⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
PL EN BG CS DA DE EL ES ET FI FR GA HR HU IT LT LV MT NL PT RO SK SL SV
Compliance ISO 27001 NIS2 DORA

Jak zbudować program odporności na phishing, który realnie działa

Igor Petreski
14 min read
#ISO 27001:2022 #Zarządzanie ryzykiem #Reagowanie na incydenty #Ochrona danych #Zgodność

Twoje zabezpieczenia techniczne mogą być silne, ale to ludzie nadal pozostają głównym celem ataków phishingowych. Ten przewodnik przedstawia ustrukturyzowaną ścieżkę, zgodną z ISO 27001, do budowy programu odporności na phishing, który przekształca zespół z potencjalnego słabego ogniwa w najsilniejszą linię obrony, ogranicza błąd ludzki i wspiera spełnianie wymagań regulacyjnych wynikających z takich regulacji jak NIS2 i DORA.

O co toczy się gra

Zabezpieczenia techniczne, takie jak filtry poczty elektronicznej i ochrona punktów końcowych, są niezbędne, ale nie są niezawodne. Atakujący wiedzą, że najłatwiejsza droga do chronionej sieci często prowadzi przez człowieka. Jedno kliknięcie w złośliwy link może ominąć technologie bezpieczeństwa warte miliony funtów. Konta użytkowników są jednymi z najczęściej atakowanych punktów wejścia w cyberatakach, a skuteczna kampania phishingowa może prowadzić do kradzieży poświadczeń, infekcji złośliwym oprogramowaniem i nieuprawnionego dostępu. Konsekwencje nie są wyłącznie techniczne; mają bezpośredni wymiar biznesowy. Przejęte konto może skutkować oszukańczymi przelewami bankowymi, ujawnieniem wrażliwych danych klientów oraz znaczącymi przestojami operacyjnymi podczas usuwania skutków incydentu i odtwarzania systemów.

Otoczenie regulacyjne również nie pozostawia dużego marginesu błędu. Regulacje takie jak GDPR, NIS2 i DORA jednoznacznie wymagają od organizacji wdrożenia środków bezpieczeństwa obejmujących stałe szkolenie personelu i budowanie świadomości. Article 21 dyrektywy NIS2 wymaga na przykład, aby podmioty kluczowe i ważne zapewniały szkolenia z cyberbezpieczeństwa oraz promowały podstawowe praktyki cyberhigieny. Podobnie Article 13 DORA wymaga od podmiotów finansowych ustanowienia kompleksowych programów szkoleniowych. Brak możliwości wykazania solidnego programu budowania świadomości może prowadzić do dotkliwych kar, szkody reputacyjnej i utraty zaufania klientów. Ryzyko nie jest abstrakcyjne; stanowi bezpośrednie zagrożenie dla stabilności finansowej i pozycji prawnej organizacji. Błąd ludzki jest kluczowym źródłem ryzyka, a regulatorzy oczekują, że będzie traktowany z taką samą powagą jak każda podatność techniczna.

Rozważmy przykład średniej wielkości firmy logistycznej. Pracownik działu finansów otrzymuje przekonującą wiadomość e-mail, pozornie od znanego dostawcy, z prośbą o pilną płatność na nowy rachunek bankowy. Stopka wiadomości wygląda poprawnie, a ton jest znajomy. Pod presją szybkiego przetwarzania faktur pracownik wykonuje przelew bez weryfikacji głosowej. Kilka dni później prawdziwy dostawca kontaktuje się w sprawie zaległej płatności. Firma traci £50,000, a późniejsze dochodzenie powoduje istotne zakłócenia. Temu incydentowi można było w pełni zapobiec dzięki silnemu programowi odporności na phishing, który szkoli personel w rozpoznawaniu sygnałów ostrzegawczych i weryfikowaniu nietypowych żądań odrębnym kanałem komunikacji.

