Badania pokazują, że firmy coraz częściej padają ofiarą cyberprzestępców. W 2021 r. średnio co 11 sekund jakaś organizacja doświadczała ataku typu ransomware. Przewiduje się, że do 2031 r. będzie się to działo co 2 sekundy1. Aby wzmacniać swoją ochronę, firmy inwestują w coraz bardziej zaawansowane mechanizmy cyberbezpieczeństwa, jednak nawet najlepsze z nich, nie wyeliminują ataków bez najbardziej podstawowego: ludzkiej czujności. Aby stała się ona powszechna, konieczne są skuteczne szkolenia.
Zdecydowana większość pracowników i pracownic na co dzień nie styka się z zagadnieniami dotyczącymi cyberbezpieczeństwa. W natłoku zadań, zwłaszcza tych dobrze znanych i powtarzalnych łatwo przeoczyć zagrożenie i popełnić błąd, który w efekcie może wiązać się z gigantycznymi kosztami dla firmy.
Cyberprzestępcy, choć mają coraz większe możliwości technologiczne, często bazują na dość prostych mechanizmach takich jak np. maile phishingowe - te metody są wciąż skuteczne. Wiele osób nadal nie orientuje się, że dana wiadomość zawiera szkodliwe linki czy załączniki, zwłaszcza kiedy nadawca podszywa się pod osoby pracujące w firmie, korzystając z domeny, która łudząca przypomną tę należącą do organizacji.
- Budowanie wiedzy z zakresu cyberbezpieczeństwa jest dla pracodawców bezdyskusyjną koniecznością. W tym przypadku zdecydowanie sprawdza się powiedzenie, że jesteśmy tak silni, jak nasze najsłabsze ogniwo. Aby stracić cenne i wrażliwe dane wystarczy błąd jednej osoby, dosłownie kilka nieuważnych kliknięć. Konsekwencje mogą być naprawdę dramatyczne, począwszy od wycieku danych, poprzez żądania okupu, a kończąc nawet na wyłączeniu niezbędnej infrastruktury – ostrzega Filip Brzóska, Chief Information Security Officer w Capgemini Polska.
Przestrzegaj podstawowych zasad
Jednym z kluczowych warunków zapewnienia firmie cyberbezpieczeństwa jest zwyczajne przestrzeganie zasad. Większość z nas ma tendencję do trywializowania wielu zakazów i nakazów. Co więcej, niektóre z nich stoją w sprzeczności z naszymi odruchami, przykładem może być tendencja do przepuszczania innych osób w drzwiach. Niestety kurtuazja może doprowadzić do bardzo nieprzyjemnych konsekwencji. Wielu pracowników i pracownic dużych firm nie zna się osobiście, a co za tym idzie, nie jest w stanie stwierdzić ze 100% pewnością, że dana osoba faktycznie pracuje w danym miejscu. Nie bez przyczyny duże organizacje przydzielają karty dostępowe. Wtargnięcie osób z zewnątrz może zakończyć się nie tylko zwyczajną kradzieżą, ale również zaawansowanym cyberatakiem.
- Ludziom należy przypominać również o blokowaniu dostępu do komputerów. Często zdarza się, że chcąc oszczędzić czas zostawiamy urządzenia z pełnym dostępem do ich zawartości i udajemy się na spotkanie biznesowe czy np. do kuchni. Niestety nawet krótka chwila może wystarczyć, aby ktoś wykradł cenne dane – dodaje Filip Brzóska.
Nie zawsze trzeba się dzielić
Kolejnym powszechnym problemem, a wręcz plagą naszych czasów jest dzielenie się wszystkimi informacjami o swoim życiu w social mediach. Eksperci i ekspertki bardzo często ostrzegają, przed publikowaniem treści zawierających wizerunek dzieci czy prywatne informacje. Cyberprzestępcy mogą bardzo łatwo wykorzystać takie materiały przeciwko nam, np. tworząc nieprawdziwe zdjęcia czy filmy wideo z użyciem naszych prywatnych treści.
