Publicystyka - ngo.pl

Jeśli jesteś dyrektorem lub członkiem zarządu organizacji pozarządowej, ten artykuł nie jest o tym, jakie narzędzia kupić. Jest o tym, dlaczego Twój zespół, mimo dobrych chęci, nadal klika w podejrzane linki. I co możesz z tym zrobić jako lider.

To zjawisko dobrze znamy z własnych organizacji i potwierdzają je dane. Ogólnokrajowe badanie w USA (przeprowadzone dla kampanii Take9 przez Aspen Digital) pokazuje wyraźną lukę między świadomością a działaniem: większość ludzi uważa, że zagrożenia online dotyczą wszystkich i że da się przed nimi chronić, ale gdy schodzimy do konkretnych nawyków, obraz się zmienia. Aż 25% badanych nie podejmuje żadnych działań, żeby być bezpiecznym online. W Polsce mechanizm jest podobny: według badania „Postawy Polaków wobec cyberbezpieczeństwa 2025” aż 62% deklaruje, że czuje się bezpiecznie w świecie cyfrowym, a jednocześnie 49% ma tylko orientacyjną wiedzę o tym, jak się chronić.

Skąd ta luka? Przede wszystkim z braku pewności siebie. W badaniu amerykańskim tylko 32% osób deklaruje wysoką pewność w rozpoznaniu podejrzanego maila lub SMS-a. Polskie dane mówią podobnie: 64% internautów uważa, że potrafiłoby rozpoznać fałszywy e-mail, ale tylko 20% jest tego naprawdę pewnych. Do tego dochodzi mechanizm „to mnie nie dotyczy, aż mnie dotknie”. Zagrożenie staje się realne dopiero wtedy, gdy ma osobiste konsekwencje.

Im bardziej temat jest postrzegany jako „techniczny”, tym mniej ludzie czują się za niego odpowiedzialni i tu leży sedno problemu. Cyberbezpieczeństwo trzeba wyjąć z kategorii IT i wprowadzić do kategorii wspólnej odpowiedzialności.

Słowa „cyberatak”, „cyberzagrożenie”, „cyberwojna” – to język, który rezonuje w branży IT. Dla przeciętnej osoby brzmi abstrakcyjnie i odlegle. Tymczasem to samo zjawisko opisane jako „wyłudzenie danych”, „oszustwo na fakturę”, „przejęcie konta” – nagle staje się realne i bliskie.

To nie jest gra słów. To różnica między informacją, która trafia do głowy, a taką, która zmienia zachowanie. Ludzie reagują na to, co jest osobiste. Kradzież tożsamości, utrata pieniędzy z konta, dane beneficjentów w rękach nieuprawnionej osoby i to budzi natychmiastową reakcję. „Naruszenie bezpieczeństwa infrastruktury” już niekoniecznie.

Praktyczna wskazówka dla liderów: kiedy następnym razem będziesz mówić do zespołu o cyberbezpieczeństwie, zacznij od konkretnej historii, nie od statystyki. Od sytuacji, która przytrafiła się organizacji podobnej do Twojej.

Oto jeden z ważniejszych insightów płynących z badań nad zmianą zachowań: ludzie rzadziej działają, gdy sprawa dotyczy tylko ich samych. Działają chętniej, gdy widzą związek z kimś, o kogo dbają.

W organizacjach pozarządowych ten mechanizm jest szczególnie silny. Większość ludzi w organizacjach społecznych przyszła do tej pracy z poczucia misji i wspólnoty. Dlatego komunikując zasady bezpieczeństwa i ich potrzebę warto zmienić perspektywę na: „Twoje hasło do poczty służy nie tylko Tobie. Służy całemu zespołowi. Służy beneficjentom, których dane trzymamy w systemach”. Wskazując na realne sytuacje, spotykamy zupełnie innego miejsca niż kiedy mówimy „uważaj na phishing”.

W Polsce skala zagrożeń jest wysoka: krajowe zespoły CSIRT zarejestrowały w 2024 r. ponad 111 tys. incydentów cyberbezpieczeństwa. Organizacje pozarządowe są często łatwiejszym celem niż korporacje czy urzędy, bo mają cenne dane (o beneficjentach, darczyńcach, grantach), a jednocześnie mniej zasobów na zabezpieczenia i mniej czasu na szkolenia.

Osoby atakujące są świadome tego, że organizacje społeczne są „niedofinansowane w obszarze bezpieczeństwa”. Dlatego właśnie warto odwrócić tę logikę: nie czekać na incydent, żeby temat zaistniał w organizacji, ale wprowadzić go jako stały element kultury organizacyjnej zanim pojawi się problem.

Zmiana kultury w obszarze cyberbezpieczeństwa nie zaczyna się od wdrożenia systemu. Jak każdą zmianę trzeba zacząć od komunikacji i rozmowy. Oto kilka rzeczy, które możesz zrobić już teraz:

• Zmień język na zebraniach. Zamień „przegląd polityki IT” na „co robimy, żeby chronić dane osób, którym pomagamy”.
• Wprowadź jeden nawyk naraz. Zmiana haseł, weryfikacja dwuetapowa, sprawdzanie nadawcy. Tylko jeden temat na miesiąc, z kontekstem, dlaczego to ważne.
• Normalizuj różne poziomy wiedzy. Ludzie nie reagują na temat, który wydaje się przeznaczony dla „technicznych”. Komunikuj tak, żeby każdy członek zespołu wiedział, że chodzi również o niego.
• Mów o błędach bez wstydu. Kultura, w której można powiedzieć „kliknąłem coś podejrzanego” bez konsekwencji, jest znacznie bezpieczniejsza niż ta, w której ludzie zatajają incydenty.

Temat cyberbezpieczeństwa nie wymaga rewolucji. Wymaga zmiany języka i ramy. Jeśli do tej pory mówiłaś do zespołu o „polityce bezpieczeństwa” – spróbuj zastąpić ją rozmową o wspólnej odpowiedzialności. Jeśli do tej pory szkolenia z cyberbezpieczeństwa kończyły się na certyfikacie, zastanów się, co się faktycznie zmieniło w zachowaniu zespołu.

Bezpieczeństwo cyfrowe, choć wydaje się bardzo technicznym tematem, jest też kwestią kultury organizacyjnej. A kulturę kształtują liderzy i liderki przez to, jak mówią i czego nie bagatelizują.

Jeśli chcesz śledzić podobne tematy: o tym, jak technologia zmienia sposób działania organizacji pozarządowych, jakie narzędzia warto znać i jak budować kompetencje cyfrowe zespołu – zapraszamy do newslettera TechSoup Polska.