Jak wygląda dobry stan docelowy

Skuteczny program odporności na phishing przesuwa organizację z postawy reaktywnej do proaktywnej. Buduje kulturę bezpieczeństwa, w której pracownicy nie są jedynie biernymi odbiorcami szkoleń, lecz aktywnymi uczestnikami obrony organizacji. Taki stan definiują mierzalne usprawnienia zachowań oraz realne ograniczenie ryzyka związanego z czynnikiem ludzkim. Program bezpośrednio odpowiada na wymagania ISO 27001:2022, w szczególności punktu 7.3 dotyczącego świadomości oraz zabezpieczenia A.6.3 z Załącznika A dotyczącego świadomości, edukacji i szkoleń w zakresie bezpieczeństwa informacji. Dobry stan oznacza personel, który rozumie swoje obowiązki w obszarze bezpieczeństwa i posiada kompetencje do ich realizacji.

W takim modelu pracownicy potrafią pewnie identyfikować i zgłaszać podejrzane wiadomości e-mail, zamiast je ignorować albo, co gorsza, klikać zawarte w nich linki. Proces zgłaszania jest prosty, powszechnie znany i zintegrowany z codziennym sposobem pracy. Gdy prowadzona jest symulowana kampania phishingowa, współczynnik klikalności jest niski i konsekwentnie spada, a wskaźnik zgłoszeń jest wysoki i rośnie. Dane te stanowią jednoznaczny dowód audytowy dla audytorów, kierownictwa i regulatorów, że program jest skuteczny. Co ważniejsze, pokazują, że ludzie stali się „ludzką zaporą” zdolną wykrywać zagrożenia, których automatyczne systemy mogą nie zauważyć. Taka kultura czujności jest kluczowym elementem cyberhigieny, czyli zasady centralnej dla współczesnych regulacji takich jak NIS2.

Wyobraźmy sobie MŚP tworzące oprogramowanie, w którym programista otrzymuje zaawansowaną wiadomość spear phishingową. Wiadomość wygląda tak, jakby pochodziła od kierownika projektu, i zawiera link do dokumentu opisanego jako „pilne zmiany w specyfikacji projektu”. Programista, przeszkolony w sceptycznym podejściu do nieoczekiwanych pilnych żądań, zauważa subtelnie nieprawidłowy adres e-mail nadawcy. Zamiast kliknąć link, używa dedykowanego przycisku „zgłoś phishing” w kliencie poczty elektronicznej. Zespół ds. bezpieczeństwa otrzymuje natychmiastowy alert, analizuje zagrożenie i blokuje złośliwą domenę w całej organizacji, zapobiegając potencjalnemu naruszeniu. Tak wygląda dobry stan: przeszkolony, świadomy pracownik działa jako krytyczny czujnik w systemie bezpieczeństwa organizacji.

Praktyczna ścieżka

Budowa trwałego programu odporności na phishing to proces systematyczny, a nie jednorazowe działanie. Wymaga ustrukturyzowanego podejścia łączącego ocenę, szkolenie i ciągłe wzmacnianie zachowań. Podział wdrożenia na możliwe do zarządzania etapy pozwala szybko budować dynamikę i wykazywać wartość. Taka ścieżka zapewnia, że program nie jest tylko ćwiczeniem „odhaczania” wymagań zgodności, lecz realnym wzmocnieniem profilu ryzyka bezpieczeństwa. Nasz przewodnik wdrożeniowy, Zenith Blueprint, zapewnia nadrzędne ramy integracji tego typu inicjatywy budowania świadomości z systemem zarządzania bezpieczeństwem informacji (SZBI).1

Etap 1: fundamenty i ocena bazowa

Zanim zaczniesz budować odporność, musisz zrozumieć punkt wyjścia. Pierwszy etap polega na ustanowieniu poziomu bazowego aktualnej świadomości zespołu oraz zidentyfikowaniu kompetencji wymaganych dla różnych ról. Oznacza to więcej niż założenie, że wszyscy potrzebują tego samego ogólnego szkolenia. Zespół finansowy mierzy się z innymi zagrożeniami niż programiści. Rzetelna ocena pomaga dostosować program tak, aby jego wpływ był możliwie największy, a treści były istotne i angażujące dla odbiorców. Jest to zgodne z punktem 7.2 ISO 27001, który wymaga od organizacji zapewnienia, że osoby są kompetentne na podstawie odpowiedniego wykształcenia i szkolenia.

