Cyberświadomość: najpierw wytłumacz i naucz, dopiero potem kontroluj i wymagaj 

W jaki sposób systematycznie i trwale podnosić świadomość bezpieczeństwa i higieny cyfrowej pracowników ze wszystkich komórek organizacji? Dlaczego rozsądnie wpierw edukować, a dopiero potem sprawdzać ich reakcje na potencjalne zagrożenia? Czym ryzykują firmy, które niedostatecznie zadbają o właściwe przeszkolenie swojej załogi — również w kontekście konieczności spełniania wymogów dyrektywy NIS2? O narzędziach i celowości budowania dojrzałości cyfrowej polskich firm mówi Renata Kania, Lider Zespołu Produktów Security, Główny Specjalista ds. Security Awareness w T-Mobile Polska.

*** *** ***

TM: Budowanie cyberbezpieczeństwa w biznesie zaczyna się od…

Renata Kania: … zrozumienia istoty i skali problemu. Nasze badania wskazują, że mniej niż połowa pracowników potrafi w odpowiednim momencie zareagować na zagrożenie cyberatakiem. Tylko co drugi korzysta z niepowtarzających się haseł na służbowych kontach i urządzeniach, a dwóch na trzech przyznaje się także do faktycznego użytkowania firmowego sprzętu do celów prywatnych, co dodatkowo potęguje ryzyko dla całej organizacji.

TM: To rzeczywiście mało optymistyczne dane.

Renata Kania: Owszem, jednak nie możemy za ten stan rzeczy winić samych pracowników. Aby wymagać odpowiednich działań i świadomości zagrożeń, musimy wpierw zaoferować im odpowiednie narzędzia oraz kompleksową, uporządkowaną i przydaną wiedzę.

TM: Czyli chodzi o tę przysłowiową „marchewkę”?

Renata Kania: Nie do końca, ponieważ z naszych rozmów i doświadczeń wynika jednoznacznie, że pracownicy chcą się chronić przed cyberprzestępcami, pragną dostępu do informacji na temat skutecznych metod uniknięcia incydentu cyfrowego, są otwarci na szkolenia i ciągłe doskonalenie swych umiejętności. Dotychczas jednak wiele firm albo nie traktowało tej tematyki priorytetowo, albo nie posiadało narzędzi do systematycznej edukacji załóg. Obie te bariery tracą jednak na aktualności.

TM: Dlaczego?

Renata Kania:  Po pierwsze, rośnie świadomość nie tylko wzmożonej aktywności cyberprzestępców, ale również ewolucji metod ich działania. To już nie są prymitywne wiadomości zawierające błędy czy nierealne obietnice szybkiego zarobku, które na pierwszy rzut musiałby wzbudzać podejrzenia. Dziś w arsenale cyfrowych przestępców dominuje zaawansowana socjotechnika, bardzo często wspierana przez rozwiązania AI. Maile, SMS-y, telefony które otrzymuje pracownik, wyglądają i brzmią bardzo autentycznie, a do tego są projektowane w taki sposób, aby wykorzystać naszą nieuwagę, pośpiech, słabości. Naszymi przeciwnikami nie są przypadkowi kombinatorzy czy dowcipnisie, ale profesjonaliści posiadający olbrzymią wiedzę psychologiczną i umiejący doskonale grać na ludzkich emocjach.

Po drugie, paradygmat myślenia wielu przedsiębiorców: że jestem za mały, za mało interesujący czy widoczny w sieci, aby stać się celem cyberataku, definitywnie stracił na aktualności. Na celowniku przestępców jesteśmy dosłownie wszyscy — a niemal każdy udany atak hackerski wynika „błędu człowieka”, często dopiero zaczynającego karierę w danej firmie czy pozornie nieposiadającego dostępu do istotnych zasobów.

