Bezpieczeństwo54% polskich firm nigdy nie szkoliło pracowników z cyberbezpieczeństwa. I to nie jest najgorsza wiadomość > Robert Kamiński Opublikowane 24 marca 20260 0 273 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Sprawdź godzinę. Poważnie – zerknij na zegarek albo telefon. Gotowe? W tym czasie, gdzieś na świecie, właśnie zakończył się kolejny cyberatak. Średnio co 39 sekund. Mniej więcej tyle trwa sprawdzenie powiadomień na ekranie blokady.Od takiego otwarcia zaczęła swoją prezentację Małgorzata Domagała, VP i dyrektorka ds. produktów i rozwiązań Mastercard na Polskę, Czechy i Słowację, na dzisiejszej konferencji prasowej w Warszawie. Na sali zrobiło się cicho. I dobrze – bo dane, które potem padły, ciszy wymagają. Trzecia gospodarka świata, która nie płaci podatkówCyberprzestępczość to dziś biznes wart 10 bilionów dolarów rocznie. Gdyby była krajem, byłaby trzecią gospodarką świata – zaraz za USA i Chinami. Nie ma siedziby, nie płaci podatków i nikogo nie zatrudnia na umowę o pracę, ale ma strukturę korporacji: działy R&D, wsparcie techniczne, a nawet model subskrypcyjny. Ransomware as a Service – to już nie żart, to oferta handlowa.W 2024 roku polski CERT odnotował 260 tysięcy incydentów cyberbezpieczeństwa – to wzrost o 152% rok do roku. Polska jest pod tym względem na drugim miejscu w Unii Europejskiej, zaraz za Finlandią. Jak na kraj, który lubuje się w byciu „prymusem Europy”, to akurat nie jest powód do dumy.„Nas to nie dotyczy” – ulubione zdanie ofiarNajnowsze badanie Mastercard, przeprowadzone na przełomie 2025 i 2026 roku wśród 300 specjalistów odpowiedzialnych za cyberbezpieczeństwo w polskich firmach, rysuje obraz, który trudno nazwać optymistycznym.71% przedstawicieli małych firm ocenia ryzyko cyberataku na swoją organizację jako niskie lub raczej niskie. Tylko 5% widzi w nim poważne zagrożenie. Tymczasem jedna czwarta tych samych małych firm już doświadczyła ataku lub naruszenia bezpieczeństwa. Co druga duża firma – również. Jak to pogodzić? Nijak. To klasyczny paradoks: im mniej wiesz, tym bezpieczniej się czujesz.Firmy, które kiedyś zostały zaatakowane, oceniają ryzyko jako wysokie trzy razy częściej niż te, które jeszcze mają to „szczęście” przed sobą. To trochę jak z ubezpieczeniem od powodzi – kupujesz je dopiero, gdy woda stoi w salonie.Nie hakerzy łamią systemy. Pracownicy je otwierająI tu dochodzimy do sedna – i do momentu, który na konferencji wywołał wymowne milczenie.Dominującym wektorem ataków na polskie firmy nie jest wyrafinowana technologia. To człowiek. Ransomware i social engineering – manipulacja przez e-mail, SMS, telefon – to narzędzia, które działają nie dlatego, że są sprytne, ale dlatego, że trafiają na nieprzeszkolonych ludzi. Jak to ujęła prelegentka: urządzenie da się poinstruować, człowieka – zmanipulować.54% małych firm w Polsce nigdy nie przeprowadziło żadnego szkolenia z cyberbezpieczeństwa dla swoich pracowników. Nigdy. Nawet krótkiego. Nawet online. Wśród dużych firm 64% deklaruje szkolenia przynajmniej raz w roku – ale, jak słusznie zaznaczyła Domagała, to są deklaracje. Rzeczywistość może wyglądać gorzej.Trudno się dziwić, że polskie firmy orientują się o ataku dopiero wtedy, gdy on już trwa. Nikt nie nauczył ich, na co patrzeć wcześniej.Gaszenie pożarów zamiast instalowania czujnikówDziałania polskich firm po cyberataku to w większości przypadków gaszenie pożaru. Wzmocnienie zabezpieczeń, powiadomienie pracowników, odłączenie systemów. Tylko 16% dużych organizacji przeprowadza po incydencie