  • Zidentyfikuj wymagane kompetencje: Zmapuj konkretną wiedzę z zakresu bezpieczeństwa potrzebną w różnych rolach. Na przykład personel działu kadr musi rozumieć, jak bezpiecznie postępować z danymi osobowymi, natomiast administratorzy IT potrzebują pogłębionej wiedzy o bezpiecznej konfiguracji.
  • Oceń aktualny poziom świadomości: Przeprowadź pierwszą, niezapowiedzianą symulację phishingową, aby ustalić bazowy współczynnik klikalności. Zapewnia to konkretny wskaźnik do pomiaru przyszłej poprawy.
  • Zdefiniuj cele programu: Ustal jasne, mierzalne cele. Na przykład: „Zmniejszyć współczynnik klikalności w symulacjach phishingowych o 50% w ciągu sześciu miesięcy” albo „Zwiększyć wskaźnik zgłoszeń phishingu do 75% w ciągu roku”.
  • Wybierz narzędzia: Wybierz platformę do realizacji szkoleń i prowadzenia symulacji. Upewnij się, że zapewnia szczegółową analitykę wyników użytkowników i zgłoszeń.

Etap 2: opracowanie treści i szkolenie wstępne

Mając jasno określony poziom bazowy i zdefiniowane cele, kolejnym krokiem jest opracowanie i przeprowadzenie podstawowych treści szkoleniowych. To na tym etapie zaczynasz zamykać luki kompetencyjne zidentyfikowane w etapie 1. Kluczowe jest, aby szkolenie było praktyczne, adekwatne i ciągłe. Jedno coroczne szkolenie nie wystarczy. Skuteczne programy wbudowują świadomość bezpieczeństwa w cały cykl życia pracownika, począwszy od pierwszego dnia. Celem jest wyposażenie każdej osoby w umiejętność identyfikowania i unikania typowych zagrożeń, takich jak phishing i złośliwe oprogramowanie.

  • Opracuj moduły szkoleniowe dostosowane do ról: Przygotuj konkretne treści dla działów wysokiego ryzyka. Zespoły finansowe powinny otrzymać szkolenie dotyczące kompromitacji poczty biznesowej i oszustw fakturowych, natomiast programiści — szkolenie z praktyk bezpiecznego tworzenia oprogramowania.
  • Uruchom szkolenie podstawowe: Wdróż obowiązkowy moduł szkolenia z zakresu świadomości bezpieczeństwa dla wszystkich pracowników. Powinien obejmować podstawy phishingu, higieny haseł, inżynierii społecznej oraz sposób zgłaszania incydentu bezpieczeństwa.
  • Włącz szkolenie do wdrożenia nowych pracowników: Upewnij się, że wszyscy nowo zatrudnieni kończą szkolenie z zakresu świadomości bezpieczeństwa w ramach procesu wdrożenia do organizacji. Wyznacza to jasne oczekiwania od pierwszego dnia. Wykorzystaj ten moment również do uzyskania potwierdzenia zapoznania się z kluczowymi politykami.

Etap 3: symulacje, zgłaszanie i informacja zwrotna

Samo szkolenie nie wystarczy; zachowania muszą być testowane i wzmacniane. Ten etap koncentruje się na prowadzeniu regularnych, kontrolowanych symulacji phishingowych, które zapewniają pracownikom bezpieczne środowisko do ćwiczenia umiejętności. Równie ważne jest ustanowienie prostego procesu zgłaszania podejrzanych wiadomości. Gdy pracownik zgłasza potencjalne zagrożenie, dostarcza wartościowe informacje o zagrożeniach w czasie rzeczywistym. Reakcja organizacji na takie zgłoszenia ma kluczowe znaczenie dla budowania zaufania i zachęcania do dalszego zgłaszania. Niezbędny jest tu jasny i praktyczny plan reagowania na incydenty.

