W ciągu ostatnich 12 miesięcy wzrosła liczba ataków ransomware bazujących na metodach socjotechnicznych – wynika z badania „State of Ransomware 2025” przeprowadzonego przez firmę Sophos. Co więcej, zespoły odpowiadające za bezpieczeństwo informatyczne w firmach coraz częściej mierzą się z konsekwencjami ataków wykraczającymi poza kwestie techniczne. Z każdym z tych incydentów wiążą się nie tylko koszty operacyjne, ale także stres, nieobecności w pracy czy nawet zwolnienia pracowników działów IT.
Raport firmy Sophos wskazuje, że kradzież danych uwierzytelniających to wciąż jedna z najczęstszych na świecie przyczyn umożliwiających prowadzenie ataków ransomware na przedsiębiorstwa. Chociaż jej udział w 2025 r. spadł do 23% (z 29% w roku ubiegłym), nadal stanowi istotny wektor ataku na systemy IT. Szczególnie narażone są średnie firmy (zatrudniające do 250 pracowników) – w ich przypadku aż 30% wszystkich ataków ransomware w ostatnich 12 miesiącach zaczęło się od przejęcia danych uwierzytelniających. Istotne zagrożenie stanowią również ataki wykorzystujące techniki socjotechniczne. Wiadomości e-mail zawierające złośliwe oprogramowanie były źródłem 19% ataków na firmy na świecie, a phishing odpowiadał za 18% przypadków (wzrost o 7 punktów procentowych r/r).
– Jednym z najważniejszych działań prewencyjnych w firmach jest edukacja. Zespół powinien być dobrze przygotowany, znać potencjalne zagrożenia, umieć rozpoznawać sygnały ostrzegawcze oraz odpowiednio reagować. Jednak samo przygotowanie techniczne do walki z cyberatakami to dziś za mało. Ataki ransomware silnie uderzają w ludzi, którzy znajdują się w ich centrum, czyli przede wszystkim w zespoły ds. IT i cyberbezpieczeństwa. Dlatego firmy powinny uzupełniać szkolenia z cyberhigieny o rozwijanie umiejętności radzenia sobie ze stresem, a także rozważyć zapewnienie wsparcia psychologicznego dla swoich zespołów – wskazuje Chester Wisniewski, dyrektor ds. technologii w firmie Sophos.
Stres ukrytym kosztem cyberataku
Wszystkie firmy, których dane zostały zaszyfrowane w wyniku ataku ransomware, zaobserwowały negatywne konsekwencje wśród personelu ds. IT oraz cyberbezpieczeństwa. Oprócz wyzwań związanych z przywracaniem sprawności systemów, mierzyli się oni także z obciążeniem psychicznym. Aż 41% respondentów wskazało na wzmożony stres i lęk przed kolejnym atakiem. Z kolei jedna trzecia zwróciła uwagę na pojawienie się poczucia winy związanego z tym, że nie udało się zatrzymać incydentu na czas.
Problemy te miały też wymiar praktyczny – aż 31% respondentów zgłosiło nieobecności pracowników działów IT spowodowane stresem lub pogorszeniem zdrowia psychicznego po incydencie. Ransomware stanowi więc nie tylko zagrożenie dla danych czy ciągłości działania przedsiębiorstwa. Jest również czynnikiem wpływającym na kondycję psychiczną osób odpowiedzialnych za cyfrowe bezpieczeństwo.
Utracone zaufanie czy szansa na poprawę?
Aż 40% respondentów odnotowało zwiększoną presję ze strony kadry kierowniczej na działy IT po incydencie. Co czwarty badany wskazuje, że w jego firmie doszło do wymiany lidera ds. bezpieczeństwa. To pokazuje, że część firm reaguje poprzez wywieranie presji lub personalne rozliczenia za ataki, co może dodatkowo pogłębiać stres w zespole.
– Warto pamiętać, że ludzki błąd czy luka w zabezpieczeniach nie zawsze wynikają z zaniedbania czy złych intencji pracownika. Często są skutkiem posiadania ograniczonych zasobów, niewystarczających zabezpieczeń czy zbyt dużej liczby równolegle wykonywanych zadań. W zarządzaniu sytuacją po incydencie kluczowa jest analiza jego źródłowych przyczyn i wspólne wyciąganie wniosków. Pozwoli to nie tylko zidentyfikować luki w zabezpieczeniach, ale również wypracować skuteczniejsze procedury cyberbezpieczeństwa oraz wzmocnić zaufanie w zespole – komentuje Chester Wisniewski.
Ataki ransomware stanowią nie tylko próbę złamania zabezpieczeń IT w firmach, ale testują również kulturę organizacyjną oraz podejście do pracowników. Od tego, jak przedsiębiorstwo reaguje na kryzys, zależy nie tylko jego reputacja, ale i to czy utrzyma w zespole doświadczonych specjalistów. Dlatego tak ważne jest, aby mówić o potrzebie budowania bezpieczeństwa w przedsiębiorstwach uwzględniając zarówno kwestie techniczne, jak i wsparcie dla pracowników, którzy są za nie odpowiedzialni.
O raporcie
Dane z raportu „State of Ransomware 2025” pochodzą z badania przeprowadzonego wśród 3,4 tys. liderów IT oraz cyberbezpieczeństwa w okresie od stycznia do marca 2025 roku. Badanych pytano o ich doświadczenia związane z ransomware w ciągu ostatnich 12 miesięcy. Respondenci pochodzili z 17 krajów z obu Ameryk, Europy, Azji i rejonu Pacyfiku. Badane firmy zatrudniały od 100 do 5 tys. pracowników, a ich roczne przychody wahały się od 5 milionów dolarów do ponad 50 miliardów dolarów.
