60 mln zł pomoże małym i średnim firmom wzmocnić to, co w cyberbezpieczeństwie jest dziś jednym z najważniejszych elementów: świadomość pracowników. Bo atak nie zawsze zaczyna się od włamania do systemu. Czasem jest to fałszywy mail z fakturą, telefon od „kontrahenta”, kliknięcie w link albo przelew zrobiony pod presją czasu.
NASK i Polska Agencja Rozwoju Przedsiębiorczości przedstawiły zestaw rekomendacji, które mają uporządkować szkolenia dla firm i wskazać, czego powinni uczyć się pracownicy korzystający na co dzień z internetu.
– Cyberataki nie są wyłącznie problemem firm technologicznych, banków czy międzynarodowych organizacji. Cyberprzestępcy bardzo często wykorzystują podatności przedsiębiorstw, które nie posiadają rozbudowanych działów IT ani zaawansowanych zabezpieczeń. Mogą to być warsztaty, hurtownie czy biura rachunkowe. W takich organizacjach pojedyncza fałszywa wiadomość, podmieniona faktura lub telefon od osoby podszywającej się pod przełożonego może prowadzić do realnych strat finansowych i organizacyjnych. To właśnie do takich przedsiębiorstw i ich pracowników chcemy dotrzeć z tą rekomendacją – mówi Paweł Zegarow, ekspert NASK i współautor rekomendacji.
To dokument, który można porównać do podstawy programowej – tyle że przygotowanej nie dla szkół, ale dla przedsiębiorstw. Określa obszary kompetencji, efekty uczenia oraz umiejętności społeczne, które mają wspierać bezpieczeństwo pracowników firm z sektora MŚP w cyfrowym środowisku pracy.
Cyberbezpieczeństwo zaczyna się przy skrzynce mailowej
Bezpośrednim impulsem do rozpoczęcia prac była obserwacja, że współczesne cyberzagrożenia coraz częściej wykorzystują nie zaawansowane podatności techniczne, lecz błędy użytkowników, manipulację psychologiczną oraz brak podstawowych nawyków bezpieczeństwa cyfrowego. Phishing, fałszywe faktury, podszywanie się pod kontrahentów czy wyłudzenia danych dostępowych stały się realnym zagrożeniem dla codziennego funkcjonowania przedsiębiorstw sektora MŚP, prowadząc do strat finansowych, zakłóceń operacyjnych oraz ryzyk reputacyjnych.
W 2025 roku CERT Polska otrzymał 658 320 zgłoszeń i zarejestrował na ich podstawie 260 783 incydenty. Aż 97 proc. z nich stanowiły oszustwa komputerowe, najczęściej związane z wyłudzaniem danych dostępowych i podszywaniem się pod zaufane podmioty.
To właśnie dlatego rekomendacja NASK i PARP koncentruje się nie tylko na technologii, ale przede wszystkim na kompetencjach ludzi, którzy każdego dnia podejmują decyzje w środowisku cyfrowym.
–Nie chodzi o to, aby pracownik po szkoleniu potrafił powtórzyć definicję phishingu. Kluczowe jest to, żeby w codziennej pracy umiał rozpoznać podejrzaną wiadomość i zweryfikować nietypową prośbę o przelew. Cyberbezpieczeństwo w sektorze MŚP musi być przekładane na konkretne sytuacje i codzienne decyzje użytkowników, ponieważ to właśnie w takich momentach najczęściej dochodzi do błędów prowadzących do incydentów – wskazuje Paweł Zegarow.
Rekomendacje dla firm
W praktyce cyberbezpieczeństwo firmy często zaczyna się od codziennych czynności. Do skrzynki trafia faktura od dostawcy. Ktoś dzwoni jako „kontrahent”. Pracownik dostaje link do płatności albo prośbę o szybkie przesłanie dokumentów. Dopiero po chwili może się okazać, że adres nadawcy różni się jedną literą, numer konta został podmieniony, a rozmówca próbuje wymusić decyzję „na już”.
Dlatego rekomendacja NASK i PARP obejmuje pięć obszarów, które odpowiadają na najczęstsze ryzyka w codziennej pracy MŚP: rozpoznawanie oszustw komputerowych, cyberhigienę, odporność na socjotechniki, bezpieczeństwo danych i informacji oraz podstawy reagowania na incydenty. Innymi słowy – wachlarz dzaiłań od zauważenia podejrzanego maila, przez ochronę haseł, urządzeń i dostępu, po rozpoznanie manipulacji, bezpieczne obchodzenie się z firmowymi informacjami i właściwe zachowanie, gdy coś już pójdzie nie tak.
– W wielu przedsiębiorstwach z sektora MŚP problemem nie jest brak zaangażowania pracowników, ale brak jasnych i utrwalonych wzorców postępowania w sytuacjach związanych z cyberzagrożeniami. Pracownik widzi podejrzaną wiadomość lub nietypową sytuację, ale często nie wie, czy powinien ją zgłosić albo jakie działania podjąć, aby nie pogorszyć sytuacji. Dlatego w rekomendacji tak duży nacisk położyliśmy nie tylko na wiedzę i umiejętności, ale również na kompetencje społeczne, które utrwalają zachowania zwiększające bezpieczeństwo organizacji – mówi Paweł Zegarow.
