33% pracowników kliknęło link w fałszywym e-mailu.
Firma z sektora regulowanego. Ponad 800 osób. Dział IT na miejscu, zapora sieciowa, antywirus, segmentacja sieci – wszystko zgodnie ze sztuką. A mino tego co trzeci pracownik otworzył link w symulowanym phishingu i podał dane logowania.
To nie jest wymyślony scenariusz. To wynik pierwszego testu, który przeprowadziliśmy u jednego z naszych klientów z branży farmaceutycznej. Sześć miesięcy później ten sam wskaźnik wynosił 5%.
Ci sami ludzie. Żadnego nowego sprzętu. Jedna zmiana: systematyczna praca nad świadomością zagrożeń.
Dlaczego technologia nie wystarczy
Większość firm inwestuje w zabezpieczenia techniczne – i słusznie. Zapory sieciowe, systemy EDR, filtry antyspamowe, segmentacja sieci. To fundament. Problem w tym, że atakujący o tym wiedzą i od lat szukają drogi, która omija te zabezpieczenia.
Tą drogą jest człowiek.
Według raportu Verizon DBIR 2024, ponad 68% skutecznych naruszeń danych zawierało element ludzki – kliknięcie odnośnika, otwarcie załącznika czy podanie danych na fałszywej stronie. IBM w raporcie Cost of a Data Breach 2024 podaje, że phishing i skradzione dane logowania to dwa najczęstsze wektory ataku.
Możesz mieć najlepszą infrastrukturę bezpieczeństwa na rynku. Jeśli pracownik w dziale księgowości otworzy załącznik z e-maila, który wygląda jak faktura od dostawcy, żadna technologia tego nie zatrzyma w 100% przypadków.
To nie wina pracowników. Nikt ich nie nauczył, na co zwracać uwagę.
Co dokładnie zrobiliśmy – krok po kroku
Krok 1: Test bazowy (tydzień 1)
Zanim cokolwiek wdrożyliśmy, zmierzyliśmy punkt wyjścia. Wysłaliśmy symulowany phishing dopasowany do branży klienta – e-mail wyglądający jak powiadomienie z systemu wewnętrznego.
Wynik: Współczynnik podatności na phishing na poziomie 33%. Co trzecia osoba kliknęła i podała dane.
To nie jest wynik odbiegający od normy. Średnia w branży farmaceutycznej przed programem szkoleniowym to według danych KnowBe4 około 30-35%. Klient nie był gorszy niż inni – po prostu nikt wcześniej tego nie zmierzył.
Krok 2: Wdrożenie platformy (dni 1-14)
W ciągu dwóch tygodni uruchomiliśmy platformę szkoleniową. Proces obejmował integrację z Active Directory klienta, importowanie użytkowników, konfigurację domen do symulacji phishingu oraz przygotowanie pierwszych kampanii.
Klient nie musiał niczego instalować ani niczym zarządzać. Całość prowadziliśmy po naszej stronie w modelu zarządzanym – klient dostawał wyniki, my zajmowaliśmy się resztą.
Krok 3: Miesięczne kampanie phishingowe (co miesiąc)
Raz w miesiącu wysyłaliśmy symulowany phishing. Nie był to jeden szablon dla wszystkich – scenariusze dopasowaliśmy do realiów branży: fałszywe powiadomienia z systemów jakości, e-maile udające dostawców surowców czy wiadomości podszywające się pod audytorów.
Pracownicy, którzy kliknęli, natychmiast widzieli krótkie wyjaśnienie – co powinno wzbudzić podejrzenie i jak rozpoznać fałszywą wiadomość. Żadnego zawstydzania pracowników i żadnych konsekwencji. Czyste wsparcie edukacyjne.
Krok 4: Cotygodniowe szkolenia (5-10 minut)
Raz w tygodniu każdy pracownik otrzymywał krótki moduł szkoleniowy. Pięć do dziesięciu minut – tyle, ile zajmuje wypicie kawy. Przykładowe tematy: rozpoznawanie phishingu, bezpieczeństwo haseł, socjotechnika, bezpieczeństwo pracy zdalnej czy zgłaszanie podejrzanych wiadomości.