  • Zaplanuj regularne symulacje phishingowe: Przejdź od testu bazowego do regularnego cyklu symulacji, na przykład miesięcznego lub kwartalnego. Różnicuj poziom trudności i tematykę szablonów, aby utrzymywać czujność pracowników.
  • Ustanów prosty mechanizm zgłaszania: Wdróż przycisk „zgłoś phishing” w kliencie poczty elektronicznej. Ułatwia to użytkownikom zgłaszanie podejrzanych wiadomości jednym kliknięciem oraz usuwa bariery i niepewność co do dalszych działań.
  • Zapewnij natychmiastową informację zwrotną: Gdy użytkownik kliknie link w symulacji, przekaż natychmiastową, niekarzącą informację zwrotną wyjaśniającą przeoczone sygnały ostrzegawcze. Jeśli użytkownik zgłosi symulację, wyślij zautomatyzowane podziękowanie, aby wzmocnić pozytywne zachowanie.
  • Analizuj i udostępniaj wyniki: Śledź wskaźniki takie jak współczynnik klikalności, wskaźnik zgłoszeń i czas do zgłoszenia. Przekazuj kierownictwu i szerszemu zespołowi zanonimizowane, zbiorcze wyniki, aby pokazać postęp i utrzymać zaangażowanie.

Polityki, które utrwalają program

Skuteczny program odporności na phishing nie może funkcjonować w próżni. Musi być wspierany przez jasne i egzekwowalne ramy polityk, które formalizują oczekiwania, definiują odpowiedzialności oraz integrują świadomość bezpieczeństwa z funkcjonowaniem organizacji. Polityki przekładają cele strategiczne na zasady operacyjne, które kierują zachowaniem pracowników i tworzą podstawę rozliczalności. Bez udokumentowanych fundamentów działania szkoleniowe mogą być postrzegane jako opcjonalne, a ich wpływ z czasem osłabnie. Centralnym dokumentem jest tu Polityka świadomości i szkoleń w zakresie bezpieczeństwa informacji.2 Polityka ta ustanawia mandat dla całego programu — od wdrożenia nowych pracowników po szkolenia ciągłe.

Ta polityka podstawowa nie powinna działać samodzielnie. Musi być powiązana z innymi krytycznymi dokumentami ładu, aby tworzyć spójną kulturę bezpieczeństwa. Na przykład Polityka dopuszczalnego użytkowania3 określa podstawowe zasady korzystania przez pracowników z technologii organizacji, dlatego jest naturalnym miejscem do wskazania ich odpowiedzialności za czujność wobec phishingu. Gdy wystąpi zdarzenie bezpieczeństwa informacji, Polityka reagowania na incydenty4 musi jasno określać kroki, jakie pracownik powinien podjąć, aby je zgłosić, zapewniając szybkie i skuteczne wykorzystanie informacji pozyskanych ze zgłoszonej próby phishingu. Razem polityki te tworzą system wzajemnie powiązanych zabezpieczeń, które wzmacniają bezpieczne zachowania.

Na przykład podczas kwartalnego przeglądu SZBI CISO przedstawia najnowsze wyniki symulacji phishingowych. Pokazują one niewielki wzrost liczby kliknięć w szablony dotyczące oszustw fakturowych. Zespół decyduje o aktualizacji Polityki świadomości i szkoleń w zakresie bezpieczeństwa informacji, aby przed kolejnym kwartałem wprowadzić obowiązkowe, ukierunkowane szkolenie dla działu finansów. Decyzja jest dokumentowana, a zaktualizowana polityka komunikowana wszystkim właściwym pracownikom, co zapewnia dostosowanie programu do pojawiających się ryzyk w sposób ustrukturyzowany i możliwy do prześledzenia podczas audytu.