6,5 mln osób do przeszkolenia.
Z rekomendacji wynika, że kompetencji potrzebnych do bezpiecznej pracy w środowisku cyfrowym może dziś brakować nawet 6,5 mln pracowników i przedsiębiorców. Ta liczba dobrze pokazuje, że problem nie dotyczy wyłącznie specjalistów IT ani firm technologicznych. Obejmuje szeroką grupę pracowników, którzy wykonują codzienne zadania biurowe, finansowe, sprzedażowe, organizacyjne i administracyjne, a jednocześnie korzystają z narzędzi cyfrowych, danych i komunikacji elektronicznej.
Dlatego rekomendacja ma charakter międzysektorowy. Może być wykorzystywana w różnych branżach i na różnych stanowiskach, wszędzie tam, gdzie pracownik obsługuje pocztę elektroniczną, kontaktuje się z klientami, realizuje płatności, przyjmuje zamówienia, pracuje na dokumentach albo nadzoruje procesy organizacyjne.
– Dziś o konkurencyjności przedsiębiorstw coraz częściej decydują nie tylko technologia czy kapitał, ale przede wszystkim kompetencje i zdolność organizacji do szybkiego reagowania na zmieniające się wyzwania. Dlatego jako PARP konsekwentnie rozwijamy rozwiązania, które pomagają przedsiębiorcom budować odporność – zarówno w obszarze cyberbezpieczeństwa, jak i zielonej transformacji gospodarki. Naszym celem jest tworzenie praktycznych narzędzi wspierających firmy w codziennym funkcjonowaniu, podnoszeniu kwalifikacji pracowników oraz przygotowaniu do udziału w strategicznych projektach i nowoczesnych łańcuchach dostaw. Wierzymy, że inwestycja w kompetencje pracowników jest dziś jedną z najważniejszych inwestycji rozwojowych polskich przedsiębiorstw – mówi Krzysztof Gulda, prezes PARP.
Szkolenie będzie trwało 56 godzin i składać się z niezależnych modułów, które można elastycznie łączyć w zależności od potrzeb uczestników oraz specyfiki stanowiska pracy. Dzięki temu firma nie musi odrywać pracowników od obowiązków na długi czas, ale może kierować ich na krótsze bloki szkoleniowe, dopasowane do realnych zadań.
– Od początku zależało nam na tym, aby stworzyć model możliwy do wykorzystania w realnych warunkach funkcjonowania sektora MŚP. Małe i średnie przedsiębiorstwa nie zawsze mogą pozwolić sobie na długie procesy szkoleniowe. Dlatego rekomendacja została zaprojektowana w sposób modułowy i praktyczny. Jej celem jest wspieranie przedsiębiorstw w rozwijaniu kompetencji pracowników tam, gdzie są one najbardziej potrzebne: przy obsłudze poczty elektronicznej, płatności, kontaktów z klientami oraz reagowaniu na pierwsze sygnały zagrożeń – wyjaśnia Paweł Zegarow.
Odporność cyfrowa zaczyna się od prostych decyzji
Rekomendacja NASK i PARP ma pomóc firmom przełożyć cyberbezpieczeństwo na codzienną praktykę. Dokument jest nie tylko opisem tematów szkoleniowych, ale także próbą uporządkowania tego, jak mówić o bezpieczeństwie cyfrowym w firmach, które nie zajmują się nim zawodowo, lecz codziennie od niego zależą.
– Cyberbezpieczeństwo nie może być luksusem dostępnym wyłącznie dla dużych organizacji. Przedsiębiorstwa z sektora MŚP, również funkcjonują w środowisku cyfrowym i mogą stać się celem cyberataku. Dlatego kompetencje cyfrowe pracowników są dzisiaj tak istotne. Świadomy i dobrze przygotowany pracownik może zatrzymać próbę oszustwa już na bardzo wczesnym etapie: nie kliknąć podejrzanego linku, nie zatwierdzić fałszywej transakcji, nie przekazać wrażliwych danych czy też ostrzec innych pracowników – podsumowuje Paweł Zegarow.
160 mln zł przeznaczone na rozwój kompetencji cyberbezpieczeństwa w MŚP to inwestycja w firmy, które każdego dnia tworzą ogromną część polskiej gospodarki. W ich przypadku odporność cyfrowa nie zaczyna się od wielkich systemów, ale od prostych, powtarzalnych decyzji: sprawdzenia nadawcy, zatrzymania podejrzanej faktury, zabezpieczenia hasła, wykonania kopii zapasowej, zgłoszenia incydentu. To właśnie z takich decyzji buduje się bezpieczeństwo, które w krytycznym momencie może uchronić firmę przed stratami.