4crypto.eu
Bezpłatna konsultacja
Kompetencja · Czynnik ludzki · 2026

Security Awareness w 2026 r. - co mówi nauka, co działa, czego unikać

Autor: dr inż. Adam CzubakCzas czytania: 12 minAktualizacja: 2026-05-13

68% naruszeń bezpieczeństwa w 2024 r. ma komponent ludzki - phishing, błąd konfiguracji, kradzież poświadczeń lub niewłaściwe użycie [1]. Mimo to wiele szkoleń security awareness w polskich organizacjach jest fikcją: roczna prezentacja, podpis na liście, koniec. Verizon DBIR 2024 i ENISA Threat Landscape 2024 [2] są jednoznaczne: inwestycja w czynnik ludzki ma najwyższy ROI spośród wszystkich kategorii cyber, ale tylko jeśli programy są oparte na nauce, nie na intuicji.

Bullée et al. 2018 [3], Reinheimer et al. SOUPS 2020 [4], Lallie et al. 2021 [5] i NIST SP 800-50 [6] dostarczają empirycznych wytycznych: co naprawdę zmienia zachowanie, jak długo utrzymuje się efekt, kiedy przypominać i jak mierzyć skuteczność. Artykuł porządkuje te dowody i pokazuje strukturę programu awareness, który działa.

Co mówi nauka - efektywność szkoleń

Bullée et al. 2018 [3] w przeglądzie literatury o atakach socjotechnicznych dokumentują, że szkolenie jest skuteczne - redukuje click rate w testach phishingowych z 30-40% do 5-10%. Ale efekt zanika w ciągu 4-6 miesięcy bez przypomnień.

Reinheimer et al. SOUPS 2020 [4] przeprowadzili badanie longitudinalne nad efektywnością szkoleń antyphishingowych: po 6 miesiącach 75% uczestników wraca do poziomu bazowego. Wniosek: szkolenia roczne to za mało. Skuteczne programy mają częstotliwość 2-4 miesiące w postaci krótkich (5-10 min) microlearning-modułów.

Lallie et al. 2021 [5] - analiza cyberataków w czasie COVID-19. Pokazują, że stres, presja czasu, nowe konteksty (praca zdalna, nieznane platformy) dramatycznie zwiększają podatność na phishing - nawet u przeszkolonych. Wniosek: szkolenie musi obejmować zarządzanie stresem i scenariusze nietypowe, nie tylko "rozpoznawanie phishingu w mailu".

NIST SP 800-50 [6] (z aktualizacją w opracowaniu jako Rev. 1) definiuje trzy poziomy: awareness (świadomość, ogólna), training (szkolenie konkretnych umiejętności) i education (głębsze wykształcenie, dla CISO/security professionals).

DBIR 2024 [1] - 68% naruszeń z komponentem ludzkim. Sam phishing odpowiada za 20-25%. Reszta to: błędy konfiguracji (15%), nadużycie uprawnień (10%), inne błędy ludzkie. Wniosek dla programu awareness: phishing jest priorytetem #1, ale nie jedynym tematem.

Kurikulum - co konkretnie szkolić

Dojrzały program 2026 obejmuje 8 obszarów:

  1. Phishing i socjotechnika - rozpoznawanie, weryfikacja nadawcy, czerwone flagi, what to do if you click. Specjalizacja: BEC (ang. business email compromise), spear phishing, whaling (atak na zarząd).
  2. Hasła i MFA - silne hasła, password manager, MFA jako standard, niemożność przekazywania haseł, ochrona przed credential stuffing.
  3. Klasyfikacja informacji - co jest poufne / wewnętrzne / publiczne. Jak oznaczać. Co nie robić (wysyłanie poufnych w Slack / Teams Channel zewnętrzny).
  4. Dane osobowe (RODO) - podstawy: czym są dane osobowe, jakie są obowiązki, co robić w razie naruszenia, prawa osób. Zob. Audyt RODO.
  5. Czysty pulpit, czysty ekran, blokada - fizyczne praktyki w biurze i poza nim.
  6. Mobile i remote work - bezpieczne Wi-Fi (VPN poza biurem), MFA na telefonie, Bring Your Own Device (BYOD) zasady, izolacja pracy/prywatność.
  7. Incydent - co robić - jak rozpoznać, kogo poinformować, co zachować (nie kasować logów / wiadomości), procedura zgłoszenia.
  8. Specyfika roli - kadra zarządzająca (BEC, whaling, presja decyzji), HR (CV bombs, scam rekrutacyjny), finanse (BEC z fałszywą zmianą konta), IT (ang. operacjonalizacja, insider threats), ogólny pracownik.

