Wszyscy się zgodzimy, że dzisiejsze działy IT funkcjonują w środowisku permanentnej presji. Odpowiadają nie tylko za utrzymanie infrastruktury i systemów biznesowych, ale przede wszystkim za ciągłość działania organizacji w bezkompromisowych warunkach.
Powierzchnia potencjalnych ataków rośnie z każdym rokiem – cyfryzacja procesów, integracje, chmura publiczna i hybrydowa, mobilność pracowników. Każda nowa usługa to potencjalny wektor ataku. Jednocześnie bezpieczeństwo przestało być domeną wyłącznie działu IT – dziś jest elementem zarządzania ryzykiem operacyjnym i reputacji organizacji.
Obowiązki a dostępność specjalistów – realne ograniczenie operacyjne
Według najnowszych danych Komisji Europejskiej i Eurostatu, w 2023 r. specjaliści ICT stanowili w Polsce około 4,3% ogółu zatrudnionych, co odpowiada ok. 744 tys. osób. W skali całej Unii Europejskiej udział specjalistów ICT był w tym samym okresie wyraźnie wyższy i wyniósł 4,8% ogółu zatrudnionych, a liczba takich specjalistów w UE przekraczała 14 mln osób. Oznacza to, że Polska mimo wzrostu zatrudnienia w sektorze ICT nadal pozostaje poniżej średniej unijnej, co podkreśla istnienie istotnej luki kompetencyjnej w obszarze talentów cyfrowych.
Równocześnie już dziś podlegamy pod dokładnie te same wymogi regulacyjne jak reszta krajów członkowskich, zaczynając od NIS 2, RODO, DORA czy ISO. Poziom cyberodporności rośnie zatem głównie na papierze, a specjaliści IT muszą wykazywać się coraz szerszą wiedzą wykraczającą poza tradycyjne rozumienie technologii, choćby w zakresie obowiązków raportowych, analiz ryzyka i audytów, a także udowadniania przed szefami skuteczności wdrożonych zabezpieczeń.
W praktyce sprowadza się to do tego, że:
- zespoły są przeciążone operacyjnie,
- projekty bezpieczeństwa są odkładane,
- szkolenia użytkowników realizowane są tylko w celach “odhaczenia wymogów”,
- reagowanie często wygrywa z prewencją.
W efekcie częściej brakuje zasobów niż chęci, a działy IT zmuszone jest działać bezpośrednio tam, gdzie ryzyko jest największe.
Gdzie “łatać” w pierwszej kolejności?
Według raportów publikowanych przez CSIRT NASK, w Listopadzie 2025 blisko 97% zarejestrowanych incydentów dotyczyło kategorii oszustw komputerowych.
Cytując raport: ”Najbardziej rozpowszechnionym rodzajem oszustw komputerowych były próby wyłudzania poufnych danych, np. loginu i hasła do poczty, strony banku, portalu społecznościowego czy innej usługi online (ang. phishing). W listopadzie 2025 r. łącznie odnotowano 7,5 tys. tego typu incydentów.” Skala jest więc gigantyczna, a wróg “znany”.
Unikanie ryzyka i iluzja bezpieczeństwa
Framework MITRE ATT&CK wskazuje szereg technik ograniczania ryzyka związanego z phishingiem, który jest dosłownie wymieniony jako T1566 Phishing. Wśród głównych podejść mitygacyjnych znajdują się m.in.:
- Oprogramowanie antywirusowe / EDR
- Audyty i przeglądy bezpieczeństwa
- Skanery i filtry poczty
- Filtrowanie treści internetowych (proxy, DNS filtering)
- Mechanizmy anty-spoofingowe (SPF, DKIM, DMARC)
- Szkolenia użytkowników
Z drugiej strony dla obrony istnieje dedykowany framework MITRE D3FEND który mapuje konkretne środki zaradcze na technikę T1566 – np. Email Sandboxing (D3-MSA), Domain Reputation Analysis (D3-DARA), Security Awareness Training (D3-SSTC) oraz Multi-Factor Authentication (D3-MFA). Zdecydowana większość organizacji skupia się na rozwiązaniach technicznych. Takie podejście jest poniekąd zrozumiałe – admini chcą mieć pełną kontrolę nad stosowanymi narzędziami i przewidywalne skutki ich implementacji. Dodatkowo raz wdrożone rozwiązania zwykle nie wymagają tytanicznych nakładów pracy przy ich utrzymaniu.