Listy kontrolne

Aby program był kompleksowy i skuteczny, warto podzielić prace na odrębne etapy: budowę fundamentów, bieżące utrzymanie programu oraz weryfikację jego wpływu. Poniższe listy kontrolne stanowią praktyczny przewodnik dla każdego etapu, pomagając utrzymać właściwy kierunek i spełniać oczekiwania audytorów oraz regulatorów. Dobrze udokumentowany program jest znacznie łatwiejszy do obrony podczas audytu.

Budowa: tworzenie programu odporności na phishing

Silny fundament ma kluczowe znaczenie dla długoterminowego sukcesu. Ten etap początkowy obejmuje planowanie strategiczne, zabezpieczenie zasobów oraz zaprojektowanie podstawowych elementów programu. Pośpiech na tym etapie często prowadzi do ogólnych, nieskutecznych szkoleń, które nie angażują pracowników i nie odpowiadają na konkretny profil ryzyka organizacji. Czas poświęcony na prawidłową budowę programu przełoży się na lepszy profil ryzyka bezpieczeństwa i bardziej odporny personel.

  • Zdefiniuj jasne cele i kluczowe wskaźniki efektywności (KPI) dla programu.
  • Uzyskaj poparcie kierownictwa oraz odpowiedni budżet na narzędzia i zasoby.
  • Przeprowadź bazową symulację phishingową, aby zmierzyć początkową podatność.
  • Zidentyfikuj grupy użytkowników wysokiego ryzyka oraz konkretne zagrożenia, z którymi się mierzą.
  • Opracuj lub pozyskaj podstawowe i specyficzne dla ról treści szkoleniowe.
  • Włącz szkolenie z zakresu świadomości bezpieczeństwa do procesu wdrożenia nowych pracowników.
  • Ustanów prosty, jednoklikowy proces zgłaszania podejrzanych wiadomości e-mail przez użytkowników.

Utrzymanie: podtrzymywanie dynamiki programu

Po uruchomieniu program odporności na phishing wymaga ciągłego wysiłku, aby pozostał skuteczny. Ten etap operacyjny polega na utrzymaniu regularnego rytmu działań, które sprawiają, że bezpieczeństwo pozostaje stale obecne w świadomości wszystkich pracowników. Obejmuje prowadzenie symulacji, komunikowanie wyników oraz dostosowywanie programu na podstawie danych o skuteczności i zmieniającego się krajobrazu zagrożeń. W tym miejscu jednorazowy projekt staje się trwałym procesem biznesowym.

  • Planuj i prowadź regularne symulacje phishingowe z użyciem zróżnicowanych szablonów i poziomów trudności.
  • Zapewniaj natychmiastową, edukacyjną informację zwrotną użytkownikom, którzy klikną linki w symulacjach.
  • Potwierdzaj zgłoszenia i dziękuj użytkownikom, którzy prawidłowo zgłaszają symulowane i rzeczywiste wiadomości phishingowe.
  • Publikuj regularne, zanonimizowane raporty dotyczące wyników programu dla interesariuszy.
  • Dostarczaj bieżące treści budujące świadomość poprzez biuletyny, wskazówki lub komunikację wewnętrzną.
  • Aktualizuj moduły szkoleniowe corocznie lub wtedy, gdy pojawią się istotne nowe zagrożenia.

