Który moment roku jest najlepszy na szkolenie pracowników z cyberbezpieczeństwa?

gru 8, 2025 | 0 komentarzy

Dyrektor finansowy dużej firmy logistycznej odebrał telefon od prezesa. Głos był znajomy, polecenie jasne: „Przelej 2,3 miliona na konto, które za chwilę dostaniesz mailem. To pilna transakcja, nie dzwoń do mnie – jestem na spotkaniu z inwestorami.”

Przelał. Pieniądze zniknęły. Prezes nigdy nie dzwonił. To był deepfake – sztuczna inteligencja sklonowała jego głos na podstawie nagrań z YouTube.

Kiedy firma powinna była przeszkolić tego dyrektora? W październiku, bo to miesiąc cyberbezpieczeństwa? W wakacje, gdy jest spokojniej? A może tuż przed Black Friday?

Odpowiedź brzmi: wczoraj. Bo jedyne, co wiemy na pewno, to że przestępcy nie czekają na idealny moment. Mają swój kalendarz – i jest on pełen okazji.

Dlaczego pytanie o „najlepszy moment” jest źle postawione?

Szukamy idealnego terminu na szkolenie, jakbyśmy szukali najlepszego dnia na założenie alarmu w domu. Tymczasem włamywacz nie sprawdza Twojego kalendarza.

Statystyka, która powinna dać do myślenia: Według raportu Verizon Data Breach Investigations 2024, 68% naruszeń bezpieczeństwa zaczyna się od błędu człowieka – kliknięcia w link, otwarcia załącznika, podania hasła w fałszywym formularzu.

Nie od luki w oprogramowaniu. Nie od wyrafinowanego włamania. Od człowieka, który nie wiedział, że to atak.

„Kiedy pytam zarządy, kiedy ostatnio szkolili pracowników z rozpoznawania phishingu, słyszę: 'chyba dwa lata temu, przy wdrożeniu ISO’. A potem dziwią się, że księgowa kliknęła w fakturę od 'dostawcy’, którego firma nigdy nie miała.”

Kalendarz cyberprzestępcy: kiedy atakują najchętniej?

Zamiast szukać idealnego momentu na szkolenie, spójrzmy na kalendarz z perspektywy atakującego. Bo on ma swoje ulubione pory.

Wakacje: raj dla phishingu

Lipiec i sierpień to dla wielu firm okres rozluźnienia. Część zespołu na urlopach, reszta działa w trybie „byle do września”. Skrzynki mailowe przepełnione, decyzje podejmowane szybciej, weryfikacja słabsza.

Przykład z życia: Firma produkcyjna z Pomorza. Główna księgowa na urlopie, zastępuje ją młodsza koleżanka. Przychodzi mail: „Pilna zmiana numeru konta dostawcy – proszę zaktualizować przed kolejną płatnością.” Numer konta zmieniony. Trzy faktury zapłacone na konto oszustów. Strata: 340 000 zł.

Dlaczego to zadziałało? Bo nikt nie pomyślał, żeby zadzwonić do dostawcy i zweryfikować. Bo „to pilne”. Bo „szefowa by wiedziała, ale jest na Krecie”.

Przestępcy wiedzą, że wakacyjny tryb oznacza mniej czujności. Dlatego właśnie wtedy intensyfikują ataki.

Październik: wszyscy mówią o cyber – przestępcy też

Międzynarodowy Miesiąc Cyberbezpieczeństwa (Cybersecurity Awareness Month) to świetna okazja na kampanie edukacyjne. Firmy organizują szkolenia, wysyłają newslettery, przypominają o hasłach.

Ale jest haczyk.

Przestępcy też wiedzą, że to październik. I wykorzystują to na swój sposób. Wysyłają maile stylizowane na „komunikaty bezpieczeństwa” z działu IT. „Zmień hasło klikając w ten link.” „Zaktualizuj dane logowania w związku z nowymi politykami bezpieczeństwa.”

Pracownik, który właśnie był na szkoleniu o cyberzagrożeniach, dostaje mail o… cyberbezpieczeństwie. I klika. Bo przecież to na czasie, to logiczne, że IT coś wysyła.

