Powiem Wam szczerze: gdy zaczynaliśmy przeprowadzać symulowane ataki phishingowe dla firm, byliśmy sami zaskoczeni wynikami. Przeciętnie 60–80% pracowników klikało w podstawowy, niezbyt wyrafinowany e-mail phishingowy. I to nie byli przypadkowi ludzie — to byli pracownicy firm, które twierdziły, że "mają świadomość zagrożeń".
Szkolenia z cyberbezpieczeństwa działają. Ale tylko gdy są zrobione porządnie. A większość szkoleń, które widujemy na rynku, to godzinny pokaz slajdów i certyfikat na koniec. To nie działa.
Bez testu nie wiesz gdzie jesteś. Wysyłamy testowe e-maile phishingowe do pracowników — bez ostrzeżenia, w normalny dzień roboczy. Zbieramy dane: ile osób kliknęło, ile wpisało hasło, ile zgłosiło podejrzany e-mail do IT. Te dane są punktem wyjścia do szkolenia i miarą jego skuteczności po zakończeniu.
Typowy scenariusz, który stosujemy: E-mail "od IT" z informacją o konieczności zmiany hasła do systemu firmowego. Link prowadzi do strony identycznej z wewnętrznym systemem — ale to nasza pułapka. Pracownicy, którzy klikną, dostają natychmiastowe powiadomienie edukacyjne zamiast strony logowania. Żadnych danych nie zbieramy, żadnych haseł nie kradniemy — to czysty test świadomości.
Inne zagrożenia dotyczą księgowej, inne handlowca, inne administratora. Szkolenie "ogólne dla wszystkich" jest mało skuteczne, bo ludzie nie widzą związku z własną pracą. Dzielimy szkolenia na role — i pokazujemy konkretne scenariusze z danej branży. Firmie logistycznej — ataki przez faktury PDF. Biuru rachunkowemu — socjotechnika podszywająca się pod US lub ZUS.
Zamiast slajdów z definicjami, robimy warsztaty. Pracownicy sami analizują e-maile — czy to phishing czy nie, i dlaczego. Sami konfigurują uwierzytelnianie dwuskładnikowe na swoich kontach. Sami testują siłę swoich haseł. Rzeczy, które się robi, zostają w głowie dużo dłużej niż to, co się słyszy.
Najważniejsza część szkolenia, którą firmy często pomijają: co robić gdy już się kliknie. Pracownik, który przez przypadek otworzył zainfekowany załącznik i wie co robić — odłącz się od sieci, zadzwoń do IT, nie wyłączaj komputera — może uratować firmę przed katastrofą. Pracownik, który tego nie wie, często zamknął laptop i "nie mówił nikomu, bo się bał".
Szkolenie z cyberbezpieczeństwa to jeden element układanki. Sam nie zastąpi dobrego firewalla, aktualnego oprogramowania antywirusowego, zasady minimalnych uprawnień czy regularnych backupów. Ale bez świadomości pracowników — żadna technologia nie pomoże. Badania pokazują konsekwentnie, że ponad 90% incydentów bezpieczeństwa ma komponent ludzki.
Dlatego w Sztorm IT łączymy szkolenia z audytem technicznym. Sprawdzamy zarówno stan systemów, jak i stan świadomości ludzi — i dopiero wtedy dajemy rekomendacje gdzie naprawdę jest największe ryzyko.
Koszt zależy od liczby uczestników, formy (stacjonarne/zdalne) i zakresu. Orientacyjnie dla firmy do 20 osób: szkolenie podstawowe (4 godziny) + symulacja phishingu to koszt 2 000–4 000 zł netto. Szkolenie zaawansowane z warsztatami i certyfikatami dla uczestników — od 5 000 zł. Dla większych zespołów wyceniamy indywidualnie.
Dla porównania: mediana kosztu incydentu ransomware w polskiej firmie to 3,5 miliona złotych (dane CERT Polska 2025). Jedno szkolenie za 3 000 zł, które zapobiega jednemu takiemu incydentowi — zwraca się ponad tysiąckrotnie.
Certyfikowani audytorzy ISO 27001. Zaczynamy od symulacji phishingu — żebyście wiedzieli z czym naprawdę macie do czynienia.
Umów szkolenie →Zobacz też: Audyty i cyberbezpieczeństwo · Audyt bezpieczeństwa IT · Cyberbezpieczeństwo dla małych firm
Pytania o szkolenia z cyberbezpieczeństwa? Odpowiemy konkretnie, bez owijania w bawełnę.