Phishing wciąż działa – i to bardzo skutecznie. Z najnowszego raportu KnowBe4 za pierwsze półrocze 2025 wynika, że najgroźniejsze kampanie phishingowe bazują na wiadomościach podszywających się pod wewnętrzną komunikację firmową, szczególnie od działów HR i IT.

To nie przypadek. Cyberprzestępcy wiedzą, że pracownicy są znacznie bardziej skłonni otworzyć wiadomość, która wygląda na firmową i dotyczy spraw kadrowych lub technicznych.

60,7% kliknięć dotyczyło właśnie takich „wewnętrznych” wiadomości.

Co więcej, prawie połowa z nich (49,7%) miała tematykę HR.

Co z tym zrobić?

Paradoksalnie – nie chodzi tylko o więcej szkoleń. Standardowe kampanie świadomościowe przestają wystarczać. Dziś potrzebne jest kompleksowe podejście do zarządzania ryzykiem ludzkim (Human Risk Management, HRM).

Czym różni się HRM od klasycznego podejścia?

  1. Identyfikacja grup ryzyka - Zamiast traktować wszystkich pracowników tak samo, HRM pozwala precyzyjnie wskazać, kto i dlaczego jest najbardziej podatny na phishing.
  2. Personalizacja kampanii - Scenariusze ataków dopasowywane są do konkretnego działu i roli w firmie – inne dla zespołu finansowego, inne dla helpdesku czy zarządu.
  3. Just-in-time learning - Zamiast tradycyjnych szkoleń – krótkie wskazówki edukacyjne wyświetlane dokładnie wtedy, gdy użytkownik kliknie podejrzany link.
  4. Mierniki efektywności - HRM to konkretne dane: spadek kliknięć, wzrost liczby zgłoszeń, krótszy czas reakcji. Wszystko mierzalne, z jasnymi KPI.

Co można wdrożyć już teraz?

Jeśli chcesz zminimalizować ryzyko phishingu u siebie w firmie – zacznij od tych czterech kroków:

  1. 1. Wprowadź uwierzytelnianie FIDO2/WebAuthn - Zwłaszcza dla użytkowników na stanowiskach kluczowych. To prosta zmiana, która znacznie ogranicza skutki wycieku danych logowania.
  2. 2. Zabezpiecz procedury helpdesku - Zabroń resetowania haseł na podstawie samego maila. Weryfikacja musi się odbywać innym kanałem.
  3. Symuluj prawdziwe kampanie phishingowe- Twórz scenariusze inspirowane prawdziwymi sytuacjami z życia firmy:
  4. – fałszywe wypłaty,
  5. – aktualizacje systemowe,
  6. – zmiany polityki HR.

W tym zakresie KnowBe4 idealnie się sprawdza – zwłaszcza z wykorzystaniem narzędzia AIDA, które automatycznie dobiera realistyczne i kontekstowe scenariusze phishingowe dopasowane do zachowania użytkowników.

4. Mierz skuteczność działań

Ustal KPI, które mają sens:

  1. Współczynnik zgłoszeń do kliknięć – celuj w wartość powyżej 1,5
  2. Czas zgłoszenia zagrożenia – skróć do poniżej 15 minut
  3. Odsetek aktywnie raportujących pracowników – dąż do 95%

Tutaj również KnowBe4 (AIDA) dostarcza szczegółowych metryk, umożliwiając analizę efektywności w czasie rzeczywistym i szybkie wyciąganie wniosków.


Przygotowaliśmy krótką listę kontrolną „Human Risk Management” z 12 pytaniami dla zarządu. Zachęcamy do kontaktu – chętnie udostępnimy.