Anca Burgovszky – Marketing Manager, Arctic Stream

Din rolul meu de marketing la Arctic Stream, în cadrul departamentului de Inovare și Parteneriate, am început să privesc cybersecurity ca pe o temă care depășește componenta tehnică și devine o nevoie reală de educație, comportament și cultură organizațională. Într-o companie care activează ca integrator de infrastructură și securitate IT, marketingul are un rol mai amplu decât comunicarea și contribuie la înțelegerea pieței, identificarea nevoilor reale și transformarea acestora în proiecte relevante.

De-a lungul parcursului meu profesional, m-am întâlnit de mai multe ori cu proceduri și traininguri de securitate cibernetică, cel mai riguros cadru fiind cel din domeniul bancar. Însă, de când mi-am început activitatea la Arctic Stream, am înțeles mai clar cât de important este ca regulile de securitate să fie înțelese, aplicate și transformate în reflexe de zi cu zi, dincolo de documente și instructaje obligatorii.

Cum a apărut ideea unui studiu național de Cyber Literacy

Având o componentă puternică de cybersecurity în activitatea noastră, ne-am dorit ca atunci când vorbim despre nevoia de educație cibernetică să pornim de la date măsurabile, nu doar de la presupuneri. În cadrul discuțiilor interne, inclusiv la nivel de board și management, alături de Diana Stafie, fondator Future Station și membru în Consiliul de Administrație al Arctic Stream, am ajuns la concluzia că este momentul să analizăm mai concret nivelul de alfabetizare cibernetică din România. Astfel, împreună cu agenția de market research MKOR, am demarat primul studiu național de Cyber Literacy, un demers prin care ne-am propus să înțelegem cât de pregătiți sunt angajații români să recunoască, să evite și să raporteze riscurile cibernetice din activitatea profesională. Pentru noi, acest studiu este o modalitate de a înțelege mai bine piața, nivelul real de pregătire și tipul de educație cibernetică de care organizațiile au nevoie.

În marketing, un studiu de piață ne ajută să înțelegem cui ne adresăm, ce nevoi sau temeri are audiența, ce știe deja despre un subiect, ce mesaje sunt relevante și credibile și unde există lipsuri de informare sau comportamente care pot genera risc. În cazul Cyber Literacy Audit 2026, obiectivul a fost să transformăm o întrebare generală „Este nevoie de educație cibernetică?”, într-o analiză susținută de date.

Ce este Cyber Literacy Audit

Cyber Literacy Audit sau auditul de alfabetizare cibernetică, este o evaluare a nivelului de cunoștințe, comportamente și reflexe de securitate ale angajaților în utilizarea tehnologiei. Spre deosebire de un audit tehnic de securitate IT, care analizează infrastructura, rețelele, sistemele sau vulnerabilitățile tehnologice, un astfel de audit se concentrează pe oameni. Mai concret, Cyber Literacy Audit analizează cât de bine înțeleg angajații riscurile digitale, cum gestionează datele companiei, cum reacționează la e-mailuri suspecte, cât de consecvent aplică regulile de securitate și în ce măsură respectă procedurile atunci când sunt presați de timp. Conceptul se aliniază cu direcțiile internaționale privind cybersecurity awareness, cyber hygiene și cultura de securitate organizațională. NIST subliniază importanța programelor de învățare în cybersecurity și privacy pentru dezvoltarea unei culturi de securitate, iar ENISA tratează cyber hygiene și awareness-ul ca elemente importante pentru reducerea riscurilor cibernetice. Din această perspectivă, Cyber Literacy Audit oferă organizațiilor o imagine mai clară asupra măsurilor tehnice existente, dar și asupra nivelului de pregătire al angajaților care trebuie să le aplice corect în situații reale. Rezultatele unui astfel de audit stabilesc un benchmark (etalon) de siguranță digitală și sunt esențiale pentru crearea unor politici de guvernanță comportamentală eficiente în cadrul oricărei organizații.

