„Klątwa wiedzy” wyzwaniem CISO? Pracownicy wciąż nie zgłaszają incydentów

Artykuł sponsorowany

Raport „Cyberportret polskiego biznesu 2025”, autorstwa ESET i Dagma Bezpieczeństwo IT, pokazuje konieczność zmian w podejściu do cyberbezpieczeństwa oraz rozbieżności pomiędzy pracownikami a ekspertami w ofcenie stanu faktycznego. Ważnym aspektem pozostaje luka kompetencyjna pracowników, ponieważ zaledwie 19% z nich ocenia wysoko własne kompetencje w obszarze cyberbezpieczeństwa.

Zupełnie inna percepcja

Specjaliści z zakresu cyberbezpieczeństwa dość wysoko oceniali dojrzałość swoich organizacji: 60% uznało, że pracownicy świadomie unikają cyberzagrożeń. Jednocześnie 59% ekspertów sądzi, że wytyczne są traktowane „na poważnie”.

Rzeczywistość wygląda nieco inaczej, ponieważ zaledwie 38% ankietowanych pracowników uznało, że są zdolni do podjęcia odpowiedniej reakcji w sytuacji zagrożenia. Dodatkowo, mniej niż jedna trzecia (31%) zadeklarowała regularne aktualizowanie swojej wiedzy.

Warto tutaj zaznaczyć, że ponad połowa (55%) pracowników nie odbyła żadnego szkolenia z zakresu cyberbezpieczeństwa przez ostatnie pięć lat,co nie napawa optymizmem wobec wciąż zmieniających się zagrożeń w sieci.

Teoretyczna znajomość zasad

Niepokojący pozostaje odsetek pracowników, którzy nie poinformowali nikogo w swojej organizacji o wystąpieniu incydentu bezpieczeństwa – zgodnie z przytoczonym raportem, dotyczyło to aż 17% ankietowanych. Jednocześnie nieco ponad połowa (54%) zadeklarowała natychmiastowe zgłoszenie wystąpienia ataku ransomware do działu IT lub zespołu odpowiedzialnego za cyberbezpieczeństwo.

Badania ankietowe wykazały ciekawy rozdźwięk między teorią a praktyką w zakresie respektowania zasad związanych m.in. z higieną cyfrową.

53% pracowników zadeklarowało, że dobrze zna zasady cyberbezpieczeństwa w swojej organizacji. Jednocześnie, praktycznie podobny odsetek ankietowanych (55%) wykorzystuje jedno służbowe hasło do różnych kont służbowych. Dodatkowo, stosunkowo duża część pracowników korzysta z bankowości online (37%) oraz prywatnych mediów społecznościowych (27%) na służbowym sprzęcie.

Pozorna pewność siebie w obszarze cyberbezpieczeństwa, niespójna z codziennymi nawykami pracowników, może stać się realnym zagrożeniem dla organizacji. Cyberprzestępcy doskonale wykorzystują nieuważne, powtarzalne zachowania jako skuteczny punkt wyjścia. Jedno hasło używane w wielu miejscach wystarczy, by po jego wycieku uzyskać dostęp do kluczowych systemów. Brak aktualizacji otwiera drogę do wykorzystania znanych luk, a zapisywanie haseł w niezaszyfrowanych plikach lub notatkach może ułatwić ich przejęcie. Takie zaniedbania, choć często wynikają z przyzwyczajeń, a nie złej woli, znacząco zwiększają ryzyko incydentów: od kradzieży danych, przez infekcje ransomware, po całkowite przejęcie infrastruktury
Kamil Sadkowski, Analityk cyberzagrożeń, ESET

Luka kompetencyjna

Cyberbezpieczeństwo nie zamyka się w serwerowni czy stworzeniu kompletnych procedur. Niezmiennie ważnym aspektem pozostaje człowiek, dlatego konieczne jest prowadzenie szkoleń z zakresu cyberbezpieczeństwa na każdym poziomie w organizacji.

Statystyki niestety nie napawają optymizmem: ponad połowa (55%) pracowników nie uczestniczyła w żadnym szkoleniu w ciągu ostatnich pięciu lat. Udział w zaledwie jednym takim przedsięwzięciu zadeklarowało 23% ankietowanych, co oznacza, że 78% pracowników nie brało udziału w więcej niż jednym szkoleniu na przestrzeni ostatnich pięciu lat.

Sytuacja ma się zgoła inaczej w przypadku specjalistów ds. cyberbezpieczeństwa: niecałe dwie trzecie (66%) z nich zadeklarowało, że odbyło takie szkolenia kilkukrotnie. Jedynie 13% ankietowanych ekspertów nie podwyższało swoich kompetencji w ten sposób.

„W obszarze cyberbezpieczeństwa nadal zbyt często funkcjonuje przekonanie, że wystarczy zainwestować wyłącznie w „dobry zamek” – czyli odpowiednie zabezpieczenia techniczne. Tymczasem dane z raportu pokazują jasno: co drugi pracownik nie brał udziału w żadnym szkoleniu z tego obszaru w ostatnich latach. To poważna luka, która osłabia skuteczność nawet najlepiej zaprojektowanych systemów bezpieczeństwa” - tłumaczy Justyna Puchała, Dyrektor DAGMA Szkolenia IT.

Skala zagrożenia

Cyberbezpieczeństwo niezmiennie pozostaje bardzo ważnym aspektem funkcjonowania polskich przedsiębiorstw. Z danych ESET wynika, że w pierwszej połowie 2025 roku Polska była na pierwszym miejscu w zakresie wykrytych ataków ransomware na świecie.

Nasza wieloletnia praktyka szkoleniowa pokazuje, że podejście firm do edukacji w zakresie bezpieczeństwa cyfrowego jest bardzo zróżnicowane: od świadomych, długofalowych inwestycji po minimalne działania formalne. Tymczasem regularne szkolenia, prowadzone przez doświadczonych specjalistów, budują w organizacji nie tylko wiedzę, ale też nawyki, które w sytuacji zagrożenia stają się kluczowe
Justyna Puchała, Dyrektor DAGMA Szkolenia IT

Zasadność szkoleń dobrze pokazuje to, że choć phishing jest najpopularniejszym typem ataku, z którym mierzą się firmy, to 34% pracowników w Polsce nie rozumie tego pojęcia. Warto przy tym pamiętać, że jednocześnie konieczne może być wdrażanie podstawowych rozwiązań technicznych - zaledwie 53% firm korzystało z programów antywirusowych, zaś 34% przechowywało kopie zapasowe w osobnej lokalizacji.

W zakresie potencjalnych zmian warto wsłuchać się w głos specjalistów z zakresu cyberbezpieczeństwa: 45% z nich wskazało, szkolenia dla pracowników jako obszar wymagający pilnych inwestycji. Warto przy tym podkreślić, że nie chodzi jedynie o częstotliwość takich działań, lecz także o ich formę. Dane pokazują, że tylko w przypadku 18% pracowników szkolenie obejmowało fikcyjne ataki, 24% miało do czynienia z symulacjami realnych zagrożeń, a zadania oceniane przez przełożonych lub współpracowników wykonywało jedynie 16% badanych. Bez praktycznego komponentu szkoleń i weryfikacji zdobytej wiedzy trudno oczekiwać trwałej zmiany zachowań i skuteczniejszej ochrony organizacji.