Specjalny moduł dla zarządu - NIS2 [7] wprost wymaga (art. 20). Treść: top zagrożenia sektora, kary za niezgodność, odpowiedzialność osobista, what-to-do-if scenariusze.

Format - co działa, co nie

Co działa (potwierdzone przez Reinheimer SOUPS 2020 [4], Bullée 2018 [3]):

  • Microlearning - krótkie (5-10 min) moduły co 1-2 miesiące. Zachowuje uwagę, lepiej zapamiętywane.
  • Scenariusze interaktywne - "dostajesz ten mail, co robisz?" z natychmiastowym feedbackiem.
  • Phishing simulations z natychmiastowym uczeniem (kliknięty link → strona edukacyjna, nie "gotcha"). KnowBe4 Phishing Industry Benchmark 2024 [8] dokumentuje, że organizacje z regularnymi symulacjami redukują click rate z 33% do 5-10% w ciągu 12 miesięcy.
  • Gamifikacja - punkty, rankingi (tylko pozytywne, nie shaming), nagrody za zgłaszanie phishingu.
  • Storytelling i case studies - opowiadanie realnych incydentów (po anonimizacji).

Co nie działa:

  • Roczna 8-godzinna prezentacja PowerPoint - uczestnicy zapominają w 7 dni.
  • Polityka kary za kliknięcie - efekt: nieraportowanie incydentów.
  • Generyczne treści bez kontekstu sektora - JST i bank potrzebują różnych scenariuszy.
  • Tylko techniczna treść - "czym jest phishing" bez "dlaczego ty jesteś celem".
  • Wyłącznie negatywne komunikaty - strach paraliżuje, nie edukuje.

Phishing simulations - co zrobić dobrze

KnowBe4 [8], Cofense, Microsoft Defender Attack Simulator, Proofpoint, Hoxhunt - narzędzia dostępne na rynku. Praktyka 2026 r.:

  1. Częstotliwość - minimum kwartalnie, optymalnie co 4-6 tygodni. Pomiędzy: microlearning.

2. Stopniowanie trudności: - Poziom 1 (pierwsza kampania) - klasyczne, łatwe do rozpoznania. - Poziom 2 - bardziej dopracowane (nawiązanie do firmy, znane brand-name). - Poziom 3 - spear phishing (po imieniu, w kontekście roli, dopasowane). - Poziom 4 - BEC simulation (CFO żąda przelewu).

3. Wskaźniki: - Click rate - % osób, które kliknęło. - Report rate - % osób, które zgłosiło (ang. poprzez przycisk Report w Outlook/Gmail). - Stosunek report/click - kluczowy wskaźnik dojrzałości (cel: > 3:1 po 12 miesiącach).

  1. Po kampanii - natychmiastowy feedback (strona edukacyjna), brak shamingu publicznego, celebrowanie tych, którzy zgłaszają.

Czego unikać:

  • Symulacje "z piekła" (zwolnienie, premia, COVID, śmierć kogoś) - wywołują traumę i opór.
  • Karanie klikających - efekt odwrotny: nieraportowanie realnych incydentów.
  • Publikowanie wyników indywidualnych - łamie zaufanie. Agregaty na poziomie zespołu są ok.