„Październik to świetny moment na szkolenia – ale pod warunkiem, że uczysz ludzi myśleć, nie tylko reagować. Bo przestępcy potrafią wykorzystać nawet Twoje kampanie edukacyjne.”

Black Friday i koniec roku: żniwa oszustów

Listopad to miesiąc, w którym dzieje się wszystko naraz. Firmy zamykają budżety. Księgowość pracuje pod presją. Działy zakupów finalizują umowy przed końcem roku. Wszyscy są zmęczeni i spieszą się.

A do tego dochodzi Black Friday – tydzień, w którym nawet rozsądni ludzie tracą czujność w pogoni za okazjami.

Statystyka: Według CERT Polska liczba zgłoszeń phishingu w ostatnim tygodniu listopada rośnie o ponad 300% w porównaniu do przeciętnego tygodnia. Fałszywe sklepy, fałszywe promocje, fałszywe potwierdzenia zamówień.

Pracownik, który rano kupił „okazyjnie” buty w podejrzanym sklepie, po południu może kliknąć w „pilną fakturę” w firmowej skrzynce. Ten sam mechanizm: presja czasu, chęć załatwienia sprawy, wyłączony krytyczny umysł.

Styczeń: noworoczny chaos

Nowy rok, nowe cele, nowi pracownicy, nowe systemy. Działy IT wdrażają zmiany odkładane przez pół roku. Część zespołu jeszcze mentalnie na nartach.

Przykład z życia: Firma consultingowa onboardowała 15 nowych pracowników w pierwszym tygodniu stycznia. Każdy dostał maila „od IT” z prośbą o założenie konta w nowym systemie HR. Wyglądał profesjonalnie, miał logo firmy, link prowadził do strony łudząco podobnej do prawdziwej.

Siedmiu kliknęło i podało dane. To był phishing. Przestępcy mieli dostęp do wewnętrznych systemów przez trzy tygodnie, zanim ktoś zauważył.

Dlaczego szkolenia raz w roku nie wystarczą?

Rozumiem pokusę. Zorganizować jedno solidne szkolenie, odfajkować w raporcie, wrócić do codziennych zadań. Ale to nie działa – i mam na to trzy twarde argumenty.

1. Człowiek zapomina – to nie wada, to natura

Krzywa zapominania Ebbinghausa pokazuje, że po 24 godzinach zapominamy około 70% nowych informacji. Po tygodniu zostaje może 20%. Po miesiącu – strzępy.

Szkolenie z marca? W listopadzie pracownik pamięta, że „coś było o mailach” – ale szczegóły dawno wyparowały.

Rozwiązanie: Regularne, krótkie przypomnienia. Mikroszkkolenia. Symulowane ataki phishingowe. Wszystko, co odświeża wiedzę bez potrzeby organizowania całodziennego wydarzenia.

2. Metody przestępców zmieniają się szybciej niż Twoje procedury

To, czego uczyłeś pracowników dwa lata temu, dziś może być nieaktualne.

Co się zmieniło w ostatnich 18 miesiącach:

  • Phishing generowany przez AI – bezbłędna polszczyzna, spersonalizowane treści, brak typowych „czerwonych flag”
  • Deepfake audio – klonowanie głosu na podstawie kilku minut nagrań
  • Deepfake video – fałszywe wideorozmowy z „prezesem” lub „klientem”
  • Ransomware as a Service – każdy może kupić atak jak usługę, bez wiedzy technicznej

Przykład: Jeszcze trzy lata temu uczyliśmy rozpoznawać phishing po błędach językowych. „Jeśli są literówki – to oszustwo.” Dziś AI pisze maile lepiej niż połowa pracowników. Stare reguły nie działają.

„Na szkoleniach pokazuję uczestnikom prawdziwe maile phishingowe z ostatniego miesiąca. Widzę, jak bledną, bo te maile wyglądają lepiej niż oficjalna komunikacja ich własnej firmy.”

3. Wiedza musi być aktualna i dopasowana do kontekstu

Szkolenie „z półki” – to samo dla banku, fabryki i agencji reklamowej – mija się z celem.

Pracownik działu HR ma inne ryzyka niż programista. Księgowa jest atakowana inaczej niż handlowiec. Prezes dostaje inne maile niż stażysta.