Krótkie formaty działają lepiej niż jednorazowe szkolenie raz w roku. Powtarzalność buduje nawyk, a nawyk buduje odporność.
Krok 5: Miesięczny raport dla zarządu
Każdego miesiąca zarząd klienta otrzymywał raport: współczynnik podatności na phishing, odsetek ukończonych szkoleń, trendy, porównanie z poprzednim miesiącem itd. Konkretne liczby i zero żargonu.
Zarząd widział postęp. Dział IT miał dane do decyzji. HR wiedział, które działy potrzebują dodatkowego wsparcia.
Wyniki
| Okres | Współczynnik podatności na phishing |
|---|---|
| Test bazowy (miesiąc 0) | 33% |
| Po 3 miesiącach | 12% |
| Po 6 miesiącach | 5% |
Spadek z 33% do 5%. Sześciokrotna redukcja ryzyka ludzkiego w pół roku.
Żadnych rewolucji technologicznych. Żadnych nowych systemów. Regularna, systematyczna praca nad jedną rzeczą, którą większość firm pomija – świadomością ludzi.
Co się właściwie zmieniło
Pracownicy zaczęli zgłaszać podejrzane e-maile zamiast je otwierać. Dział IT dostał narzędzie do mierzenia ryzyka, które wcześniej było niewidoczne. Zarząd mógł pokazać audytorom i regulatorom konkretne dowody na działający program podnoszenia świadomości.
W kontekście NIS2, DORA czy wymagań branżowych (GMP, ISO 27001) to nie jest miły dodatek. To obowiązek – i to taki, który audytorzy coraz częściej sprawdzają.
Ile to kosztuje, a ile może kosztować brak działania
Zarządzany program szkoleń z cyberbezpieczeństwa dla 800-osobowej firmy to ułamek kosztów jednego incydentu bezpieczeństwa.
Dla porównania: według raportu IBM Cost of a Data Breach 2024, średni koszt naruszenia danych na świecie to 4,88 miliona dolarów. W sektorze farmaceutycznym i ochrony zdrowia te kwoty są jeszcze wyższe ze względu na wrażliwość danych i wymogi regulacyjne.
Nie chodzi nawet o spektakularne ataki ransomware, które szyfrują dane i żadają okupu. Wystarczy, że jeden pracownik poda dane logowania na fałszywej stronie, a atakujący uzyska dostęp do wewnętrznych systemów. Koszt reakcji na incydent, prace dochodzeniowe, powiadomienie klientów i regulatora czy utrata reputacji – to kwoty, przy których roczny koszt programu szkoleniowego jest wręcz pomijalny.
Dla kogo jest to rozwiązanie
Jeśli Twoja firma:
- działa w sektorze objętym NIS2 (zdrowie, energia, transport, infrastruktura cyfrowa, produkcja),
- zatrudnia od kilkudziesięciu do kilku tysięcy osób,
- ma zabezpieczenia techniczne, ale nigdy nie mierzyła ryzyka ludzkiego,
- potrzebuje dowodów dla audytorów i zarządu, że program podnoszenia świadomości bezpieczeństwa działa,
to jest dokładnie ten scenariusz, w którym zarządzany program szkoleń z cyberbezpieczeństwa daje mierzalne rezultaty.
Pierwszy krok: zmierz, zanim zaczniesz naprawiać
Nie proponujemy, żebyś kupował cokolwiek w ciemno. Proponujemy, żebyś najpierw zobaczył, jak wygląda rzeczywistość.
Przeprowadzimy bezpłatny test phishingowy w Twojej organizacji. Bez zobowiązań, bez instalowania czegokolwiek i bez angażowania czasu Twojego zespołu IT. Dostaniesz raport z jedną liczbą: jaki odsetek Twoich pracowników kliknąłby link w fałszywym e-mailu.
Ta liczba powie Ci więcej o stanie bezpieczeństwa Twojej firmy niż kolejny audyt infrastruktury.