Metryki programu

Bez metryk nie ma jak zmierzyć czy program działa. ISO/IEC 27004:2016 [9] daje wskazówki. Minimum dla średniego programu:

  • Pokrycie szkoleń - % personelu, który ukończył szkolenia w terminach.
  • Click rate w phishing simulations (cel: < 10% po 12 miesiącach).
  • Report rate - % zgłaszających podejrzane (cel: > 30% po 12 miesiącach).
  • Time to report - średni czas od otrzymania phishingu do zgłoszenia (cel: < 30 min dla 50% pracowników).
  • Liczba realnych incydentów zgłoszonych przez personel - najlepszy wskaźnik. Wzrost przez pierwszy rok jest dobry (oznacza więcej raportowania), spadek incydentów po roku - jeszcze lepszy (oznacza realną redukcję ryzyka).
  • Wiedza tematyczna - krótkie testy 5-10 pytań co kwartał. Trend wzrostowy.

Regulacje wymagające szkoleń

  • NIS2 art. 21 (1) lit. h [7] - "podstawowe procedury cyberhigieny i szkolenie personelu". Wprost - szkolenia są obowiązkowe.
  • NIS2 art. 20 ust. 2 - wprost wymaga szkolenia kierownictwa w obszarze cyberbezpieczeństwa. To nowość względem NIS-1.
  • KSC [10] - implicytny wymóg poprzez "środki adekwatne".
  • KRI § 20 ust. 2 pkt 4 [11] - wprost: "zapewnienie szkolenia osób zaangażowanych w proces przetwarzania informacji w zakresie zarządzania bezpieczeństwem informacji".
  • RODO art. 39 ust. 1 lit. b [12] - IOD ma obowiązek "prowadzenia działań zwiększających świadomość, szkoleń".
  • ISO/IEC 27001:2022 A.6.3 [13] - Information security awareness, education and training. Wymóg dla wszystkich osób objętych SZBI.
  • DORA art. 13 [14] - sektor finansowy - wymóg programu digital operational resilience awareness.
  • AI Act [15] - od 2 lutego 2025 wymóg AI literacy dla personelu wykorzystującego systemy AI. To całkowicie nowy obszar awareness w 2025-2026.

Trendy 2025-2027

  1. AI w generacji szkoleń - LLM-y generują spersonalizowane scenariusze, gamified środowiska, adaptywne ścieżki uczenia (uczenie maszynowe identyfikuje, czego dany pracownik najczęściej nie wie).
  2. AI jako wektor ataku - "prompt injection", deepfake voice (ang. szef dzwoni, "przelej teraz"), spersonalizowane phishing wygenerowane przez ChatGPT-class na podstawie publicznego śladu (LinkedIn, prasa). Curriculum musi to uwzględniać.
  3. Skupienie na zarządzaniu stresem i bias cognitive - Lallie 2021 [5] pokazał, że w stresie tracimy odporność. Nowa generacja szkoleń uczy rozpoznawania własnego stanu i metod "pauzy przed kliknięciem".

Checklist: 10 punktów dojrzałego programu awareness

Zarząd patrzy na metryki. Te 10 punktów daje obraz, czy program działa, czy "odhaczamy".

  1. Częstotliwość. Minimum kwartalne touchpointy (microlearning, phishing simulation, briefing) - nie tylko roczna prezentacja.
  2. Specjalizacja - różne ścieżki dla: zarządu, IT, HR, finansów, ogółu personelu. Generyczne treści są mniej skuteczne.
  3. Phishing simulations regularne (kwartalne minimum), z natychmiastowym feedbackiem edukacyjnym, bez karania klikających.
  4. Przycisk Report Phishing w Outlook/Gmail. Zgłoszenia trafiają do SOC z workflow.
  5. Metryki raportowane miesięcznie - click rate, report rate, time to report, pokrycie szkoleń.
  6. Onboarding awareness - nowy pracownik przed pierwszym dniem pracy ma podstawowe szkolenie. Przed dostępem do systemów.
  7. Szkolenie zarządu - minimum raz w roku, 4-8 godzin, z certyfikatem. NIS2 art. 20 [7] wprost wymaga.
  8. Materiały dostępne w intranecie - dla pracowników do samodzielnego przeglądania. PBI, polityki, FAQ, kontakt do SOC/IOD.
  9. Kultura no-blame. Pracownik, który kliknął i zgłosił, jest celebrowany, nie karany. Nieraportowanie = większy problem niż klik.
  10. Roczny przegląd programu - co działało, co nie, co dodać. Trendy zewnętrzne (DBIR, ENISA Threat Landscape) wbudowane w nowy cykl.