Dzielenie się służbowymi informacjami może być równie szkodliwe i niebezpieczne – przykładowo, pisząc o swoich klientach czy projektach, możemy nieświadomie zdradzić informacje utajnione w kontrakcie. Dlatego przed zamieszczeniem w mediach społecznościowych jakichkolwiek informacji dotyczących służbowych obowiązków, należy zastanowić się kilka razy, czy aby na pewno nie udostępniamy poufnych treści.
Hasła, hasła, hasła… i jeszcze raz hasła
Powtarzanie w kółko, jak ważne jest ustawianie silnych haseł, wcale nie jest bez sensu - ogromna część z nas wciąż używa tego samego lub bliźniaczo podobnego hasła w kilku miejscach i nie korzysta z uwierzytelnienia wieloskładnikowego.
- O ile, stosunkowo prosto jest wymusić stosowanie tego rodzaju ochrony na kontach służbowych, pracodawca nie ma oczywiście możliwości zrobienia tego na prywatnych kontach mailowych czy w social mediach. Szkopuł w tym, że nieodpowiednio zabezpieczone konta prywatne mogą wyrządzić szkody również w obszarze służbowym. Jednym z zagrożeń jest podszywanie się pod pracowników i pracownice i rozsyłanie w ten sposób wiadomości phishingowych. Kolejnym niebezpieczeństwem jest logowanie się na prywatne, nieodpowiednio zabezpieczone konta na urządzeniach służbowych – opowiada Filip Brzóska.
Istotne, aby pracownicy i pracownice mieli jasno powiedziane, jakiego oprogramowania nie można instalować na służbowych urządzeniach. Zdarza się bowiem, że pobierają pewne elementy na swoje komputery po to, żeby usprawnić swoją pracę. Podobnie wygląda sytuacja, jeśli chodzi o korzystanie z narzędzi dostępnych online. Pozornie „niewinne” programy czy strony internetowe mogą okazać się furtkami dla cyberprzestępców.
Jak dopasować metodę szkoleniową do firmy i osób, które w niej pracują?
- Metody szkoleniowe zawsze należy dopasowywać do branży, w jakiej działa dana firma i do osób, które są w niej zatrudnione. Musimy pamiętać też o tym, że poziom wiedzy w ramach jednej organizacji może być bardzo zróżnicowany, a podstawowym warunkiem skuteczności szkolenia jest to, aby pracownicy i pracownice faktycznie nas wysłuchali. Aby tak się stało, poziom szkolenia musi być dopasowany do ich potrzeb. Warto więc podzielić ich na odpowiednie grupy – rekomenduje Filip Brzóska.
Oto lista zasad, których warto przestrzegać, tworząc szkolenia z zakresu cyberbezpieczeństwa:
1. Zaczynaj już na etapie onboardingu – każda osoba, która zaczyna pracę, musi znać podstawowe zasady bezpieczeństwa w sieci.
2. Korzystaj ze zróżnicowanych form szkoleniowych – przekazuj wiedzę podczas spotkań „na żywo” lub warsztatów online, a także z wykorzystaniem materiałów, z którymi można zapoznać się we własnym zakresie.
3. Sprawdzaj – raz na jakiś czas warto przygotować test sprawdzający wiedzę. To pomoże zmotywować pracowników i pracownice do poszerzania wiedzy i jednocześnie wprowadzić element grywalizacji, a więc dobrej zabawy.
4. Rób próby generalne – najłatwiej uczyć się w praktyce i dlatego warto regularnie przygotowywać testowe kampanie phishingowe i informować o ich efektach. Bardzo często uczymy się zapobiegać oszustwom, kiedy „mleko już się rozlało”. Tworząc „sztuczne” kampanie, możemy szkolić ludzi w bezpiecznych warunkach.
5. Dbaj o bezpieczeństwo fizyczne – od czasu do czasu warto zrobić spacer po biurze i zobaczyć, czy komputery są zablokowane, a karty dostępu schowane w bezpiecznych miejscach.
6. Powtarzaj – nie korzystając z wiedzy na co dzień, powoli ją tracimy. Szkolenia z zakresu cyberbezpieczeństwa powinny być regularnie powtarzane.
1 https://cybersecurityventures.com/top-5-cybersecurity-facts-figures-predictions-and-statistics-for-2021-to-2025/