach za ten obszar częściej odpowiada właściciel;
- 85% małych i 45% średnich firm na przestrzeni ostatnich 12 miesięcy nie przeprowadziło żadnej oceny ryzyka cybernetycznego swoich organizacji.
Koszty finansowe i operacyjne jednego ataku
Badanie Mastercard przeprowadzone na przełomie 2025 i 2026 r. wśród specjalistów ds. IT w polskich małych, średnich i dużych firmach pokazało skalę ataków cybernetycznych na polskie przedsiębiorstwa oraz podejście właścicieli firm do cyberzagrożeń. Wśród ankietowanych, do cyberataku lub naruszenia bezpieczeństwa cyfrowego w organizacji przyznała się co druga duża firma, 44% średnich i 25% małych. Jaki był ich wpływ na działalność organizacji? W przypadku małych podmiotów, 42% ankietowanych stwierdziło, że skutek incydentu był poważny lub umiarkowany powodując duże (19%) lub częściowe (23%) zakłócenia działalności. Niemal co trzecia (31%) średnia firma odczuła niewielkie komplikacje
i umiarkowane zakłócenia. Przedstawiciele firm zostali zapytani również o to, ile realnie kosztował ich przedsiębiorstwo atak cyberprzestępców. Co piąta mała przyznała, że straty finansowe były niewielkie (do 1 tys. zł). W przypadku średnich i dużych firm skutki ataków są częściej zdecydowanie bardziej kosztowne i sięgają nawet 50 tys. zł.
– Duże firmy, które częściej mają plan reagowania na incydenty i regularnie szkolą swoich pracowników, znacznie częściej deklarują, że skutecznie blokują ataki. Cyberataki na małe firmy często oznaczają natomiast duże zakłócenie ich działalności. Choć, jak pokazuje nasze najnowsze badanie, większość firm deklaruje brak strat finansowych, to wraz ze wzrostem wielkości organizacji, rośnie niepewność co do realnych kosztów incydentu – mówi Małgorzata Domagała, VP, dyrektorka ds. produktów i rozwiązań Mastercard na Polskę, Czechy, Słowację.
Dość spora część ankietowanych w badaniu Mastercard – 19% wśród średnich firm i 16% wśród dużych – przyznaje, że nie jest w stanie oszacować strat finansowych lub odmawia udzielenia na ten temat odpowiedzi.
– Wyniki naszego badania wskazują, że wciąż potrzebujemy zwiększać świadomość na temat cyberzagrożeń oraz wyzwań związanych z cyberprzestępczością. Jednocześnie, w miarę jak cyberzagrożenia rosną pod względem skali i stopnia zaawansowania, Mastercard konsekwentnie inwestuje w technologie, wiedzę ekspercką i partnerstwa, które pomagają organizacjom wzmacniać cyberodporność oraz zwiększać bezpieczeństwo – dodaje ekspertka.
Co trzecia mała firma (32%), 28% dużych oraz co piąta średnia nie zmieniły swojego podejścia do cyberbezpieczeństwa mimo tego, że doświadczyły ataku. Drobne zmiany wprowadzono natomiast średnio w 30% z nich. Działania prewencyjne i zapobiegawcze – takie jak audyty zewnętrzne i ocena ryzyka cybernetycznego częściej spotykane są w dużych i średnich firmach – w ciągu 12 miesięcy od momentu badania, przeprowadzono je kolejno w 72% i 55% z nich. Jeśli chodzi o małe organizacje, 85% przyznało, że nie przeprowadzają takich czynności.
Wydatki na cyberbezpieczeństwo
Budżet firm przeznaczony na cyberbezpieczeństwo wzrasta wraz ze skalą działalności – im mniejsza organizacja, tym mniejsze środki finansowe przeznacza na ten cel. Wyniki badania Mastercard pokazały, że 26% małych podmiotów nie ponosi żadnych wydatków związanych z bezpieczeństwem cyfrowym,
a 55% deklaruje na ten cel mniej niż 10 tys. zł rocznie (ok. 833 zł miesięcznie). Co trzecia średnia organizacja szacuje kwoty rzędu 10-50 tys. zł rocznie, a 44% dużych określa je na poziomie przekraczającym nawet 50 tys. zł.
Zaufany partner od IT – kryteria wyboru w polskich firmach
Zgodnie z wynikami badania Mastercard, w małych firmach cyberbezpieczeństwo powierza się właścicielowi (60%) lub pracownikom zajmującym się zarówno IT, jak i innymi zadaniami (10%). Za cyberbezpieczeństwo średnich i dużych firm częściej odpowiada pracownik lub zespół zatrudniony
w firmie i dedykowany wyłącznie do zadań IT (66% i 76% wskazań) albo osoba/ firma zatrudniona zewnętrznie, ale pracująca w trybie ciągłym tylko w tym obszarze (30% i 24%).
Przy wyborze partnera ds. cyberbezpieczeństwa lub zewnętrznych dostawców, małe firmy polegają głównie na referencjach i opiniach innych (53%), doświadczeniu / renomie (33%), szybkości reakcji i wsparcia (30%), ale istotna jest dla nich również cena usługi (27%). Średnie przedsiębiorstwa
w pierwszej kolejności stawiają na doświadczenie / renomę (53%), zakres oferowanych usług i ich kompleksowość (53%). Duże podmioty priorytetowo traktują natomiast kwestię certyfikatów
i zgodności z normami (61% wskazań).
– Budżety firm na cyberochronę są zróżnicowane. Jednak nawet przy stosunkowo dużych kwotach, problemem może być nieodpowiednie lokowanie środków oraz nieumiejętne zarządzanie cyberodpornością. Wyzwaniem pozostaje zatem również kwestia delegowania odpowiedzialności za ten obszar odpowiedniemu partnerowi o właściwych kompetencjach. Prewencja i zaufanie profesjonalistom ma realne przełożenie na siłę ataku i może zminimalizować jego skutki – podsumowuje Małgorzata Domagała z Mastercard.
