Jak budować świadomość cyberzagrożeń

Najlepsze zabezpieczenia nie będą skuteczne, jeśli nie będziemy mieć w organizacji wyedukowanych i świadomych cyberzagrożeń pracowników. Skutecznie szkolenia mogą sprawić, by ludzie stali się silnym ogniwem łańcucha bezpieczeństwa w firmie.

O tym, jak ważne jest bezpieczeństwo, wiedzą pracownicy działów IT, którzy za nie odpowiadają. Pracownicy innych działów już niekoniecznie. Traktują oni IT jako narzędzie, które ma działać. Często nie mają świadomości, że to właśnie od nich tak wiele zależy. Dlatego ważna jest skuteczna edukacja w tym zakresie.

Jak budować świadomość cyberzagrożeń. Errare humanum est

Według danych Information Commissioner’s Office – brytyjskiego odpowiednika UODO, tylko 8 % zagrożeń nie jest związanych z działaniem czynnika ludzkiego. 92% zależy od zatrudnionych w organizacji. Ludzie mają więc istotny wpływ na bezpieczeństwo firmy i mogą być najsłabszym ogniwem w strukturze. Piotr Konieczny, Chief Information Security Officer w Niebezpiecznik.pl i założyciel tej firmy, podczas tegorocznej konferencji Computerworlda SEMAFOR 2019 zaznaczył, że błąd ludzki trzeba w systemie zapewnienia bezpieczeństwa w organizacji po prostu przyjąć.

Zobacz również:

Może on bowiem wynikać wcale nie z małych nakładów budżetowych na politykę bezpieczeństwa i systemy IT, ale na przykład ze stopnia skomplikowania systemów czy rotacji pracowników, którzy nie zdążą być odpowiednio wdrożeni w procedury. Albo po prostu z niezrozumienia, jak błahe z pozoru czynności mogą mieć wpływ na bezpieczeństwo danych firmowych. To może być na przykład choćby korzystanie z zestawu głośnomówiącego w wypożyczonym samochodzie, który to zestaw często prosi o synchronizację kontaktów z telefonu.

Należy jednak podkreślić, że sporo jednak incydentów mogących mieć wpływ na firmę, można minimalizować poprzez umiejętną edukację pracowników. I ważne – za edukacją powinny kroczyć narzędzia do weryfikacji tego, czy działania działów odpowiedzialnych za bezpieczeństwo rzeczywiście przekładają się na skuteczność szkolenia.

Jak budować świadomość cyberbzagrożeń. Security awareness się opłaca

Ataki hackerskie przeprowadzane na daną organizację muszą najczęściej mieć „wsparcie” pracowników. Mail phishingowy musi zostać otworzony przez kogoś z wewnątrz firmy. Wirus typu malware musi zostać przez pracownika aktywowany. To właśnie wyzwanie dla działów IT, które muszą skutecznie uświadamiać swoich kolegów z innych działów. Jak to robić, by faktycznie działania edukacyjne odniosły skutek? Piotr Konieczny z Niebezpiecznik.pl wskazuje kilka elementów dobrego szkolenia z zakresu bezpieczeństwa.

Przede wszystkim pracownicy powinni być przekonani, że bezpieczeństwo po prostu się opłaca. A nic tak nie wpływa na motywację, jak uświadomienie sobie, jakie zagrożenia czyhają na nas w życiu prywatnym i jak uchronić przed nimi swoją rodzinę. Piotr Konieczny radzi, by podczas przeprowadzanych szkoleń „sprzedać” pracownikom kilka rad, jak się zabezpieczyć w życiu prywatnym, czy jak bezpiecznie kupować przez Internet. Jeśli pracownicy w życiu prywatnym będą zachowywać się bezpiecznie, te nawyki przeniosą na zachowanie w firmie.

Jak budować świadomość cyberbzagrożeń. Atak kontrolowany

Kolejna istotna sprawa, to przekonanie „niewiernych”. W każdej organizacji znajdą się pracownicy, którzy nigdy nie uwierzą, że ktoś będzie chciał zaatakować firmę. Warto więc sięgnąć po działania typu Red Teaming, czyli przeprowadzenie kontrolowanego ataku phishingowego typu ransomware.

Podczas konferencji SEMAFOR 2019 Piotr Konieczny podał przykład maila wysłanego „omyłkowo” do pracowników, w którym była prośba o weryfikację dołączonego zestawienia premii dla zarządu. Klikalność takiego załącznika to ponad 80%. Można też, w ramach przekonania niedowiarków, wykraść takim pracownikom dane i pokazać to podczas szkolenia. To zawsze robi wrażenie i odbiera ludziom argumenty typu „ja bym się nigdy nie nabrał na takiego maila”.

Piotr Konieczny (Niebezpiecznik.pl) na wystąpieniu w trakcie konferencji Semafor 2019

Piotr Konieczny (Niebezpiecznik.pl) na wystąpieniu w trakcie konferencji Semafor 2019

I wreszcie język. To, co mówią specjaliści IT do pracowników innych działów, musi być dostosowane do ich języka i pojęć. Stąd rekomendacja, by wiedzę o zagrożeniach działowi księgowości przekazywać na podstawie przykładów związanych np. z fakturami, zaś z prawnikami rozmawiać odnosząc się do ich narzędzi i dokumentów, na których pracują. Tak czytelna komunikacja to większe szanse na sukces edukacyjny. Warto też, co podkreśla Piotr Konieczny, wobec opornych uciekać się do socjotechnik, by przemawiać czytelnymi obrazami i konsekwencjami starych przyzwyczajeń, które daleko wykraczają poza przyjęte normy bezpieczeństwa w cyberświecie.

Jak budować świadomość cyberbzagrożeń. Każde zgłoszenie jest ważne

Na koniec zaś – konsekwencja. Jeśli w organizacji wdrożono już program szkoleniowy, specjaliści IT potrafią zrozumiałym językiem komunikować się z innymi działami i edukować je, a najwięksi niedowiarkowie zostali już przekonani do bezpiecznych zachowań, należy cały czas reagować na ich zgłoszenia. Skuteczność szkolenia i zmiana przyzwyczajeń mierzona jest między innymi w komunikatach zwrotnych od pracowników.

Jeśli pracownicy są przekonani do dobrych praktyk w zakresie cyberbezpieczeństwa, to każdy incydent, nawet błahy, będą zgłaszać do odpowiedniej komórki. Jeśli ich maile zostaną zignorowane i nie będą na bieżąco uzyskiwać odpowiedzi, pracownicy zniechęcą się i nastąpi powrót do punktu startowego, sprzed szkolenia.