Dobre szkolenie uwzględnia:

  • Branżę i specyfikę firmy
  • Role uczestników i ich typowe zadania
  • Realne przykłady ataków na podobne organizacje
  • Aktualne metody przestępców, nie podręcznikowe przykłady sprzed pięciu lat

Co mówią regulacje? NIS2, DORA, ISO 27001

Jeśli argumenty biznesowe nie przekonują, może przekonają regulacyjne.

NIS2 (dla sektorów kluczowych i ważnych)

Dyrektywa NIS2 wymaga, by kierownictwo wyższego szczebla regularnie uczestniczyło w szkoleniach z cyberbezpieczeństwa. Nie jednorazowo – regularnie. Zarząd ma rozumieć ryzyka i podejmować świadome decyzje.

DORA (dla sektora finansowego)

Rozporządzenie DORA nakłada obowiązek programów szkoleniowych i podnoszenia świadomości dla wszystkich pracowników, włącznie z kadrą zarządzającą. Regularne, dokumentowane, aktualizowane.

ISO 27001

Norma wymaga ciągłego podnoszenia kompetencji w zakresie bezpieczeństwa informacji. Audytorzy sprawdzają, kiedy były ostatnie szkolenia, kto uczestniczył i jakie były wyniki.

Wniosek: „Raz w roku” może nie wystarczyć, żeby spełnić wymogi. I na pewno nie wystarczy, żeby realnie chronić firmę.

Ransomware as a Service: dlaczego Twoja firma jest celem

Kiedyś, żeby przeprowadzić atak ransomware, trzeba było być programistą, rozumieć sieci, pisać exploity. Dziś wystarczy karta kredytowa i dostęp do dark webu.

Jak działa RaaS (Ransomware as a Service):

  1. Wybierasz „pakiet” – od kilkuset do kilku tysięcy dolarów
  2. Podajesz parametry: jaki typ firmy, jaki region, jaka kwota okupu
  3. AI robi resztę: znajduje ofiary, skanuje podatności, generuje phishing, wysyła maile
  4. Czekasz na okup – prowizja dla „dostawcy usługi” to 20-30%

Nie żartuję. To naprawdę działa jak SaaS. Są panele klienta, support, a nawet „gwarancja zwrotu” jeśli atak się nie uda.

Co to oznacza dla Twojej firmy? Że nie musisz być „interesującym celem”. Wystarczy, że masz dziurę w zabezpieczeniach – lub pracownika, który kliknie w link. Ataki są masowe, automatyczne i nastawione na ilość.

Deepfake i AI: nowa era ataków

Wspomniałam na początku o deepfake’u głosowym. To nie jest science fiction – to rzeczywistość 2024/2025.

Co już widzimy:

  • Klonowanie głosu prezesa na podstawie nagrań z konferencji lub YouTube
  • Fałszywe wideorozmowy na Teamsie czy Zoomie – „prezes” zleca przelew
  • Phishing pisany przez AI – bez błędów, spersonalizowany, z prawdziwymi danymi firmy
  • Fałszywe wiadomości głosowe (voicemail) od „działu IT”

Przykład z życia: Firma z branży nieruchomości. „Klient” dzwoni do agenta, mówi że jest za granicą, nie może się spotkać, ale chce sfinalizować transakcję. Głos brzmi normalnie, rozmowa jest naturalna. Agent przesyła dokumenty… na adres kontrolowany przez oszustów.

Jak przygotować pracowników na coś takiego? Nie jednorazowym szkoleniem o „podstawach phishingu”. Tylko ciągłym budowaniem świadomości, że wszystko może być fałszywe – mail, telefon, nawet twarz na ekranie.

Jakie powinno być dobre szkolenie z cyberbezpieczeństwa?

Skoro nie chodzi o termin, tylko o regularność i jakość – czym charakteryzuje się szkolenie, które naprawdę działa?

Angażuje, zamiast usypiać

Pracownicy przeżyli już setki szkoleń BHP, RODO, compliance. Kolejna prezentacja z setką slajdów ich nie przekona.

