Człowiek. Najsłabsze ogniwo cyberbezpieczeństwa?

Rola szkoleń w zakresie cyberbezpieczeństwa bywa różnie odbierana w środowisku, lecz to właśnie człowiek jest kluczowym elementem każdej organizacji. Warto przy tym podkreślić, że sam instruktaż dotyczący np. rozpoznawania phishingu niekoniecznie bywa dobrym rozwiązaniem - wiedza zdobywana przez określone osoby powinna być dostosowana do poziomu ich kompetencji cyfrowych oraz wykonywanego zawodu. Nie można zapomnieć o tym, że szkolenie musi być przede wszystkim interesujące oraz nieść faktyczną wartość dla osób, które w nim uczestniczą.

Formalności, teoria a realna wiedza

Przede wszystkim nie można wychodzić z założenia, że podpisanie jakiegokolwiek instruktażu, bądź listy zasad automatycznie oznacza stosowanie ich na co dzień. Cyberprzestępcy nie patrzą na np. certyfikat stosowania normy ISO 27001 (standaryzującej systemy zarządzania bezpieczeństwem informacji), lecz na zyski z potencjalnego ataku (ROI, ang. Return on Investment). Działanie niektórych grup ransomware przypomina działalność przedsiębiorstwa.

Cyberbezpieczeństwo należy traktować holistycznie, tzn. patrzeć na wszystkie możliwe aspekty. Jednym z nich jest ludzki wymiar organizacji, który odgrywa ogromną rolę w zapobieganiu incydentom bezpieczeństwa lub w trakcie ich trwania. Można mówić w wyrafinowany sposób o sposobach zabezpieczenia serwerów i innych urządzeń, lecz kluczową rolę odgrywa zrozumienie zaleceń, które są kierowane do każdego z nas.

Przykładowo - uwierzytelnianie dwuetapowe może być odbierane jako przeszkoda w codziennym użytkowaniu służbowego komputera, lecz pewne unaocznienie zagrożeń może wpłynąć na świadomość konkretnej osoby. Nikt z nas nie lubi stosować rozwiązań, których nie rozumie, a zabierają nasz czas.

Ludzka zapora ogniowa i statystyki

Niektórzy twierdzą, że najlepszy firewall (ang. zapora ogniowa) jest „między krzesłem a klawiaturą”. Niemożliwe jest uniknięcie wszystkich rodzajów zagrożeń poprzez rozsądne i odpowiedzialne zachowanie użytkowników sieci, lecz edukacja w zakresie cyberbezpieczeństwa pozwala zmniejszyć liczbę incydentów.

Światowe Forum Ekonomiczne w raporcie o globalnych ryzykach z 2022 roku podało, że 95 proc. „problemów związanych z cyberbezpieczeństwem” jest związane z błędami ludzkimi. CybSafe w artykule z 2020 roku stwierdziło, że błędy ludzkie są odpowiedzialne za 90 proc. wycieków danych w Wielkiej Brytanii. Dane nie dotyczą jedynie phishingu, lecz całej gamy różnych czynności, które warto poddać analizie i szlifowaniu w ramach szkoleń.

Ludzki aspekt działania organizacji

Należy pamiętać o tym, że w przypadku incydentu bezpieczeństwa dużą rolę mogą odegrać również kompetencje miękkie pracowników. Oczywistym jest, że środki techniczne powinny zapobiegać takim sytuacjom, lecz organizacja powinna mieć określone normy działania podczas takich wydarzeń. Użytkownicy powinni wiedzieć jakie anomalie powinni zgłaszać oraz - przede wszystkim - do kogo mają się zgłosić.

Kluczowe jest również zapewnienie użytkowników, że nie będą stygmatyzowani z powodu zgłoszenia np. kliknięcia w podejrzany link. Rola szkoleń jest w tym bardzo duża, wraz z odpowiednią kulturą organizacji.

Podsumowanie

Powyższe przykłady jednoznacznie wskazują, że rola szkoleń w cyberbezpieczeństwie jest ważna. Niemniej warto mieć na uwadze, że powinny one przede wszystkim przynosić realny wpływ na bezpieczeństwo organizacji, dlatego nie mogą mieć formy tzw. „do przeklikania”, bądź stanowić uproczywy i nudny dodatek dla użytkowników.

Potrzeba odpowiedzialnego szkolenia jest słuszną ideą w praktycznie każdej organizacji. Kluczem jest odpowiednie dopasowanie tematyki oraz cykliczność, co nie oznacza jedynie powtarzania ciągle tych samych informacji.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].