Weryfikacja: audyt skuteczności programu

Weryfikacja polega na wykazaniu, że program działa. Obejmuje gromadzenie i przedstawianie dowodów audytorom, regulatorom oraz najwyższemu kierownictwu. Skuteczny program jest oparty na danych, a organizacja powinna być w stanie wykazać wyraźny zwrot z inwestycji poprzez ograniczenie ryzyka. Audytorzy będą oczekiwać obiektywnych dowodów, a nie samych deklaracji. Korzystanie z ustrukturyzowanej biblioteki zabezpieczeń, takiej jak Zenith Controls, może pomóc zapewnić zgodność dowodów z normami takimi jak ISO 27001.5

  • Utrzymuj szczegółowe zapisy wszystkich działań szkoleniowych, w tym harmonogramy i listy obecności.
  • Przechowuj kopie wszystkich wykorzystanych materiałów szkoleniowych i szablonów symulacji phishingowych.
  • Śledź i dokumentuj w czasie współczynnik klikalności oraz wskaźniki zgłoszeń w symulacjach phishingowych.
  • Gromadź dowody przeglądów po incydencie, w których phishing był przyczyną źródłową.
  • Przeprowadzaj okresowe oceny, takie jak wywiady lub testy wiedzy, aby ocenić utrzymanie wiedzy.
  • Bądź przygotowany do pokazania audytorom, w jaki mierzalny sposób program ograniczył ryzyko związane z czynnikiem ludzkim.

Typowe pułapki

Nawet przy najlepszych intencjach programy odporności na phishing mogą nie przynieść oczekiwanych rezultatów. Unikanie poniższych błędów jest równie ważne jak stosowanie dobrych praktyk. Świadomość tych pułapek pomaga zaprojektować program angażujący, skuteczny i trwały.

  • Traktowanie szkolenia jako jednorazowego działania. Świadomość bezpieczeństwa nie jest zadaniem typu „raz i gotowe”. Wymaga ciągłego wzmacniania. Coroczne szkolenie jest szybko zapominane i w niewielkim stopniu buduje trwałą kulturę bezpieczeństwa.
  • Tworzenie kultury obwiniania. Karanie użytkowników, którzy nie zaliczą symulacji phishingowych, przynosi efekt przeciwny do zamierzonego. Zniechęca do zgłaszania i tworzy strach, spychając problemy bezpieczeństwa poza oficjalne kanały. Celem jest edukacja, a nie dyscyplinowanie.
  • Stosowanie nierealistycznych lub ogólnych symulacji. Jeśli szablony phishingowe są oczywiście fałszywe albo niezwiązane z kontekstem biznesowym organizacji, pracownicy szybko nauczą się rozpoznawać symulacje, ale nie rzeczywiste ataki.
  • Pomijanie najwyższego kierownictwa. Atakujący często kierują wysoce spersonalizowane ataki spear phishingowe na kadrę zarządzającą. Najwyższe kierownictwo i osoby je wspierające muszą być objęte szkoleniami i symulacjami.
  • Utrudnianie zgłaszania. Jeśli pracownik musi szukać instrukcji, jak zgłosić podejrzaną wiadomość e-mail, prawdopodobieństwo zgłoszenia spada. Prosty przycisk zgłoszeniowy działający jednym kliknięciem jest niezbędny.
  • Brak reakcji na zgłoszone incydenty. Gdy użytkownicy zgłaszają rzeczywiste wiadomości phishingowe, dostarczają krytyczne informacje o zagrożeniach. Jeśli zespół ds. bezpieczeństwa nie potwierdza tych zgłoszeń ani nie podejmuje działań, użytkownicy przestaną je przekazywać.

Następne kroki

Budowa odpornej „ludzkiej zapory” jest niezbędnym elementem każdej nowoczesnej strategii bezpieczeństwa. Wdrożenie ustrukturyzowanego, ciągłego programu świadomości phishingowej pozwala znacząco ograniczyć ryzyko naruszenia oraz wykazać zgodność z kluczowymi regulacjami.

Odniesienia

  1. Clarysec. (2025). Zenith ISMS Implementation Blueprint↩︎

  2. Clarysec. (2025). P8S Information Security Awareness and Training Policy↩︎

  3. Clarysec. (2025). P3S Acceptable Use Policy↩︎

  4. Clarysec. (2025). P30S Incident Response Policy↩︎

  5. Clarysec. (2025). Zenith Controls Library for ISO 27001:2022↩︎

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles