Ochrona pracowników przed atakami phishingowymi i smishingowymi: jak wzmocnić kulturę bezpieczeństwa w firmie?

W minionym roku aż 83 proc. polskich firm (od największych po te z sektora MŚP) doświadczyło przynajmniej jednej próby cyberataku, co stanowi wzrost o 16 p.p. rdr — wynika z najnowszego badania KPMG „Barometr cyberbezpieczeństwa”[i]. Z kolei do zaledwie 17 proc. spadła liczba przedsiębiorstw, które nie odnotowały żadnego ataku cyfrowego. Te dane pokrywają się ze statystykami wewnętrznymi T-Mobile i jego partnerów biznesowych, wskazującymi na skokowy wzrost liczby incydentów bezpieczeństwa rok do roku.

Ataki cyberprzestępców: czyli jak hakerzy testują czujność pracowników i firm

Ta historia niemal zawsze zaczyna się od bagatelizowania problemu: czy to przez poszczególnego pracownika, czy przez całą organizację. >>Nie sprawuję ważnego stanowiska<< lub >>Nie mam dostępu do wrażliwych danych<< — to powszechna postawa wielu członków zespołu, usprawiedliwiająca przekonanie, że nie są grupą docelową cyberprzestępców. Podobnie rozumują często zarządy przedsiębiorstw i instytucji, ufając w skuteczność zakupionych niegdyś zabezpieczeń lub liczących na małe prawdopodobieństwo cyfrowego ataku.

W obu tych przypadkach: nic bardziej mylnego. Z perspektywy cyberprzestępców każdy pracownik danej firmy jest potencjalną, bardzo cenną „ofiarą”, umożliwiającą przedostanie się do najważniejszych zasobów przedsiębiorstwa. Im jest on mniej doświadczony, czujny i świadomy istnienia zagrożenia, tym lepiej. Dlatego ataki hakerskie, przede wszystkim phishingowe i smishingowe, wymierzone są raczej nie w silnie „ufortyfikowane” działy IT, ale właśnie w pracowników niższego i średniego szczebla danej organizacji[ii].

Nie ma już także branż czy sektorów pozostających poza spektrum zainteresowania cyberprzestępców – o czym świadczą dane przytoczone na początku artykułu. Na ich celowniku coraz częściej znajdują się zarówno największe koncerny i marki, jak i firmy z sektora MŚP, niekiedy prowadzące działalność bardzo oddaloną od newralgicznych, krytycznych obszarów funkcjonowania państwa. Do tego dochodzą oczywiście placówki edukacyjne, urzędy publiczne, szpitale.

„Bramę” do systemów i danych wszystkich tych podmiotów najczęściej stanowią pracownicy, narażający bezpieczeństwo pracodawcy w sposób absolutnie nieświadomy. Chodzi przecież o niewinny SMS, prośbę od „działu kadr” o kliknięcie w link lub mailowe polecenie „przełożonego”. Pośpiech, nieuwaga, brak weryfikacji wiadomości: hakerzy wykorzystują ludzką nieuwagę i naiwność, sięgając po narzędzia z pogranicza programowania i… psychologii.

Scenariusze ataków bywają różne, lecz łączy je ten sam cel oraz wykorzystywanie narzędzi socjotechnicznych. Przestępcy, wysyłając e-maile, SMS-y i połączenia, a także coraz częściej: komunikatory i portale społecznościowe, podszywają się pod naszych współpracowników, podrabiają strony internetowe, wykorzystują logotypy firm. Urządzenia, które atakują, to telefon, komputer, laptop, tablet i inne nośniki mające dostęp do Internetu. Ataki te stale ewoluują, a ich scenariusze wyglądają na łudząco podobne do autentycznych treści[iii].

Firewall umysłu pracownika — najważniejszego „komputera” w firmie

To wszystko, zdaniem ekspertów T-Mobile, sprawia, że w budowaniu odporności cyfrowej organizacji równie ważne, co technologie i narzędzia informatyczne, jest ciągła edukacja jej pracowników: niezależnie od ich stanowiska, stażu pracy, posiadanego CV.

„Odnajdujemy swoje miejsce w świecie, w którym cyberprzestępczość staje się nowoczesnym biznesem opartym na psychologii, w którym to nie systemy są głównym celem atakujących a ludzie. W budowaniu kultury bezpieczeństwa i promowaniu tzw. cyberhigieny decydującą rolę odgrywają ludzie. Przestępcy, podobnie jak na lukach w zabezpieczeniach i firewallach lecz jednak intensywniej żerują na naszych emocjach oraz chwilach nieuwagi, o które nietrudno w tak pełnym bodźców i przeróżnych informacji świecie” – wyjaśnia Renata Kania, główny specjalista ds. Security Awareness w T-Mobile, twórczyni autorskiej usługi Cyber Know.

Ekspertka dodaje, że tempo rozwoju cyberzagrożeń jest niemal wprost proporcjonalne do tempa rozwoju technologicznego.

„Świadomość zasad bezpieczeństwa i praktyka cyberhigieny to metody w walce z cyberzagrożeniami. Oszuści działając innowacyjnie usiłują zaatakować najpotężniejszy komputer świata jakim jest ludzki mózg. Stosują metody inżynierii społecznej, aby nimi złamać naszą wrażliwość” – podkreśla Renata Kania.

Oczywiście istnieje szereg metod pomagających w ograniczaniu skuteczności ataków hakerskich. Warto zwracać uwagę na takie elementy, jak niezgodność źródła, błędy w wiadomościach (nawet drobne literówki), intrygujące ponaglenia, prośby o podanie loginu i hasła po kliknięciu w linki. Wszystko jednak musi opierać się na solidnych fundamentach: świadomości istnienia zagrożenia oraz faktu, że każdy pracownik w firmie z punktu widzenia hakerów pełni istotną funkcję i ma dostęp do bezcennych danych. Takie właśnie są parametry wyjściowe usługi CyberKnow od T-Mobile.

CyberKnow: czyli zrozum, rozpoznaj, zweryfikuj, zgłaszaj

Najprostsza definicja usługi CyberKnow brzmi: zaawansowane narzędzie edukacyjne i analityczne służące do podnoszenia świadomości bezpieczeństwa użytkowników. Cyber Know obejmuje symulowane ataki phishingowe i smishingowe, które pozwalają na identyfikację podatności na tego rodzaju zagrożenia. Dzięki temu firmy mogą skutecznie szkolić swoich pracowników, minimalizując tym samym ryzyko związane z cyberatakami[iv].

Usługa, obejmująca również cały zespół T-Mobile i pomagająca samemu dostawcy we wzmacnianiu swojej cyfrowej odporności, składa się z kilku kluczowych elementów:

1. Człowiek w centrum wagi

Wiedza i czujność pracowników, podobnie jak skomplikowane systemy informatyczne, wymagają nieustannego sprawdzania pod kątem podatności na potencjalne zagrożenia. Dlatego już na etapie rekrutacji i od razu po zatrudnieniu na stanowisko, dana osoba powinna być informowana o ryzyku ataku ze strony hakerów oraz modelowym reagowaniu na wszelkie incydenty – niezależnie od stanowiska czy pozycji w organizacji.

2. „Testowanie” kompetencji i czujności

„Cyfrowa kondycja” pracowników to efekt długotrwałego treningu – stąd usługa CyberKnow to szereg kontrolowanych prób wyłudzenia danych od pracowników (poprzez maile czy wiadomości SMS) oraz obserwowanie ich zachowania. W większości organizacji pierwsze testy pokazują dużą skalę problemu, jednak z czasem świadomość oraz doświadczenie załogi wpływa na poprawę statystyk. Pojawia się pożądany mechanizm tzw. ograniczonego zaufania.

„W pewnym momencie zdecydowana większość badanych przestaje odpowiadać lub ignorować podejrzane wiadomości, ale nie bawi się również w detektywów czy saperów. Zgodnie z właściwą procedurą: zgłaszają takowe do dedykowanych jednostek zatrudniających właściwych specjalistów z dziedziny cyberbezpieczeństwa. W w naszym przypadku jest to jednostka ekspertów Security Operations Center.” – tłumaczy Renata Kania.  

Co istotne: testy nie mają na celu „wskazywania palcem” czy stygmatyzacji poszczególnych osób. Chodzi przede wszystkim o zidentyfikowanie skali problemu oraz wdrożenie odpowiednich mechanizmów poprawiających wyniki kolejnych badań. 

3. Ograniczone zaufanie popłaca

Spryt i przebiegłość cyberprzestępców powoduje, że w tych czasach ograniczone zaufanie, weryfikowanie źródła informacji lub zgłaszanie wiadomości do weryfikacji przez specjalistów nie jest niczym nieeleganckim. Wręcz przeciwnie: świadczy o dojrzałości i odpowiedzialności pracownika.

Cyber Know dostarcza spersonalizowane raporty i szkolenia, umożliwiając klientom dostęp do szczegółowych informacji na temat wyników przeprowadzonych symulacji cyberataków. Użytkownicy mają także dostęp do szkoleń z zakresu cyberbezpieczeństwa. Narzędzie jest dostępne poprzez aplikację webową uruchomioną w infrastrukturze chmury publicznej T-Mobile i pracującą na jej własnych kodach, co zapewnia łatwy i całkowicie bezpieczny dostęp do materiałów edukacyjnych oraz możliwość tworzenia oraz zarządzania kampaniami phishingowymi i smishingowymi.

