Firewall nie kliknie w link, nie da się nabrać na „pilny przelew od prezesa” i nie odbierze telefonu od deepfake’owego „dyrektora”. Kliknie człowiek. Dlatego, gdy układasz budżet na 2026, szkolenia ze świadomości cyberbezpieczeństwa (tzw. awareness) nie konkurują z narzędziami, a domykają to, czego technologia nie zrobi za ludzi. Dlatego w cyberbezpieczeństwie najdroższe nie są licencje, tylko moment, gdy pracownik popełni jeden błąd w złym miejscu. Czy w Twojej firmie ten „jeden błąd” ma już cenę w Excelu, czy dopiero ją pozna?

Ile kosztuje jedna pomyłka pracownika, zanim zobaczysz ją na koncie?

Firmy lubią myśleć o ataku jak o filmie akcji: haker, czarne hoodie, migające terminale. Tylko, że w polskich statystykach króluje proza: phishing, podszycia, fałszywe „dopłaty do przesyłki” i SMS-y, które udają bank.

CERT Polska pokazał, że w 2024 liczba zgłoszeń przekroczyła 600 tys., a phishing był najczęstszym typem incydentu. Skala dotyczy też smishingu: w 2024 zanotowano ok. 355 tys. zgłoszeń podejrzanych SMS-ów (wzrost rok do roku o ok. 60%). To nie jest „problem kogoś innego” tylko operacyjna codzienność w Polsce. Do tego dochodzi cena „po fakcie”. IBM w raporcie Cost of a Data Breach 2024 podaje średni globalny koszt naruszenia danych na poziomie 4,88 mln USD.

Wniosek? Nie musisz mieć wycieku danych i znaleźć się na okładce gazety, żeby bolało. Wystarczy przestój operacji, brak dostępu, obsługa incydentu przez IT i prawników oraz trudne rozmowy z klientami B2B. Dlatego szkolenia z cyberbezpieczeństwa nie mają udawać tarczy nie do przebicia, tylko mają obniżyć prawdopodobieństwo najbardziej typowego scenariusza: ktoś robi dokładnie to, o co prosi napastnik.

Czy e-learning raz w roku naprawdę uczy czujności?

Wiele firm zalicza szkolenie „dla świętego spokoju”: 45 minut, slajdy, test na końcu. Zaraz potem wracają do maili i Teamsów – „szybko, bo spotkanie za 3 minuty”. Problem nie leży w lenistwie ludzi, tylko w tym, że mózg działa na skróty, a przestępcy robią z tego narzędzie: presja czasu, autorytet, strach przed konsekwencjami.

Dlatego to, co uczy i uświadamia, przypomina sytuacje z pracy: krótkie scenariusze, ćwiczenia, rozmowa i omówienie błędów. Ludzie zapamiętują historie, nie tabele. A gdy szkolenie ma rytm „zobacz – zdecyduj – sprawdź – zgłoś”, pracownik zaczyna reagować automatycznie, zamiast liczyć, że w stresie przypomni sobie slajd numer 27 z e-learningu.

CSIRT NASK w miesięcznych podsumowaniach z 2025 pokazuje dziesiątki tysięcy zgłoszeń w jednym miesiącu oraz ogromną liczbę incydentów z kategorii phishing. Skoro ataki lecą seriami, to „raz w roku” słabo pasuje do tego tempa. Lepiej działa krótszy format szkoleń co kwartał, ale dopasowany do stanowisk.

Jak AI podnosi stawkę w „fraudach na prezesa” i w phishingu?

Jeśli w 2026 liczysz, że „u nas wszyscy wiedzą, żeby nie klikać”, to mam złą wiadomość: ataki przestały wyglądać jak literówki w mailu z Nigerii. FBI w Internet Crime Report wskazuje phishing/spoofing jako jedną z najczęstszych kategorii zgłoszeń w 2024.