Najczęściej zadawane pytania

Ile kosztuje program awareness dla średniej JST (50 osób)?

Z platformą zewnętrzną (KnowBe4, Hoxhunt, Cofense): 30-80 zł/użytkownika/rok = 1500-4000 zł rocznie dla 50 osób. Z własną treścią (4crypto onsite + e-learning): 5-15 tys. zł roczny program (4 sesje + symulacje + ewaluacja).

Czy onsite czy online?

Hybryda. Roczne wprowadzenie + co kwartał briefing - onsite (kontakt, networking, dyskusja). Microlearning i symulacje - online (skalowalność, automatyzacja).

Czy obowiązkowo trzeba mieć platformę typu KnowBe4?

Nie, ale drastycznie pomaga. Bez platformy musisz: kupować/produkować treści, planować kampanie phishingowe, analizować wyniki, raportować - to 20-40 godzin miesięcznie pracy. Platforma kosztuje 1500-4000 zł rocznie dla średniej JST = znacznie taniej niż etat.

Co jeśli pracownik wielokrotnie klika w phishing?

Nie karać - to zniechęca do raportowania. Zamiast: dodatkowe szkolenie 1-1 (15-30 min), zmiana wzorca symulacji (od najprostszej), monitoring w SOC (zob. SOC 24/7). Jeśli problem trwa po 6-12 miesiącach intensywnego coachingu - rozmowa z HR.

Jak szkolić zarząd, który "nie ma czasu"?

Format dla zarządu: 2-3 godziny rocznie, prowadzone przez eksperta zewnętrznego (gravitas). Treść skupiona na odpowiedzialności osobistej (NIS2 art. 20) i realnych incydentach w sektorze. Dla większych organizacji: 1-1 briefingi dla CEO/CFO/CTO co kwartał (15-30 min, top 3 wektory w sektorze + jaka jest gotowość organizacji).

Czy AI Act zmienia security awareness?

Tak - fundamentalnie. Od 2 lutego 2025 wymóg AI literacy dla personelu wykorzystującego systemy AI (AI Act art. 4) [15]. Treść: czym jest AI, ograniczenia, hallucinations, prompt injection, ochrona danych w prompts, ograniczenia używania konsumenckich LLM (zob. Audyt RODO).

Czy szkolenia muszą być w języku polskim?

Dla pracowników w Polsce - tak. Wymóg wynika z ogólnych zasad zarządzania (treść musi być zrozumiała). W organizacjach międzynarodowych: dwujęzyczne lub w języku roboczym (z polskim odpowiednikiem dla pracowników polskojęzycznych).

Click rate 0% w phishing simulation - to dobre czy złe?

Złe - alarmujący sygnał. Klasyczne security theater. Trzy najczęstsze powody:

  1. Symulacje są zbyt łatwe - generyczne "Twoje konto Office 365 wygasa" z literówkami. Pracownicy wyłapują je, statystyki wyglądają świetnie, ale realny BEC z dopracowaną treścią dalej działa.
  2. Pracownicy wiedzą, że to symulacja - przeciek z IT, oczywisty "sender" (typowo @simulated-phishing.com), poznawanie wzorców kampanii.
  3. Pracownicy się boją zgłaszać legalne wątpliwości - kara za klik powoduje, że ignorują, ale i nie raportują.

SANS Institute w analizie metryk phishing simulation oraz Reinheimer et al. SOUPS 2020 [4] wskazują, że healthy click rate dla dojrzałej organizacji to 2-5% (po 12+ miesiącach programu). 0% = wymaga przeglądu programu.