Surse:

• https://csrc.nist.gov/pubs/sp/800/50/r1/final
• https://www.enisa.europa.eu/topics/awareness-and-cyber-hygiene
• https://www.enisa.europa.eu/publications/cyber-security-culture-in-organisations

De ce alfabetizarea cibernetică devine o prioritate pentru organizații

În ultimii ani, securitatea cibernetică a ieșit din zona strict tehnică și a devenit o temă de business, de guvernanță și de responsabilitate organizațională. Atacurile nu mai vizează doar infrastructuri IT, ci exploatează tot mai des comportamentele de zi cu zi ale angajaților, cum ar fi: e-mailuri suspecte, parole slabe, utilizarea aplicațiilor personale pentru documente de serviciu, conectarea la rețele Wi-Fi nesecurizate sau folosirea unor instrumente neautorizate. Această schimbare este confirmată și de datele internaționale:

• Allianz Risk Barometer 2026: incidentele cibernetice reprezintă principalul risc global de business pentru al cincilea an consecutiv, fiind considerate cel mai important risc pentru companii mari, medii și mici

Sursa: https://commercial.allianz.com/news-and-insights/reports/allianz-risk-barometer.html

• World Economic Forum – Global Cybersecurity Outlook 2025: două din trei organizații se confruntă cu un deficit moderat până la critic de competențe cyber, iar doar 14% declară că au în prezent oamenii și abilitățile necesare pentru a răspunde cerințelor de securitate

Sursa: https://reports.weforum.org/docs/WEF_Global_Cybersecurity_Outlook_2025.pdf

• ENISA Threat Landscape 2024: confirmă complexitatea tot mai mare a amenințărilor, de la ransomware, malware și inginerie socială până la atacuri asupra datelor, disponibilității și lanțului de aprovizionare

Sursa: https://securitydelta.nl/media/com_hsd/report/690/document/ENISA-Threat-Landscape-2024.pdf

• DNSC – Raport anual de activitate 2024: indică, pentru România, o creștere de 286,8% a atacurilor de tip malware și o creștere de 40,2% a fraudelor cibernetice raportate

Sursa: https://www.dnsc.ro/vezi/document/dnsc-raport-anual-2024

• SME Cyber Resilience – State of the Sector 2025: arată că 78% dintre IMM-urile din Irlanda au un nivel scăzut sau foarte scăzut de reziliență cibernetică, iar doar 6% ating un nivel ridicat sau foarte ridicat

Sursa: https://zenodo.org/records/17779560

Aceste date arată că politicile interne, trainingurile formale și soluțiile tehnice trebuie completate de o înțelegere clară a nivelului real de pregătire al angajaților: cât de bine identifică, evită și raportează riscurile digitale.

Cum am măsurat nivelul de Cyber Literacy în România

Studiul a fost realizat pe un eșantion de 1000 de respondenți, dintre care 200 de manageri și antreprenori. Datele au fost colectate printr-un chestionar online, aplicat prin panelul propriu MKOR, cu o durată medie de completare de 15 minute, iar perioada de colectare a fost Februarie 2026. Obiectivul cercetării a fost evaluarea nivelului de alfabetizare cibernetică în rândul angajaților români și stabilirea unui benchmark național de Cyber Literacy, care să ofere un punct de referință pentru analiza nivelului de pregătire, a comportamentelor și a vulnerabilităților asociate factorului uman în securitatea cibernetică.

Ce arată Cyber Literacy Audit 2026: principalele rezultate

Rezultatele Cyber Literacy Audit 2026 indică o realitate importantă pentru organizațiile din România: vulnerabilitatea cibernetică nu ține doar de infrastructură, soluții tehnice sau politici interne, ci și de nivelul de pregătire, comportamentele și reflexele angajaților în activitatea de zi cu zi. Studiul arată că există un decalaj semnificativ între măsurile de securitate declarate la nivel organizațional și modul în care acestea sunt înțelese, aplicate și respectate în practică.

