Wielu użytkowników sieci może zadawać sobie pytanie dlaczego liczba cyberataków rośnie skoro urządzenia stają się coraz bezpieczniejsze, a organizacje wydają coraz więcej pieniędzy na systemy bezpieczeństwa? Prawdą jest, że na rynku na przestrzeni ostatnich lat pojawiło się mnóstwo nowoczesnych rozwiązań z zakresu bezpieczeństwa cybernetycznego. Wystarczy wymienić kilka najpopularniejszych - EDR (następca antywirusa bazujący na zachowaniu systemu i użytkownika), SIEM (zintegrowany system do zarządzania bezpieczeństwem w organizacjach) czy SOAR (system orkiestracji zabezpieczeń, automatyzacji oraz reagowania).

Również systemy operacyjne stają się coraz bezpieczniejsze. Windows 11 posiada wbudowane narzędzia phishingowe oraz anty malware, a mobilne systemu operacyjne są na bieżąco aktualizowane o łatki zabezpieczeń.

Zobacz również:

• Menedżer haseł - na które rozwiązanie warto postawić w 2024 roku
• Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom
• FBI ostrzega - masowy atak phishingowy w USA

W praktyce okazuje się jednak, że problemem nie są zabezpieczenia, która są bardzo dobre. Największa rola w udanych atakach cybernetycznych przypada czynnikowi ludzkiemu. To właśnie pracownicy organizacji są najsłabszym ogniwem, które bardzo łatwo złamać i przeniknąć do systemów informatycznych organizacji.

Pracownicy są podatni na ataki i mogą popełniać wiele błędów, które prowadzą do poważnych naruszeń danych. Od wielu lat najpopularniejszym rodzajem ataku jest phishing, który polega na inżynierii społecznej i wymaga interakcji ze strony użytkownika. Od wielu lat dużo mówi się o przeciwdziałaniu phishingowi, ale nadal nie udało się zneutralizować tego zagrożenia. Wszystko ze względu na brak odpowiednich szkoleń i budowania strategii cyberświadomości wśród pracowników organizacji.

Większość przedsiębiorstw traktuje szkolenia z cyberbezpieczeństwa "po macoszemu". Odbywają się one cyklicznie np. raz do roku i nie są angażujące dla pracowników. Mało atrakcyjna oraz bierna forma sprawia, że pracownicy nie wynoszą z tego typu szkoleń praktycznej wiedzy, którą mogą zastosować w codziennej pracy.

Kluczem do bezpieczeństwa jest odpowiednia strategia cyberświadomości

W czasach, w których 73% wszystkich incydentów zarejestrowanych przez CERT Polska stanowiły ataki z wykorzystaniem socjotechnik jedynie odpowiednio zbudowana strategia cyberświadomości realizowana w sposób ciągły pozwala na bieżąco reagować na najnowsze zagrożenia.

Program uwrażliwiania pracowników i uświadamiania na tematy związane z cyberbezpieczeństwem w połączeniu z nowoczesnymi zabezpieczeniami to klucz do osiągnięcia wysokiego poziomu bezpieczeństwa cybernetycznego.

Żeby zwalczyć zagrożenia typu phishing, oprogramowanie ransomeware oraz inne nowoczesne typy zagrożeń konieczne jest wdrożenie ciągłego, adaptacyjnego szkolenia z bezpieczeństwa cybernetycznego. Pracownicy organizacji są przeciążeni zdaniami i nie mają czasu na regularne szkolenia. Z tego względu strategia budowania cyberbezpieczeństwa musi polegać na praktycznych przykładach prezentowanych w ciekawej formie, a jednocześnie na krótkim i czytelnym przekazie.

Cztery elementy skutecznej strategii cyberświadomości

Nowoczesna strategia cyberświadomości odpowiadająca na aktualne zagrożenia cybernetyczne powinna skupiać się na czterech kluczowych filarach:

• Świadomości
• Edukacji
• Umiejętnościach
• Kształtowaniu nawyków

W pierwszym kroku należy zbudować świadomość zagrożeń cybernetycznych pośród pracowników organizacji. Trzeba pokazać im, że zagrożenia cybernetyczne istnieją i są poważnym zagrożeniem, a każdy pracownik może mieć ogromny wpływ na zapewnienie bezpieczeństwa całej organizacji. Jedynie działanie zespołowe pozwoli osiągnąć zamierzony rezultat. Strategia cyberświadomości musi obejmować wszystkich pracowników - od stażystów i pracowników na zastępstwo, aż po najwyższe kadry zarządzające, a każdy pracownik powinien odbyć takie same szkolenia.

Gdy w organizacji uda się zbudować świadomość dotyczącą aktualnej sytuacji cybernetycznej na świecie można przystąpić do edukacji pracowników - przekazywania im wiedzy o przeciwdziałaniu tymże atakom. Powinna ona bazować na atrakcyjnych formach takich jak prezentacja symulowanych ataków phishingowych dostosowanych do zajmowanych stanowisk, warsztaty i szkolenia e-mail czy ulotki i interaktywne newslettery przekazywane z wykorzystaniem poczty elektronicznej.

Zdobytą wiedzę pracownicy muszą przekuć w umiejętności. Dobrze zbudowany program świadomości cybernetycznej ułatwia wykorzystanie zdobytej wiedzy w praktyce. Pomocne są dodatkowe aktywności w formie gier i symulacji, które pozwalają w praktyce wykorzystać zdobytą wiedzę bez ryzyka infekcji infrastruktury IT. Konieczne jest zaprezentowanie pracownikom jak wygląda poprawnie przeprowadzony atak cybernetyczny oraz które momenty są kluczowe do jego przeciwdziałania. Pracownicy muszą wiedzieć nie tylko jak zapobiegać cyberatakom, ale również co robić, gdy do nich dojdzie. Jakie procedury bezpieczeństwa wszcząć oraz komu zgłosić incydent.

Ostatnim, najcześciej najtrudniejszym elementem całej strategi cyberświadomości jest zbudowanie zdrowych nawyków wśród pracowników, które pozwalają niemalże automatycznie reagować na najpopularniejsze zagrożenia takie jak np. phishing. Zdobyta wiedza i umiejętności muszą zatem stać się rutyną podczas wykonywania obowiązków służbowych.

W budowaniu zdrowych nawyków przydatne są symulowane ataki phishingowe wysyłane raz na jakiś czas do wybranych pracowników. Element ten pozwala ocenić skuteczność wdrożonego programu Security Awareness, a w przypadku złapania się na phishing zaoferować dodatkowe szkolenia z cyberbezpieczeństwa.

Odpowiednio skonfigurowany oraz wdrożony system Security Awareness pozwala zwiększyć bezpieczeństwo cybernetyczne organizacji, a koszty wdrożenia takie systemu są współmierne do uzyskanych korzyści. Dodatkowo strategia cyberbezpiczeństwa pozytywnie wpływa na zapewnienie ciągłości działania biznesu, która jest niezbędna w aktualnej sytuacji, gdzie większość firm opiera swoją działalność głównie na systemach teleinformatycznych.