Jednak nawet najbardziej zaawansowane systemy techniczne nie eliminują w pełni zagrożeń wycelowanych bezpośrednio w człowieka. Dzieje się tak ponieważ atakujący wykorzystują socjotechniki zamiast luk technicznych, często bazując na emocjach: presji czasu, strachu, ciekawości czy autorytecie. Atakujący nie muszą łamać zabezpieczeń – wystarczy, że przekonają użytkownika do kliknięcia.
Czynnik ludzki – najsłabsze ogniwo czy niewykorzystany potencjał?
Na rynku od lat można spotkać różne podejścia do szkolenia pracowników. Zaczynając od najpopularniejszych “pogadanek z IT”, poprzez dedykowane zewnętrzne szkolenia po kombajny software’owe oferujące przepastne biblioteki materiałów wideo i przykładów phishingu. Z obserwacji rynkowych wynika jednak, że:
- szkolenia są przeprowadzane najwyżej kilka razy w roku, a wszyscy uczestnicy dostają tą samą treść,
- symulacje phishingowe realizowane są ręcznie przez dział IT, lub jako dodatkowa usługa zewnętrzna,
- scenariusze są podobne i mają stały poziom trudności,
- raporty generowane są manualnie po zakończonej kampanii, a implementacja wniosków pozostaje w sferze przyszłości.
Użytkownicy szybko uczą się „schematu testu”, a nie realnych mechanizmów rozpoznawania zagrożeń. Tymczasem cyberprzestępczość dynamicznie się zmienia. Na porządku dziennym do generowania kampanii phishingowych wykorzystywane są skrypty oparte na AI, które:
- personalizują treści,
- dostosowują język do branży,
- imitują styl komunikacji przełożonych,
- dynamicznie zmieniają scenariusze ataku.
Świat atakujących nie zmienia się w cyklu rocznym. Ewoluuje codziennie.
Automatyzacja budowania cyberodporności
W realiach ograniczonych zasobów kadrowych, przy rosnącej presji regulacyjnej i wysokiej skali zagrożeń phishingowych, realną alternatywą staje się automatyzowanie procesu podnoszenia świadomości użytkowników.
Wyobraźmy sobie system, który po krótkim wdrożeniu samodzielnie:
- Diagnozuje poziom kompetencji użytkowników – weryfikuje ich realne zachowania, a nie deklaratywną wiedzę.
- Personalizuje ścieżki edukacyjne – każdy użytkownik otrzymuje inne zadania, dopasowane do jego poziomu ryzyka.
- Symuluje realne scenariusze ataków – o różnym stopniu trudności i w różnych kanałach (e-mail, SMS, komunikatory).
- Automatycznie reaguje w momencie “wpadnięcia w sieć” symulacji. Wyjaśni na co należało zwrócić uwagę w danym schemacie phishingu, oraz skieruje do właściwych treści edukacyjnych.
- Generuje raporty zgodne z wymaganiami audytowymi (NIS 2, ISO, DORA).
- Mierzy postęp i wzrost odporności organizacji w czasie.
Taki system przestaje być „testem phishingowym” czy “cyklicznym szkoleniem”, a staje się platformą ciągłego budowania cyberodporności.
Taki system przestaje być „testem phishingowym” czy “cyklicznym szkoleniem”, a staje się platformą ciągłego budowania cyberodporności.
Od reaktywności do cyberodporności
Działy IT nie mogą wygrać wyłącznie technologią. Nie przy obecnych dysproporcjach kadrowych. Nie przy obecnej dynamice zagrożeń. Budowanie świadomych i odpornych zespołów przez cały rok to dziś element strategii zarządzania ryzykiem, a nie „miękki” dodatek do bezpieczeństwa.
Automatyzacja procesu szkoleniowego:
- odciąża zespoły IT,
- zapewnia skalowalność,
- wspiera zgodność regulacyjną,
- realnie redukuje ryzyko incydentu.
W świecie, w którym phishing odpowiada za większość zgłoszonych incydentów, inwestycja w człowieka – wsparta technologią – staje się jednym z najbardziej efektywnych kosztowo elementów strategii bezpieczeństwa. Bo ostatecznie to nie system kliknie w link.
Kliknie człowiek.
Łukasz Szefler
Channel Partner Manager
Moxso