Report rate vs click rate - co ważniejsze?

Report rate. Click rate to "kto się złapał" - wskaźnik negatywny. Report rate (% pracowników, którzy zgłosili podejrzane przez przycisk Report Phishing w kliencie pocztowym) to wskaźnik kultury bezpieczeństwa. Bullée et al. [3] i KnowBe4 Phishing Industry Benchmark 2024 [8] dokumentują, że organizacje z report rate > 30% (i stosunkiem report:click > 3:1) wykrywają realne kampanie phishingowe wielokrotnie szybciej niż organizacje z niskim raportowaniem.

Konsekwencja: w metrykach miesięcznych raportuj oba, ale celebrowanie wzrostu report rate ma większe znaczenie kulturowe niż straszenie click rate.

Pracownik zgłasza phishing przez zwykły mail (nie przyciskiem) - co robić?

Doceniać i ułatwiać dalszą drogę. Phishing zgłoszony jakkolwiek (mail, telefon, Slack) jest wartością. Praktyka:

  1. Odpowiedz w godzinę z podziękowaniem i informacją zwrotną (czy to faktyczny phishing).
  2. Zaproponuj instalację przycisku w Outlook/Gmail - jednorazowa konfiguracja, raporty trafiają do SOC z metadanymi.
  3. Włącz przycisk Phishing Reporting w Microsoft 365 (Defender for Office 365) lub Cofense Reporter / KnowBe4 PAB - darmowe lub niski koszt.
  4. Edukuj - krótki tutorial w intranecie "jak zgłosić phishing 1 kliknięciem".

Zgodne z NIST SP 800-50 [6] sekcja 4 (ang. Awareness, Training, Education) - ułatwianie właściwych zachowań > kary.

Czy realne incydenty po szkoleniu wzrosły - to dobrze czy źle?

Zwykle dobrze - to oznacza wzrost raportowania, nie wzrost realnych ataków. Bullée et al. 2018 [3] dokumentują typowy wzorzec:

  • Miesiąc 1-3 po starcie programu: liczba zgłoszonych incydentów wzrasta 3-10× (pracownicy zaczynają zgłaszać to, co wcześniej ignorowali).
  • Miesiąc 4-9: stabilizacja na wyższym poziomie zgłoszeń, ale realne incydenty z kompromitacją spadają.
  • Miesiąc 12+: liczba zgłoszeń maleje (filtracja w głowach pracowników), liczba realnych kompromitacji drastycznie spada.

Kluczowe metryki rozróżnić: liczba raportowanych prób, liczba kliknięć w realny phishing, liczba realnych kompromitacji (credentials, malware). Pierwszy wzrasta - to dobrze. Dwa pozostałe powinny spadać - to potwierdza, że program działa.

Czy szkolenie AI literacy z AI Act to to samo co security awareness?

Powiązane, ale różne. AI Act art. 4 [15] (obowiązuje od 2 lutego 2025) wymaga "wystarczającej wiedzy z zakresu AI" dla personelu wykorzystującego systemy AI. Wspólny moduł z security awareness jest dopuszczalny i często sensowny ekonomicznie. Treść AI literacy:

  • Czym jest AI - model językowy, klasyfikator, system decyzyjny.
  • Ograniczenia - hallucinations, bias, brak rozumowania faktów.
  • Bezpieczeństwo - prompt injection, data exfiltration via output, jailbreaking.
  • RODO - co wolno wprowadzać do prompts (zob. Audyt RODO).
  • Etyka i odpowiedzialność - kto odpowiada za błędną decyzję AI.

Dla zarządu: rozszerzony moduł o AI Act risk classification, odpowiedzialność za systemy wysokiego ryzyka.

Potrzebujesz konsultacji w tym obszarze?

Bezpłatna 30-60 minutowa konsultacja. Bez zobowiązań. Omawiamy potrzeby, skalę i ramowy harmonogram.