• România digitală are, în primul rând, o problemă de securitate umană, nu tehnică

Primul semnal major al studiului este că riscul cibernetic este strâns legat de comportamentul uman. Deși companiile din România au implementat măsuri tehnice de bază, 3 din 4 angajați cu expunere digitală, respectiv 74%, prezintă un nivel insuficient de alfabetizare cibernetică și acționează inconsecvent sau riscant în practica de zi cu zi. Folosind o metodologie proprie pe baza unei combinații de răspunsuri, studiul definește patru categorii de alfabetizare:

• Cyber-Rezilient: nivel avansat, bune practici consecvente, reacție corectă, context organizațional favorabil
• Cyber-Vigilent: nivel bun, comportamente în general sănătoase, dar pot exista lacune (mai ales pe scenarii / răspuns la incidente)
• Cyber-Elementar: nivel de bază, are noțiuni, dar aplică inconsecvent, apar frecvent “greșeli tipice” (parole, click, proceduri)
• Cyber-Vulnerabili: nivel critic, expunere maximă: lipsesc atât noțiunile elementare, cât și reflexele de protecție

Rezultatele arată că doar 4% dintre respondenți sunt Cyber-Rezilienți, 21% sunt Cyber-Vigilenți, 45% intră în categoria Cyber-Elementari, iar 29% sunt Cyber-Vulnerabili. Datele dovedesc că majoritatea angajaților au fie lacune critice, fie noțiuni de bază aplicate inconsecvent. La nivel organizațional, domină abordarea reactivă: 49% dintre organizații sunt în zona „Reactiv & Fragmentat”, 17% sunt „Conform & Documentat”, iar doar 22% sunt „Proactiv & Optimizat”. Cu alte cuvinte, securitatea este tratată frecvent ca răspuns la incidente, nu ca proces continuu de prevenție, testare și îmbunătățire.

• Infrastructura hibridă este segmentul cu risc maxim și control minim

Aproape jumătate dintre angajați lucrează într-un mediu hibrid, în care combină dispozitive și conturi personale cu dispozitive și conturi de firmă. Acest model creează o zonă de risc, pentru că datele companiei ajung să circule prin instrumente mai greu de controlat de organizație. În acest segment, studiul identifică cel mai ridicat nivel de risc: 69% dintre angajați transferă documente prin aplicații personale, 48% conectează spații de stocare personale la calculatorul de firmă, iar raportarea către IT este de doar 37%, comparativ cu 55% în cazul infrastructurii exclusiv formale. Aceste date arată că infrastructura hibridă nu este riscantă doar prin natura ei tehnică, ci mai ales prin comportamentele pe care le favorizează: transferuri rapide, soluții improvizate, folosirea aplicațiilor personale și o cultură mai slabă de raportare.

• Există un decalaj între securitatea formală și realitatea operațională

Raportul evidențiază un contrast între ceea ce există formal în organizații și ceea ce se întâmplă efectiv în activitatea de zi cu zi. La nivel declarativ, companiile par să aibă o bază solidă: 91% dintre respondenți declară prezența măsurilor de securitate, 87% declară existența procedurilor pentru incidente, iar 84% au semnat documente interne. Totuși, realitatea operațională este mai nuanțată: 71% au antivirus, dar măsuri precum VPN, MFA și restricțiile USB sunt sub pragul de 50%. În plus, 49% dintre manageri recunosc că acționează doar când apare incidentul, iar doar 36% au semnat o politică de lucru remote. O organizație poate avea documente semnate, reguli și instrumente tehnice, dar dacă acestea nu sunt aplicate constant, testate și înțelese de angajați, impactul lor real rămâne limitat.

• Educația cibernetică asigură conformitatea, dar nu schimbă automat reflexele

Unul dintre cele mai puternice rezultate din raport este paradoxul leadershipului. Persoanele cu acces mai mare la date sensibile și cu putere de decizie sunt, în anumite situații, cele care adoptă comportamente mai riscante, de multe ori pentru a câștiga timp sau pentru a rezolva rapid o sarcină. Studiul arată că 31% dintre lideri utilizează rețele Wi-Fi publice fără VPN, comparativ cu 23% dintre angajații de execuție. De asemenea, 33% introduc documente interne în instrumente AI, față de 24% la nivel de execuție, iar 43% instalează frecvent software neautorizat pe laptopul de firmă, comparativ cu 36% în rândul angajaților de execuție. Aceste date schimbă modul în care ar trebui privită educația cibernetică în organizații. Cyber literacy trebuie adresat atât angajaților operaționali, cât și managerilor, liderilor de echipă și managementului superior.