Dobre szkolenie:

  • Opiera się na historiach i przykładach, nie na definicjach
  • Pokazuje realne ataki, nie teoretyczne scenariusze
  • Angażuje uczestników (quizy, dyskusje, symulacje)
  • Trwa tyle, ile trzeba – nie trzy godziny, bo „tyle mamy w budżecie”

Jest prowadzone przez praktyka

Szkoleniowiec, który nigdy nie widział prawdziwego incydentu, mówi inaczej niż ktoś, kto pomagał firmie wyjść z ataku ransomware.

Pytania do trenera:

  • Jakie ma doświadczenie praktyczne?
  • Czy może pokazać referencje od klientów?
  • Czy aktualizuje materiały do bieżących zagrożeń?

Zostawia coś namacalnego

Prezentacja się kończy, ludzie wracają do biurek… i zapominają.

Dobre szkolenie zostawia:

  • Checklistę „jak rozpoznać phishing”
  • Procedurę „co robić, gdy podejrzewam atak”
  • Kontakt do osoby, do której można zgłosić incydent
  • Materiały do odświeżenia wiedzy za miesiąc

Jest częścią systemu, nie jednorazowym wydarzeniem

Jedno szkolenie rocznie to lepiej niż nic. Ale prawdziwe bezpieczeństwo wymaga regularności:

  • Kwartalne mikroszkkolenia (15-30 minut)
  • Symulowane ataki phishingowe
  • Komunikacja od działu IT (newslettery, ostrzeżenia)
  • Aktualizacje przy nowych zagrożeniach

Więc kiedy szkolić? Odpowiedź praktyczna

Skoro nie ma idealnego momentu, oto podejście, które działa:

Minimum: Jedno solidne szkolenie rocznie + kwartalne przypomnienia.

Optymalnie:

  • Styczeń/luty: szkolenie dla nowych pracowników + odświeżenie dla wszystkich
  • Maj/czerwiec: przed wakacjami – „wakacyjne pułapki”
  • Wrzesień/październik: przy okazji Miesiąca Cyberbezpieczeństwa
  • Listopad: przed Black Friday i zamknięciem roku

Dla zarządu: Dedykowane sesje minimum raz do roku, zgodnie z wymogami NIS2/DORA.

Przy każdej fali ataków: Szybkie ostrzeżenie + krótkie przypomnienie procedur.

„Mówię klientom: wpisz szkolenia cyber w kalendarz jak przegląd samochodu. Nie czekasz, aż silnik się zatnie – robisz przegląd regularnie. Z bezpieczeństwem jest tak samo.”

Dlaczego warto czytać właśnie ten blog?

Piszę o cyberbezpieczeństwie po ludzku – dla ludzi, nie dla maszyn. Prowadzę szkolenia dla zarządów i pracowników, od małych firm po korporacje w sektorze finansowym i energetycznym. Wiem, co działa na sali, a co usypia.

Moje podejście jest proste: wiedza musi być zrozumiała, aktualna i praktyczna. Dlatego nie opowiadam o „cyberzagrożeniach” w abstrakcji. Pokazuję prawdziwe maile, prawdziwe ataki, prawdziwe konsekwencje.

Jeśli szukasz szkolenia, które zostanie z Twoimi pracownikami dłużej niż do lunchu – porozmawiajmy.

Co zapamiętać z tego artykułu?

  • Nie ma idealnego momentu na szkolenie – przestępcy atakują cały rok.
  • Wakacje, Black Friday i styczeń to okresy podwyższonego ryzyka – ale nie jedyne.
  • Szkolenia raz w roku nie wystarczą – człowiek zapomina, metody się zmieniają.
  • NIS2, DORA i ISO 27001 wymagają regularnych szkoleń – szczególnie dla zarządów.
  • Ransomware as a Service i deepfake to realne zagrożenia – nie science fiction.
  • Dobre szkolenie angażuje, uczy praktycznie i zostawia materiały.
  • Każdy moment jest dobry – pod warunkiem, że to nie jedyny moment w roku.

Potrzebujesz szkolenia dla swojego zespołu? Napisz przez formularz kontaktowy. Powiedz mi, z jakimi wyzwaniami mierzy się Twoja firma – a przygotuję szkolenie, które naprawdę pomoże.

0 komentarzy

Wyślij komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Joanna Wziątek
Powered by  Zgodności ciasteczek z RODO
Przegląd prywatności

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.