Po trzecie wreszcie — zmienia się cały ekosystem prawno-regulacyjny wokół nas. Prowadzenie szkoleń czy posiadanie odpowiednich certyfikatów bezpieczeństwa nie zależy już tylko od dobrej woli czy świadomości danego przedsiębiorcy. Stoimy u progu implementowania w Polsce unijnej dyrektywy NIS2, która wręcz wymusza na tysiącach polskich firm podjęcie konkretnych działań tu i teraz.

Zrozumienie tych zależności zainspirowało nas do stworzenia kompleksowej strategii wyrównywania szans pracowników w starciu z cyberprzestępcami.

 TM: Mowa zapewne o platformie Cyber Know.

Renata Kania: Tak, ale terminy „platforma” czy „zaawansowane narzędzie” nie uchwytują istoty tego rozwiązania. A chodzi, jak podkreślam, o całościową strategię oraz nowe podejście do budowania kultury i higieny cyfrowej wszystkich pracowników w przedsiębiorstwie. Dotychczas w dyskusji na temat cyberbezpieczeństwa koncentrowaliśmy się na alertach, zaporach, monitoringu, względnie — na kontrolowaniu pracowników czy testowaniu ich czujności. My z kolei proponujemy skupienie się na prawdziwej podstawie realnej odporności — czyli samych pracownikach. Aby mogli odpowiednio identyfikować zagrożenia, muszą wiedzieć przecież, jak one wyglądają. Aby wzorowo na nie reagować, muszą poznać ścieżkę ich zgłaszania. Aby unikać niebezpiecznych praktyk, muszą poznać ich definicje.

TM: Faktycznie — gdy budujemy dom, to zaczynamy zwykle od fundamentów.

Renata Kania: A tym fundamentem w każdej firmie są ludzie: i to niezależnie od zajmowanego stanowiska czy zakresu obowiązków.

Oczywiście nie mówiłabym o tym rozwiązaniu, gdyby ono nie zdawało egzaminu. Natomiast przed wprowadzeniem jego na rynek, przeszło ono najbardziej wymagającą próbę— wdrożyliśmy je bowiem w samym T-Mobile!

TM: Rozumiem, że test przeszło pomyślnie?

Renata Kania: Owszem, tylko z jednym zastrzeżeniem: nie mówimy o czasie przeszłym dokonanym. Budowanie odporności cyfrowej pracowników jest procesem ciągłym, dlatego Cyber Know wpisało się już w DNA naszej marki i towarzyszy pracownikom, którzy zresztą bardzo je sobie chwalą, nieustannie. Do takiego podejścia zachęcamy również inne firmy.

TM: Edukujemy, testujemy, analizujemy – to Wasze hasło.

Renata Kania: Dokładnie tak. Do tej pory rozwijaliśmy i wdrażaliśmy rozwiązania z obszaru testowego, polegające na regularnym konfrontowaniu pracowników z wiadomościami łudząco przypominającymi te autentyczne, jakie otrzymują od współpracowników, przełożonych, ale też w ramach kampanii reklamowych czy promocyjnych. Nie zapomnieliśmy także o komponencie analitycznym: dedykowany zespół każdorazowo sprawdzał reakcję pracownika na symulację ataku hackerskiego. 

Aby jednak domknąć to koło i zaproponować wspomnianą już, nową strategię myślenia o odporności biznesu, opracowaliśmy autorską platformę treningową, umożliwiająca użytkownikom zgłębianie wiedzy dotyczącą kluczowych obszarów związanych z cyberbezpieczeństwem. Dopiero po jej absorbcji przechodzimy do weryfikowania, testowania, analizowania.

TM: Cyber Know jest od początku projektem innowacyjnym: więc zapewne także ten trening nie przypomina tradycyjnych, często nurzących i mało efektywnych szkoleń?

Renata Kania: Stawiamy na maksymalną interaktywność, przystępność i przejrzystość materiałów: naszym celem jest bowiem uzyskanie wymiernych, mierzalnych rezultatów. Program składa się z 12 mobilnych szkoleń tematycznych, co oznacza, że można z nich korzystać z dowolnego urządzenia (komputera, telefonu, tableta) w dowolnym miejscu i czasie (np. podczas podróży służbowej czy spaceru).  