• Educația cibernetică asigură conformitatea, dar nu schimbă automat reflexele

Deși instruirea există în multe organizații, formatul ei este adesea pasiv și insuficient pentru a produce schimbări reale de comportament. Majoritatea companiilor bifează componenta de educație cyber, dar nu o transformă neapărat într-un proces practic, repetat și aplicat. Conform raportului, 55% dintre angajați au parte doar de informări rapide în ședințe, doar 34% au participat la simulări practice de atac, iar numai 2% dintre trainingurile obligatorii au un format exclusiv practic, bazat pe simulări hands-on sau exerciții aplicate. Acest rezultat explică de ce informarea nu este suficientă. Angajații pot auzi despre phishing, parole sau raportarea incidentelor, dar fără exercițiu practic este puțin probabil să își formeze reflexe corecte în situații reale. În cybersecurity, reacția corectă trebuie antrenată, nu doar explicată.

Ce înseamnă aceste rezultate pentru companii

Rezultatele studiului arată că securitatea cibernetică nu mai poate fi privită doar ca responsabilitate tehnică. Ea depinde de felul în care angajații înțeleg riscurile, aplică regulile, raportează incidentele și iau decizii în situații concrete. Politicile și măsurile tehnice sunt necesare, dar nu suficiente. Organizațiile au nevoie de exercițiu, simulări, scenarii aplicate și o cultură de raportare rapidă, astfel încât angajații să treacă de la „știu ce ar trebui să fac” la „știu cum reacționez corect în practică”. În același timp, studiul arată că educația cyber trebuie construită diferențiat. Angajații care folosesc infrastructură hibridă, managerii cu acces la date sensibile și echipele care lucrează cu instrumente digitale critice au nevoi diferite și niveluri diferite de expunere.

Abordarea Cyber Arena: învățare prin simulări realiste

Pentru noi, Cyber Literacy Audit 2026 este un instrument care arată cât de pregătiți sunt angajații și organizațiile în fața riscurilor digitale, unde apar cele mai mari vulnerabilități de comportament și ce tip de educație cibernetică este necesară. Rezultatele studiului confirmă că informarea are impact atunci când este completată de exercițiu practic. În acest context, Cyber Arena propune o abordare practică a educației cibernetice, bazată pe simulări realiste care integrează componenta tehnologică, psihologică și comportamentală. Programele sunt dedicate tuturor nivelurilor de cunoștințe, de la sesiuni de conștientizare și noțiuni de bază în cybersecurity, până la traininguri avansate în zone precum Incident Response, Digital Forensics, Threat Intelligence sau Cyber Crisis Management. Procesul de învățare este construit gradual, printr-o combinație de componentă introductivă, exerciții practice și simulări desfășurate în laboratorul de tip cyber range. Participanții lucrează pe scenarii realiste, în care sunt atacate atât rețele IT, cât și zone OT/SCADA și învață cum se investighează un atac, cum se identifică sistemele afectate și care sunt pașii necesari pentru izolarea și oprirea unui incident. Astfel, educația cibernetică trece de la teorie la practică, ajutând angajații să înțeleagă pașii corecți și să reacționeze eficient în situații concrete.

Cyber Literacy Audit 2026 arată că România are nevoie de mai mult decât conștientizare. Are nevoie de educație aplicată, adaptată rolurilor, infrastructurii și realității operaționale din organizații. Pentru companii, alfabetizarea cibernetică reprezintă astăzi o componentă esențială a rezilienței organizaționale, cu un rol care depășește sfera inițiativelor de training.

Descoperiți concluziile complete ale studiului

Pentru mai multe date, concluzii și recomandări, raportul complet Cyber Literacy Audit 2026 poate fi descărcat gratuit aici: https://www.cyberarena.ro/cyber-literacy-audit-2026/.