Biznes i Finanse

#CyberPaździernik: Symulacje cyberataków jako test bezpieczeństwa. „Nikt nie może o nich wiedzieć”

Fot. Sigmund/unsplash.com
Fot. Sigmund/unsplash.com

Ukształtowanie odpowiednich postaw w codziennym życiu pracowników sprawi, że dobre nawyki zostaną z automatu przeniesione do biur – to jedna z zasad, jakimi powinni kierować się właściciele firm w zakresie budowania cyberbezpieczeństwa swoich kadr. Sposobem na odkrycie poziomu świadomości na temat cyberzagrożeń personelu jest organizacja symulacji cyberataków. Jak poprawnie ją przeprowadzić? 

Październik, okrzyknięty „Europejskim Miesiącem Cyberbezpieczeństwa”, to doskonała okazja, aby zwrócić uwagę na podstawowe zasady związane z cyberhigieną. Ze względu na ten fakt, w sieci pojawiają się liczne poradniki oraz materiały pokazujące, jak uchronić się przed cyberzagrożeniami. Pomimo tego, wielu użytkowników przechodzi obok nich obojętnie, tłumacząc się tym, że „przecież doskonale wiedzą, jak bezpiecznie poruszać się po świecie cyfrowym”.

Problem ten jest szczególnie ważny w czasie popularyzacji pracy zdalnej lub hybrydowej, na którą otwiera się coraz więcej firm. W czasie lockdownu, wynikającego z pandemii koronawirusa, wiele przedsiębiorstw było zmuszonych do przejścia na funkcjonowanie w trybie online.

Jednak spora część z nich na stałe została przy tego typu rozwiązaniach, co rodzi wyzwania przed którymi stoją nie tylko pracodawcy, ale i sami pracownicy.

„Bezpieczeństwo zaczyna się w domu”

Powyższe stwierdzenie powinno na stałe trafić do naszego „poradnika cyberbezpieczeństwa pracy zdalnej”. Niestety, wiele osób o tym zapomina, przez co korzystając ze służbowego sprzętu dla celów prywatnych często naraża firmę na poważne ryzyko – i odwrotnie: używając prywatnych urządzeń na rzecz realizacji swoich obowiązków naraża firmę na straty.

Podatność na zagrożenia może wynikać z np. nieodpowiedniej konfiguracji komputerów czy zaniedbań w zakresie regularnych aktualizacji oprogramowania. Jak temu zaradzić?

Dobre nawyki przenieść w miejsce pracy

Bob Covello, ekspert ds. technologii i analityk InfoSec, w swoim autorskim artykule „Nie ostrzegaj swoich współpracowników o teście phishingowym” wskazuje, że pracodawcom powinno zależeć na tym, aby nauczyć pracowników bezpiecznego postępowania w cyberprzestrzeni nie tylko w czasie godzin roboczych, ale na co dzień, w każdej sytuacji. Ukształtowanie odpowiednich postaw w codziennym życiu sprawi, że dobre nawyki zostaną automatycznie przeniesione do miejsca pracy.

Człowiek najlepiej uczy się wtedy, gdy wiedzę teoretyczną ugruntuje praktycznym działaniem. Dlatego też firmy powinny organizować regularne ćwiczenia z zakresu cyberbezpieczeństwa dla swoich pracowników. Przydatne w tym zakresie są symulacje cyberataków - np. phishingowych, które pomagają ocenić świadomość personelu w kwestii cyberzagrożeń.

„Wyczekiwanie na wiadomość phishingową”

Testy powinny być jednak owiane tajemnicą – nikt poza organizatorami nie powinien dowiedzieć się o ich przeprowadzeniu. Z założenia, aby symulacja okazała się wiarygodnym źródłem wiedzy, musi być zaskoczeniem dla pracowników. W innym przypadku będą mogli się przygotować, co mija się z celem. 

Niestety często dochodzi do sytuacji, gdy jedna z osób, dowiadując się o planowanym ćwiczeniu, ogłasza tę informację wszystkim w firmie. Wówczas w biurach zaczyna się „wyczekiwanie na wiadomość phishingową”.

„To doskonały przykład, jak być dobrym kolegą z pracy. W końcu nikt nie chce wstydzić się, że jest tą osobą, która kliknęła w złośliwy link w ramach testu” – wskazuje Bob Covello.

Ekspert radzi, aby o organizacji ćwiczenia dowiedziała się jedynie niezbędna liczba osób, bezpośrednio zaangażowanych w całą inicjatywę. Chodzi o zminimalizowanie ryzyka przecieku informacji o symulacji, co pozwoli na rzetelną ocenę świadomości i umiejętności pracowników w zakresie cyberbezpieczeństwa. Tylko w ten sposób otrzymane wyniki mogą służyć wyciągnięciu wniosków i zaplanowaniu dalszych działań.

„Musimy uświadamiać pracowników, że ostrzeganie kolegów z pracy o prowadzonych testach jest prawie tak samo złe, jak np. udostępnianie haseł do kont” – tłumaczy Bob Covello, ekspert ds. technologii i analityk InfoSec. 

Tekst powstał w ramach cyklu #CyberPaździernik. Cyberbezpieczeństwo dotyczy nas wszystkich – niezależnie od wykonywanego zawodu i wykształcenia czy miejsca zamieszkania. Nie zapominajmy o tym – nie tylko w październiku, który jest „Europejskim Miesiącem Cyberbezpieczeństwa”.


Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected] Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture. 

image
Fot. Reklama

Komentarze