ocenę szkód i analizę, które dane zostały naruszone. Plan reagowania aktywuje zaledwie 12%.Co gorsza – mniej niż co piąta mała firma (18%) w ogóle posiada jakikolwiek plan reagowania na incydent. Wśród dużych firm ten odsetek sięga 78%, co brzmi przyzwoicie, ale nadal oznacza, że co piąta duża organizacja w Polsce działa bez planu. Jakby ktoś prowadził samochód bez ubezpieczenia, licząc, że skoro dotychczas nie miał wypadku, to się nie zdarzy.Domagała zwróciła uwagę na coś, co łatwo przeoczyć: niski odsetek wskazań na malware, resource manipulation czy reconnaissance w badaniu nie oznacza, że tych ataków nie ma. Oznacza, że firmy ich nie widzą. Dostrzegają skutki – zablokowany system, wykradzione dane – ale nie rozpoznają wczesnej fazy ataku, czyli rozpoznania i przygotowania przez przestępców.Łańcuch jest tak mocny jak najsłabszy dostawcaJest jeszcze jedna rzecz, która wybrzmiała na konferencji z całą mocą: bezpieczeństwo łańcucha dostaw. Możesz mieć najlepsze firewalle na świecie, ale jeśli Twój poddostawca trzyma hasła w Excelu, to cyberprzestępca wejdzie przez niego. Atak zawsze kieruje się tam, gdzie jest najsłabszy punkt.To nie jest abstrakcja. Mała firma bez polityki bezpieczeństwa, podpięta do systemu dużego klienta, staje się furtką. Mastercard otwarcie mówi, że budowanie cyberodporności to interes wspólny – i dużych, i małych podmiotów.Regulacja jako polisa ubezpieczeniowaImpuls do zmiany może przyjść nie tylko z rynku, ale też z prawa. Nowe dyrektywy unijne – DORA, NIS-2, UKC – wymuszą na firmach systemowe podejście do cyberodporności. Zgodność z regulacjami przestanie być kwestią dobrej woli, a stanie się wymogiem prawnym. To może być jedyna szansa, by małe i średnie firmy w końcu potraktowały temat poważnie – nie dlatego, że chcą, ale dlatego, że muszą.Co z tego wynika – praktycznie?Po konferencji zostałem z kilkoma myślami, którymi chcę się podzielić – nie jako ekspert od cyberbezpieczeństwa (nie jestem), ale jako ktoś, kto od lat obserwuje, jak polskie firmy radzą sobie z technologią.Po pierwsze – przeszkol ludzi. Zanim kupisz kolejne oprogramowanie, zanim wydasz na audyt, przeprowadź uczciwe szkolenie z rozpoznawania phishingu. Dla wszystkich, nie tylko IT. Bo to księgowa dostanie e-mail „od prezesa” z prośbą o pilny przelew.Po drugie – stwórz plan zanim będziesz go potrzebować. Nie w momencie ataku, kiedy wszyscy biegają z telefonami. Przetestuj go. Usiądź z zespołem i przejdź symulację. To nie jest paranoja – to higiena.Po trzecie – zapytaj swoich dostawców, jak chronią dane. Jeśli nie potrafią odpowiedzieć, masz odpowiedź na pytanie, gdzie jest Twoje najsłabsze ogniwo.Po czwarte – przestań myśleć o cyberbezpieczeństwie jako o koszcie IT. To jest polisa na przetrwanie firmy. I tak jak z polisą – kupujesz ją, zanim się coś stanie.Podczas konferencji Małgorzata Domagała powiedziała zdanie, które powinno wisieć w ramce w każdym polskim biurze: „Firma musi mieć plan działania nie w momencie, kiedy atak się wydarzy, ale zanim się wydarzy”. Problem w tym, że większość polskich firm wciąż czeka na ten moment. A cyberprzestępcy – nie czekają.Badanie Mastercard przeprowadzone przez agencję Minds & Roses na przełomie października 2025 i stycznia 2026 r. metodą CATI wśród 300 specjalistów odpowiedzialnych za cyberbezpieczeństwo w małych, średnich i dużych firmach w Polsce.Related PostsPrzeczytaj również! Wiemy, że nas okradną. I nic z tym nie robimy. Transformacja cyfrowa w firmach: AI, chmura i cyberbezpieczeństwo Siedemdziesiąt dwie minuty