Co miesiąc użytkownik uzyskuje dostęp do kolejnego szkolenia, oczywiście z możliwością powrotu do poprzednich — aby chociażby odświeżyć swoją wiedzę. Tematyka każdego z nich dotyczy najistotniejszych dla cyberbezpieczeństwa kwestii: socjotechniki i narzędzi manipulacji, poprawnego ustawiania haseł, odpowiedzialnego zarządzania danymi osobowymi, higieny pracy zdalnej. Każde takie szkolenie kończy się testem, weryfikującym wiedze nabytą w danym obszarze. Takich testów jest w sumie dwanaście, a cały kurs kończy się zdobyciem honorowanego na rynku certyfikatu.

TM: Platforma posiada również dodatkowe funkcjonalności.

Renata Kania: Oczywiście, to bardzo rozbudowana aplikacja. Użytkownicy znajdą w niej szereg cennych i ciekawych materiałów dodatkowych: podcastów, słowniczków, fiszek, filmów. Wszystkie zostały przygotowane przez fachowców i ekspertów od cyberbezpieczeństwa, ale w taki sposób, by były zrozumiałe oraz angażujące dla każdego.

TM: Czy zamawiający może śledzić postępy i aktywność użytkowników, czyli swoich pracowników?

Renata Kania: Tak, ale — podobnie jak całe rozwiązanie Cyber Know — nie chodzi tu o żadne dyscyplinowanie czy stygmatyzowanie. W przyswajaniu wiedzy na temat cyberbezpieczeństwa ważna jest regularność i konsekwencja — wyrobienie zdrowego nawyku otwierania aplikacji raz w tygodniu, aby poznać nowy materiał lub przypomnieć poprzednie. Jak wspominałam, dysponujemy wrażeniami pracowników z pierwszej ręki, to znaczy zatrudnionych w T-Mobile, i mogę śmiało stwierdzić, że traktują oni tę aplikację jako swoisty benefit.

TM: Wiedza to dziś doskonały kapitał, także na rynku pracy!

Renata Kania: Dokładnie – bycie świadomym i posiadanie certyfikatu potwierdzającego nabyte umiejętności to bardzo cenne aktywa, ale warto zwrócić uwagę na jeszcze jeden aspekt. Wiedza wyniesiona z takiego szkolenia niesamowicie ułatwia nam funkcjonowanie w coraz bardziej cyfrowym świecie. Kończąc pracę nie stajemy się nagle analogowi: robimy zakupy przez internet, korzystamy z aplikacji i mediów społecznościowych, odbieramy prywatne maile czy telefony. Rozmawiamy również o zagrożeniach czyhających w sieci ze swoimi dziećmi, przyjaciółmi, sąsiadami. Nabyta podczas tego treningu wiedza naprawdę będzie procentować w przyszłości.

TM: To chyba rzadka sytuacja „win – win”, bo powody do zadowolenia będą też mieli sami przedsiębiorcy.

Renata Kania: Ostrożni, świadomi, odpowiedzialni pracownicy są bezcenni dla zapewnienia każdej firmie ciągłości działania i bezpieczeństwa jej danych. Ale tu też można spojrzeć na tę sytuację dużo szerzej. Po pierwsze — to spełnianie wymogów wspomnianej już dyrektywy NIS2, zakładającej edukowanie pracowników w zakresie cyberbezpieczeństwa i potwierdzanie tego odpowiednimi dokumentami. Po drugie zaś, firmy podatne na ataki i niewykazujące dostatecznej odporności cyfrowej są po prostu wypychane z rynku. Korzystanie z takich narzędzi jak Cyber Know jest może dziś jeszcze tylko dobrą inwestycją, ale za moment stanie się biznesową koniecznością.

Więcej o Cyber Know: Podnieś świadomość cyberzagrożeń w swojej firmie z Cyber Know!

[i] Cyberportret polskiego biznesu 2025

Ten artykuł dotyczy produktu

Cyber Know

Przejdź do produktu

Data publikacji: 28.11.2025