Home Bezpieczeństwo Pierwsza linia obrony pada. Ale nie przez hakerów

Pierwsza linia obrony pada. Ale nie przez hakerów

0
0
19

85% polskich firm doświadczyło incydentu cyberbezpieczeństwa w ciągu ostatnich dwunastu miesięcy. To liczba, która powinna przykuć uwagę każdego właściciela firmy. Ale jest w tym raporcie inna liczba — mniej medialna, za to bardziej diagnostyczna.

16%.

Tylu pracowników, którzy mieli do czynienia z incydentem bezpieczeństwa, nie zgłosiło go nikomu. Nie z lenistwa. Nie ze złej woli. Ze strachu.

To jest właściwy problem. Nie hakerzy, nie luki w systemach, nie brak oprogramowania. Problem jest wewnątrz firmy, w kulturze organizacyjnej, którą pracodawcy budowali latami — i która teraz obraca się przeciwko nim.

Liczby lecą w dół, zagrożenia w górę

Raport „Cyberportret polskiego biznesu 2026″, przygotowany przez ESET i DAGMA Bezpieczeństwo IT, dokumentuje zjawisko, które trudno wytłumaczyć samym wzrostem skomplikowania zagrożeń. W 2024 roku 24% pracowników oceniało swoje kompetencje w zakresie cyberbezpieczeństwa jako wysokie. Dziś — zaledwie 14%. Dwa lata, minus dziesięć punktów procentowych.

Jednocześnie zagrożenia nie malały. Rosły, stawały się precyzyjniejsze, coraz częściej celowały w ludzi, nie w systemy. Więcej zagrożeń, mniej pewności siebie — to nie jest zbieżność przypadkowa. To jest efekt środowiska, które przerasta ludzi nie dlatego, że są niekompetentni, ale dlatego, że nikt im tego środowiska rzetelnie nie wytłumaczył.

Tylko 25% pracowników przyznaje, że jest na bieżąco z informacjami o nowych formach cyberataków. Zaledwie 33% uważa, że potrafiłoby właściwie zareagować na cyberatak. Połowa badanych (49%) twierdzi, że zna firmowe zasady bezpieczeństwa. Druga połowa — nie ma o nich pojęcia.

To nie jest problem z pracownikami. To jest problem z organizacją, która zawodzi na poziomie podstawowej komunikacji.

Procedury pisane dla prawników, nie dla ludzi

Co czwarty pracownik (24%) przyznaje wprost, że obowiązujące w firmie zasady cyberbezpieczeństwa utrudniają mu codzienną pracę. To zdanie warto przeczytać jeszcze raz. Narzędzie stworzone po to, żeby chronić firmę, aktywnie przeszkadza w wykonywaniu obowiązków. I nikt tego nie zmienił.

— Jednym z największych wyzwań w cyberbezpieczeństwie pozostaje komunikacja i to, w jaki sposób mówić o zagrożeniach możliwie najprostszym językiem, a jednocześnie budować realną, wspólną odpowiedzialność pracowników — mówi Paweł Jurek, dyrektor działu rozwoju biznesu w DAGMA Bezpieczeństwo IT. — Tymczasem pracownicy albo nie otrzymują żadnych wytycznych, albo dostają długie, nieżyciowe procedury pisane z perspektywy regulacji i wymogów prawnych.

To jest sedno. Dokumenty cyberbezpieczeństwa w wielu polskich firmach są pisane pod audytora, nie pod pracownika. Ich celem jest wykazanie zgodności z regulacjami, nie przekazanie wiedzy użytecznej w piątkowe popołudnie, gdy ktoś dostaje podejrzanego maila z fakturą od nieznanego kontrahenta.

Efekt jest przewidywalny: pracownik czyta, nie rozumie, odkłada, zapomina. A potem improwizuje.

Kultura zawahania jako luka systemowa

Improwizacja w cyberbezpieczeństwie ma swoją nazwę: kultura zawahania. Pracownik niepewny procedur, niejasny co do konsekwencji, przestraszony możliwością popełnienia błędu — wybiera strategię minimalnego ryzyka. Ignoruje. Zataja. Nie zgłasza.

Z pozoru bezpieczna decyzja jednostki staje się katastrofą dla organizacji. Przemilczany incydent odbiera firmie to, co w cyberbezpieczeństwie jest najcenniejsze: czas. Atakujący, którzy nie napotkali czerwonej flagi, zyskują godziny — czasem dni — na eksplorację sieci, kradzież danych lub instalację oprogramowania szyfrującego. Reakcja uruchamia się za późno albo nie uruchamia się wcale.

Problem nie dotyczy wyłącznie szeregowych pracowników. — W praktyce coraz częściej obserwujemy paraliżujący lęk przed konsekwencjami incydentu u administratorów systemów. Znamy przypadki, w których administratorzy byli pociągani do odpowiedzialności karnej za rzekome zaniedbania w zabezpieczeniu organizacji lub niewłaściwą obsługę sytuacji kryzysowej. Często z góry zakładamy, że jako profesjonaliści są odporni na stres. Oni jednak również potrzebują wsparcia i jasnych procedur — mówił Marcin Dudek, kierownik CERT Polska w NASK, podczas panelu dyskusyjnego towarzyszącego premierze raportu.

To istotne rozszerzenie obrazu. Kultura strachu nie zatrzymuje się na poziomie recepcji czy back-office. Sięga głębiej — do osób, które z definicji powinny być pierwszymi reagującymi.

Kto konkretnie jest najbardziej narażony

Raport wskazuje profil pracownika, który najczęściej gubi się w obliczu cyberzagrożeń. To zazwyczaj osoba po 45. roku życia, zatrudniona w firmie do 50 pracowników, pracująca w dziale back-office lub na stanowisku, przez które przepływa duża liczba dokumentów zewnętrznych — faktury, umowy, korespondencja z kontrahentami.

Profil ten nie jest zaskoczeniem dla nikogo, kto śledzi statystyki phishingu. Ataki socjotechniczne celują precyzyjnie w osoby, które mają dostęp do finansów lub danych wrażliwych, ale nie mają za sobą regularnego szkolenia. Faktura z prośbą o zmianę numeru konta. Mail od „prezesa” z pilnym poleceniem przelewu. Załącznik od kontrahenta, który nie jest tym, za kogo się podaje.

Wszystkie te scenariusze mają jedno wspólne: ofiara nie jest głupia. Jest nieprzygotowana.

Co faktycznie działa

Odpowiedź, którą eksperci powtarzają konsekwentnie, jest rozczarowująco prosta: cztery pytania, które każdy pracownik powinien mieć zinternalizowane jak zasady pierwszej pomocy. Czego unikać w codziennej pracy. Co powinno wzbudzić czujność. Jak reagować w podejrzanej sytuacji. Gdzie szybko szukać pomocy.

Nie pięćdziesięciostronicowa polityka bezpieczeństwa zaktualizowana pod NIS2. Cztery pytania, powtarzane regularnie, ćwiczone w realnych scenariuszach.

Do tego: kultura, w której zgłoszenie incydentu jest nagradzane, nie karane. Środowisko, w którym przyznanie się do błędu uruchamia procedurę naprawczą, nie dyscyplinarną. Organizacja, która traktuje każdy incydent jako źródło systemowej wiedzy, nie jako powód do szukania winnego.

Brzmi jak oczywistość. Dane z raportu pokazują, że dla większości polskich firm to wciąż odległy cel.

Dodaj komentarz

Przeczytaj również

Kamera na motocykl: świadek, którego warto mieć

Sezon motocyklowy rządzi się swoją statystyką. Od maja do września dochodzi do ponad 80% z…