4. Usługa „szyta na miarę”

Usługa CyberKnow jest w pełni spersonalizowana, co oznacza, że każdorazowo dopasowuje się ją do potrzeb i specyfiki konkretnej organizacji: od scenariusza, przez moduł szkoleniowy, po testy i raportowanie.

„W T-Mobile, podobnie jak w całej Grupie Deutsche Telekom, której jesteśmy częścią, od lat dbamy o bezpieczeństwo naszych klientów i naszej sieci. Na pokładzie mamy najwyższej klasy specjalistów z zakresu cyberbezpieczeństwa, którzy w zespole CERT T-Mobile oraz Security Operations Center w trybie 24/7 chronią dane naszych klientów i partnerów, dzieląc się wiedzą i globalnymi doświadczeniami całej Grupy” – zaznacza ekspertka[v].

Rzeczywiście, usługa Cyber Know to tylko jeden z elementów szerokiego portfolio usług T-Mobile, które wspólnie tworzą kompleksowy ekosystem ochrony dla nowoczesnych przedsiębiorstw. Wśród całej gamy usług świadczonych przez T-Mobile znajdują się, obok SOC[vi], m.in.: rozwiązania chmurowe, Disaster Recovery Plan czy tzw. backup[vii].

Cyberhigiena to dziś standard: w biznesie i prawodawstwie

Odporność na ataki i wysoki poziom świadomości i wyszkolenia pracowników to również coraz ważniejszy czynnik determinujący pozycję rynkową danej organizacji. Cyberbezpieczeństwo i przykładanie wagi do ciągłej edukacji i podnoszenia kwalifikacji cyfrowych pracowników to obecnie standard na rynku. Podatność każdej organizacji na ataki hakerów wiąże się nie tylko z określonymi stratami finansowymi, ale również kosztami wizerunkowymi i wykluczeniem z intratnych łańcuchów dostaw. Któż przecież chciałby współpracować (dzieląc się odpowiedzialnością i danymi) z firmą ze słabą reputacją w obszarze cyberodporności?  

Stała poprawa odporności cyfrowej to również priorytety instytucji unijnych. W ciągu ostatnich lat przygotowały one szereg zmian w prawie, adresowanych czy to do całego rynku, czy jego poszczególnych sektorów, mających na celu wzmocnienie cyberbezpieczeństwa firm, a w rezultacie – wszystkich europejskich konsumentów.  Mowa tu m.in. o dyrektywie NIS2, rozporządzeniu DORA czy akcie CRA[viii].

Nie bez przyczyny nowe regulacje dotyczą głównie biznesu: jego gotowość do inwestowania w cyberbezpieczeństwo (a raczej jej brak, zwłaszcza w segmencie MŚP), to pięta achillesowa całego systemu odporności cyfrowej: nie tylko w Polsce, a i w dużo bogatszych od niej krajach Wspólnoty.

W tym kontekście warto zaznaczyć, że rozwiązanie Cyber Know od T-Mobile w pełni koresponduje z nowymi regulacjami prawnymi. I nie chodzi tu tylko o wprowadzenie odpowiednich środków technicznych i organizacyjnych usprawniających zarzadzanie ryzykiem związanym z cyberatakami, ale również, a może przede wszystkim: regularne kontrolowanie odporności cyfrowej organizacji oraz aktualizacje strategii bezpieczeństwa biznesu.

CyberKnow to nie kolejne z cyklu niekończących się szkoleń i zajęć teoretycznych, ale podejście stawiające w centrum dyskusji o cyberbezpieczeństwie człowieka: jego obawy, potrzeby, kompetencje. Nie jest on bowiem jedynie „miękkim podbrzuszem” organizacji, ale również jej największym atutem i jednym z najcenniejszym aktywów. Skoro może on otworzyć furtkę hakerom do zasobów firmy — to przy odpowiednim wsparciu może je również z hukiem przed nimi zatrzasnąć. 

[i] https://kpmg.com/pl/pl/home/insights/2025/02/barometr-cyberbezpieczenstwa-2025.html

[ii] Czym jest usługa Cyber Know i jakie korzyści przynosi jej wdrożenie w firmie?

[iii] Cyberbezpieczeństwo – najczęstsze błędy | T-Mobile Biznes

[iv] https://biznes.t-mobile.pl/pl/jak-reagowac-na-cyberzagrozenia

[v] Cyberbezpieczeństwo – dlaczego jest ważne w biznesie?

[vi] https://biznes.t-mobile.pl/pl/produkty-i-uslugi/cyberbezpieczenstwo/security-operations-center

[vii] https://biznes.t-mobile.pl/pl/jak-czesto-myslisz-o-backupie

[viii] https://biznes.t-mobile.pl/pl/produkty-i-uslugi/cyberbezpieczenstwo/nis-2

Ten artykuł dotyczy produktu

Cyber Know

Przejdź do produktu

Data publikacji: 31.03.2025