BezpieczeństwoPierwsza linia obrony pada. Ale nie przez hakerów > Robert Kamiński Opublikowane 1 lipca 20260 0 27 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr 85% polskich firm doświadczyło incydentu cyberbezpieczeństwa w ciągu ostatnich dwunastu miesięcy. To liczba, która powinna przykuć uwagę każdego właściciela firmy. Ale jest w tym raporcie inna liczba — mniej medialna, za to bardziej diagnostyczna. 16%.Tylu pracowników, którzy mieli do czynienia z incydentem bezpieczeństwa, nie zgłosiło go nikomu. Nie z lenistwa. Nie ze złej woli. Ze strachu.To jest właściwy problem. Nie hakerzy, nie luki w systemach, nie brak oprogramowania. Problem jest wewnątrz firmy, w kulturze organizacyjnej, którą pracodawcy budowali latami — i która teraz obraca się przeciwko nim.Liczby lecą w dół, zagrożenia w góręRaport „Cyberportret polskiego biznesu 2026″, przygotowany przez ESET i DAGMA Bezpieczeństwo IT, dokumentuje zjawisko, które trudno wytłumaczyć samym wzrostem skomplikowania zagrożeń. W 2024 roku 24% pracowników oceniało swoje kompetencje w zakresie cyberbezpieczeństwa jako wysokie. Dziś — zaledwie 14%. Dwa lata, minus dziesięć punktów procentowych.Jednocześnie zagrożenia nie malały. Rosły, stawały się precyzyjniejsze, coraz częściej celowały w ludzi, nie w systemy. Więcej zagrożeń, mniej pewności siebie — to nie jest zbieżność przypadkowa. To jest efekt środowiska, które przerasta ludzi nie dlatego, że są niekompetentni, ale dlatego, że nikt im tego środowiska rzetelnie nie wytłumaczył.Tylko 25% pracowników przyznaje, że jest na bieżąco z informacjami o nowych formach cyberataków. Zaledwie 33% uważa, że potrafiłoby właściwie zareagować na cyberatak. Połowa badanych (49%) twierdzi, że zna firmowe zasady bezpieczeństwa. Druga połowa — nie ma o nich pojęcia.To nie jest problem z pracownikami. To jest problem z organizacją, która zawodzi na poziomie podstawowej komunikacji.Procedury pisane dla prawników, nie dla ludziCo czwarty pracownik (24%) przyznaje wprost, że obowiązujące w firmie zasady cyberbezpieczeństwa utrudniają mu codzienną pracę. To zdanie warto przeczytać jeszcze raz. Narzędzie stworzone po to, żeby chronić firmę, aktywnie przeszkadza w wykonywaniu obowiązków. I nikt tego nie zmienił.— Jednym z największych wyzwań w cyberbezpieczeństwie pozostaje komunikacja i to, w jaki sposób mówić o zagrożeniach możliwie najprostszym językiem, a jednocześnie budować realną, wspólną odpowiedzialność pracowników — mówi Paweł Jurek, dyrektor działu rozwoju biznesu w DAGMA Bezpieczeństwo IT. — Tymczasem pracownicy albo nie otrzymują żadnych wytycznych, albo dostają długie, nieżyciowe procedury pisane z perspektywy regulacji i wymogów prawnych.To jest sedno. Dokumenty cyberbezpieczeństwa w wielu polskich firmach są pisane pod audytora, nie pod pracownika. Ich celem jest wykazanie zgodności z regulacjami, nie przekazanie wiedzy użytecznej w piątkowe popołudnie, gdy ktoś dostaje podejrzanego maila z fakturą od nieznanego kontrahenta.Efekt jest przewidywalny: pracownik czyta, nie rozumie, odkłada, zapomina. A potem improwizuje.Kultura zawahania jako luka systemowaImprowizacja w cyberbezpieczeństwie ma swoją nazwę: kultura zawahania. Pracownik niepewny procedur, niejasny co do konsekwencji, przestraszony możliwością popełnienia błędu — wybiera strategię minimalnego ryzyka. Ignoruje. Zataja. Nie zgłasza.Z pozoru bezpieczna decyzja jednostki staje się katastrofą dla organizacji. Przemilczany incydent odbiera firmie to, co w cyberbezpieczeństwie jest najcenniejsze: czas. Atakujący, którzy nie napotkali czerwonej flagi, zyskują godziny — czasem dni — na eksplorację sieci, kradzież danych lub instalację oprogramowania szyfrującego. Reakcja uruchamia się za późno albo nie uruchamia się wcale.Problem nie dotyczy wyłącznie szeregowych pracowników. — W praktyce coraz częściej obserwujemy paraliżujący lęk przed konsekwencjami incydentu u administratorów systemów. Znamy przypadki, w których administratorzy byli pociągani do odpowiedzialności karnej za rzekome zaniedbania w zabezpieczeniu organizacji lub niewłaściwą obsługę sytuacji kryzysowej. Często z góry zakładamy, że jako profesjonaliści są odporni na stres. Oni jednak również potrzebują wsparcia i jasnych procedur — mówił Marcin Dudek, kierownik CERT Polska w NASK, podczas panelu dyskusyjnego towarzyszącego premierze raportu.To istotne rozszerzenie obrazu. Kultura strachu nie zatrzymuje się na poziomie recepcji czy back-office. Sięga głębiej — do osób, które z definicji powinny być pierwszymi reagującymi.Kto konkretnie jest najbardziej narażonyRaport wskazuje profil pracownika, który najczęściej gubi się w obliczu cyberzagrożeń. To zazwyczaj osoba po 45. roku życia, zatrudniona w firmie do 50 pracowników, pracująca w dziale back-office lub na stanowisku, przez które przepływa duża liczba dokumentów zewnętrznych — faktury, umowy, korespondencja z kontrahentami.Profil ten nie jest zaskoczeniem dla nikogo, kto śledzi statystyki phishingu. Ataki socjotechniczne celują precyzyjnie w osoby, które mają dostęp do finansów lub danych wrażliwych, ale nie mają za sobą regularnego szkolenia. Faktura z prośbą o zmianę numeru konta. Mail od „prezesa” z pilnym poleceniem przelewu. Załącznik od kontrahenta, który nie jest tym, za kogo się podaje.Wszystkie te scenariusze mają jedno wspólne: ofiara nie jest głupia. Jest nieprzygotowana.Co faktycznie działaOdpowiedź, którą eksperci powtarzają konsekwentnie, jest rozczarowująco prosta: cztery pytania, które każdy pracownik powinien mieć zinternalizowane jak zasady pierwszej pomocy. Czego unikać w codziennej pracy. Co powinno wzbudzić czujność. Jak reagować w podejrzanej sytuacji. Gdzie szybko szukać pomocy.Nie pięćdziesięciostronicowa polityka bezpieczeństwa zaktualizowana pod NIS2. Cztery pytania, powtarzane regularnie, ćwiczone w realnych scenariuszach.Do tego: kultura, w której zgłoszenie incydentu jest nagradzane, nie karane. Środowisko, w którym przyznanie się do błędu uruchamia procedurę naprawczą, nie dyscyplinarną. Organizacja, która traktuje każdy incydent jako źródło systemowej wiedzy, nie jako powód do szukania winnego.Brzmi jak oczywistość. Dane z raportu pokazują, że dla większości polskich firm to wciąż odległy cel.Related PostsPrzeczytaj również! Pracodawcy patrzą na ekrany podwładnych Polowanie na dyrektorów – 2 na 3 jest celem cyberprzestępców Co musisz wiedzieć o monitorowaniu poczty pracowników?