Do tego wchodzi AI, która podnosi jakość podszyć (tekst, głos, obraz) i robi to szybciej. Przykład z biznesu: sprawa firmy Arup, gdzie przestępcy użyli deepfake’ów podczas wideokonferencji i wyłudzili 25 mln dolarów przelewem.

W praktyce oznacza to dwie rzeczy. Po pierwsze, mail „od prezesa” i rozmowa telefoniczna potrafią brzmieć przekonująco. Po drugie, rośnie presja na „działaj teraz”, bo ktoś „z góry” czeka. Dlatego szkolenia z cyberbezpieczeństwa na 2026 powinny obejmować zasady weryfikacji dyspozycji finansowych (zwłaszcza poza procesem), podstawy BEC oraz proste nawyki: stop-klatka, sprawdzenie kanału komunikacji, telefon zwrotny na znany numer, zgłoszenie do właściwej osoby.

Dlaczego OT nie może brać tego samego szkolenia co IT?

Jeśli masz produkcję, automatykę, energetykę, wod-kan lub logistykę – OT ma własną specyfikę. Tam błąd człowieka nie kończy się na zainfekowanym laptopie. Tam błąd potrafi zatrzymać linię, zmienić parametry procesu albo wyłączyć usługi.

Przypomnę atak na ukraińską sieć energetyczną z 23 grudnia 2015 r.: napastnicy uzyskali dostęp do systemów i wywołali przerwy w dostawach prądu dla ok. 230 tys. odbiorców. CISA opisuje ten incydent jako przykład skutków dla infrastruktury krytycznej.

Dlatego szkolenia z cyberbezpieczeństwa dla OT muszą dotykać codziennej pracy: bezpiecznego zdalnego dostępu, zasad pracy serwisowej, komunikacji między IT i automatyką oraz tego, jak i komu zgłaszać anomalie w procesie.

Jak wpisać szkolenia z cyberbezpieczeństwa do budżetu 2026 i nie skończyć na „slajdach raz w roku”?

Nie potrzebujesz budżetu jak bank inwestycyjny, żeby zrobić dobre, skuteczne szkolenia z cyberbezpieczeństwa. Potrzebujesz planu i cyklu. Presja regulacyjna też rośnie: DORA obowiązuje od 17 stycznia 2025 r. dla sektora finansowego, a NIS2 kładzie nacisk na zarządzanie ryzykiem i kompetencje w organizacji.

Nawet jeśli nie podlegasz wprost DORA, logika zostaje ta sama: zarząd odpowiada za ciągłość działania, a człowiek bywa punktem wejścia.

Prosty model na 2026 zwykle wystarcza:

1. warsztat startowy dla całej firmy (phishing, podszycia, zasady zgłaszania),
2. osobny moduł dla finansów i asystentek zarządu (BEC, dyspozycje, weryfikacja),
3. moduł branżowy dla OT lub zespołów „krytycznych”,
4. krótkie przypomnienia co kwartał (60 minut) + testy scenariuszowe.
   To koszt porównywalny z jedną większą usługą doradczą, a potrafi oszczędzić miesiące gaszenia pożaru oraz serię „pilnych spotkań”, których mogłoby nie być, gdyby profilaktyka była właściwie zrealizowana.

Kiedy ostatnio Twoi pracownicy mieli szkolenia z cyberbezpieczeństwa? I czy to było „przeklikanie slajdów”, czy prawdziwa rozmowa o zagrożeniach?
Jeśli właśnie układasz budżet na 2026 i chcesz dobrać szkolenie do Twojej branży (IT, OT, biuro, zarząd), napisz do mnie: kontakt@joannawziatek.pl

Ułożę program pod Twoje procesy i ryzyka, a zespół dowie się, co i jak rozpoznać, jak przerwać schemat napastnika i gdzie zgłosić incydent bez strachu, zanim problem urośnie.

Napisz do mnie, porozmawiamy o potrzebach Twojej firmy i stworzymy szkolenie, które naprawdę zadziała.