Zadzwoń: +48 691 122 312office@4crypto.eu

Powiązane treści

Pozostałe obszary kompetencyjne

Bibliografia i źródła

Wszystkie cytowane źródła są publicznie dostępne. Standardy ISO/IEC, RFC IETF, dyrektywy UE i akty krajowe odsyłają do oryginalnych dokumentów.

  1. [1]reportVerizon Business (2024). 2024 Data Breach Investigations Report (DBIR). Verizon, 17th edition · https://www.verizon.com/business/resources/reports/dbir/
  2. [2]reportEuropean Union Agency for Cybersecurity (ENISA) (2024). ENISA Threat Landscape 2024. ENISA, Heraklion · DOI: 10.2824/0710888
  3. [3]peer-reviewedBullée, J.-W., Montoya, L., Junger, M., Hartel, P. (2018). On the anatomy of social engineering attacks-A literature-based dissection of successful attacks. Journal of Investigative Psychology and Offender Profiling, vol. 15, no. 1, pp. 20-45 · DOI: 10.1002/jip.1482
  4. [4]peer-reviewedReinheimer, B., Aldag, L., Mayer, P., Mossano, M., Duezguen, R., Lofthouse, B., von Landesberger, T., Volkamer, M. (2020). An investigation of phishing awareness and education over time: When and how to best remind users. Sixteenth Symposium on Usable Privacy and Security (SOUPS 2020), USENIX Association, pp. 259-284 · https://www.usenix.org/conference/soups2020/presentation/reinheimer
  5. [5]peer-reviewedLallie, H. S., Shepherd, L. A., Nurse, J. R. C., Erola, A., Epiphaniou, G., Maple, C., Bellekens, X. (2021). Cyber security in the age of COVID-19: A timeline and analysis of cyber-crime and cyber-attacks during the pandemic. Computers & Security, vol. 105, art. 102248 · DOI: 10.1016/j.cose.2021.102248
  6. [6]standardWilson, M., Hash, J. (2003). NIST SP 800-50: Building an Information Technology Security Awareness and Training Program. National Institute of Standards and Technology · DOI: 10.6028/NIST.SP.800-50
  7. [7]regulationParlament Europejski, Rada UE (2022). Dyrektywa (UE) 2022/2555 (NIS2) w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa. Dziennik Urzędowy UE, L 333, 27.12.2022 · https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32022L2555
  8. [8]reportKnowBe4 (2024). 2024 Phishing by Industry Benchmarking Report. KnowBe4 Research · https://www.knowbe4.com/phishing-by-industry-benchmarking-report
  9. [9]standardInternational Organization for Standardization (2016). ISO/IEC 27004:2016 - Monitoring, measurement, analysis and evaluation. ISO/IEC · https://www.iso.org/standard/64120.html
  10. [10]regulationSejm RP (2018). Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (KSC). Dz.U. 2018 poz. 1560 (z późn. zm.) · https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20180001560
  11. [11]regulationRada Ministrów RP (2012). Rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności (KRI). Dz.U. 2012 poz. 526 (z późn. zm.) · https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20120000526
  12. [12]regulationParlament Europejski, Rada UE (2016). Rozporządzenie (UE) 2016/679 (RODO) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Dziennik Urzędowy UE, L 119, 4.5.2016 · https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32016R0679
  13. [13]standardInternational Organization for Standardization (2022). ISO/IEC 27001:2022 - Information security, cybersecurity and privacy protection - Information security management systems - Requirements. ISO/IEC · https://www.iso.org/standard/27001
  14. [14]regulationParlament Europejski, Rada UE (2022). Rozporządzenie (UE) 2022/2554 (DORA) w sprawie operacyjnej odporności cyfrowej sektora finansowego. Dziennik Urzędowy UE, L 333, 27.12.2022 · https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32022R2554
  15. [15]regulationParlament Europejski, Rada UE (2024). Rozporządzenie (UE) 2024/1689 (AI Act) ustanawiające zharmonizowane przepisy dotyczące sztucznej inteligencji. Dziennik Urzędowy UE, L seria, 12.7.2024 · https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32024R1689