7-10 minut

Cyberhigiena w organizacji: jak zwiększyć czujność pracowników na zagrożenia z sieci?

2/3 pracowników polskich firm korzysta ze sprzętu służbowego w celach prywatnych, a jednocześnie ponad połowa z nich w przeciągu ostatnich pięciu lat nie przeszła żadnego szkolenia z cyberbezpieczeństwa. To wręcz wymarzone warunki dla hakerów, żerujących na ich nieuwadze lub braku doświadczenia: niewinny SMS z obietnicą wygrania nagrody lub fikcyjny mail od przełożonego często otwierają im dostęp do najcenniejszych danych przedsiębiorstwa. Dlatego działy IT i HR wielu firm coraz większą uwagę poświęcają budowaniu tzw. kultury i higieny cyfrowej wszystkich swoich pracowników, a pośrednio: także ich bliskich.

Z TEGO ARTYKUŁU DOWIESZ SIĘ:
  1. CZEMU STATYSTYKI DOT. CYFROWEJ ODPORNOŚCI PRACOWNIKÓW POLSKICH FIRM NIE NAPAWAJĄ OPTYMIZMEM?
  2. KIM NAJCZĘŚCIEJ SĄ OFIARY CYBERPRZESTĘPCÓW ATAKUJĄCYCH FIRMY?
  3. NA CZYM POLEGA WARTOŚĆ REGULARNEGO TESTOWANIA, ANALIZOWANIA I EDUKOWANIA W RAMACH CYBERKNOW?
  4. W JAKI SPOSÓB WŁAŚCIWIE REAGOWAĆ NA PODEJRZANE WIADOMOŚCI CZY PRÓBY WYŁUDZEŃ DANYCH?
  5. W JAKI SPOSÓB INWESTYCJA W ŚWIADOMOŚĆ CYFROWĄ PRACOWNIKÓW ZWIĘKSZA BEZPIECZEŃSTWO I STABILNOŚĆ CAŁEGO PRZEDSIĘBIORSTWA?

Higiena cyfrowa: z jakimi wyzwaniami mierzą się polskie przedsiębiorstwa?

Zacznijmy od mało optymistycznych danych i statystyk, ilustrujących skalę wyzwań, z jakimi mierzą się obecnie działy odpowiadające za bezpieczeństwo oraz odporność cyfrową polskich przedsiębiorstw — niezależnie od ich wielkości czy branży.

Po pierwsze: cyberataki na prywatny biznes to nie „rozdmuchany news”, ale ponura codzienność. W ostatnich latach jego ofiarą padł co piąty polski pracownik, a co trzeci ma taką osobę w kręgu swoich znajomych lub w rodzinie. Pomimo realnego zagrożenia, zaledwie co trzecia firma przeprowadza regularne testy bezpieczeństwa teleinformatycznego. A zasadność takowych dostrzegają sami zainteresowani: 70 proc. pracowników ocenia, że szkolenia w zakresie cyberbezpieczeństwa pozytywnie wpływa na ich poczucie bezpieczeństwa. Mimo to aż 52 proc. osób zatrudnionych w polskich firmach nie wzięło udziału w takim szkoleniu w ciągu ostatnich pięciu lat.

Skutki takiego stanu rzeczy zmuszają do refleksji i mobilizują do działania: mniej niż połowa pracowników deklaruje, że potrafi w odpowiednim momencie zareagować na zagrożenie cyberatakiem. Tylko co drugi korzysta z niepowtarzających się haseł na służbowych kontach i urządzeniach, a dwóch na trzech przyznaje się także do faktycznego użytkowania firmowego sprzętu do celów prywatnych, co dodatkowo potęguje ryzyko dla całej organizacji.

Sprawdź: Nie ma biznesu bez cyberodporności

„Grupy ryzyka” a zasady cyberbezpieczeństwa: kto może być słabym ogniwem w organizacji?

Wyobraźmy lub przypomnijmy sobie pierwszy dzień w pracy: zwłaszcza w dużym przedsiębiorstwie, instytucji czy korporacji. Nowe stanowisko pracy, wiele dokumentów do podpisu, odbiór identyfikatorów i sprzętu służbowego, logowanie się do firmowej poczty. Kolejne dni i tygodnie to proces stopniowego wdrażania się w strukturę i sposób działania organizacji oraz poznawanie swoich bliższych i dalszych współpracowników. Właśnie tacy nowi pracownicy oraz takie momenty stanowią dla cyberprzestępców idealną szansę na dokonanie skutecznego ataku.

Już w trakcie „onboardingu” należy podjąć się choć krótkiego zapoznania nowego pracownika z tematem cyberbezpieczeństwa: tak w firmie, jak i poza nią. Zapoznania ale też sprawdzenia jego poziomu odporności cyfrowej. Jednocześnie otrzymuję od HR listę adresów mailowych i numerów telefonów nowozatrudnionych osób, aby skonfrontować je od razu z ćwiczeniem badającym reakcję na potencjalne zagrożenie cyfrowe. W symulowanej treści maila czy SMS, podpisanego przez osobę, która prowadziła rekrutację lub wprowadzała ich do firmy (a więc którą kojarzą i której ufają), prosimy np. o numer konta bankowego. Dezorientacja i zbytnia ufność powodują, że w około 70 proc. przypadków takowy otrzymujemy– mówi Renata Kania, Lider Zespołu Produktów Security, Główny Specjalista ds. Security Awareness w T-Mobile Polska  

Opisana przez ekspertkę T-Mobile procedura stanowi pierwszy, podstawowy etap i element Cyber Know — zaawansowanego narzędzia edukacyjnego i analitycznego służącego do podnoszenia świadomości bezpieczeństwa użytkowników.

CyberKnow, czyli edukacja i trening higieny cyfrowej

Przypomnijmy, że usługa Cyber Know, obejmująca symulowane ataki phishingowe i smishingowe, pozwala na skuteczną identyfikację podatności na tego rodzaju zagrożenia u wszystkich pracowników danej organizacji. Dzięki temu firmy mogą wskazywać im popełnione błędy, uczulać na zagrożenia, śledzić postępy w budowaniu ich odporności na ryzyka związane z możliwymi oszustwami czy cyberatakami.

Przeczytaj: Ochrona pracowników przed atakami phishingowymi i smishingowymi: jak wzmocnić kulturę bezpieczeństwa w firmie?

Co więcej, Cyber Know dostarcza spersonalizowane raporty i szkolenia, umożliwiając klientom dostęp do szczegółowych informacji na temat wyników przeprowadzonych symulacji cyberataków. Użytkownicy mają także dostęp do szkoleń z zakresu cyberbezpieczeństwa. Narzędzie jest dostępne poprzez aplikację webową uruchomioną w infrastrukturze chmury publicznej T-Mobile i pracującą na jej własnych kodach, co zapewnia łatwy i całkowicie bezpieczny dostęp do materiałów edukacyjnych oraz możliwość tworzenia i zarządzania kampaniami phishingowymi i smishingowymi.

Największym atutem Cyber Know jest jego uniwersalność. Każdą firmę tworzą przecież ludzie, posiadający różną wiedzę i odmienne doświadczenia w zakresie świadomości cyberzagrożeń oraz właściwych sposobów reagowania na nie. Z drugiej strony niemal każdy udany atak hakerski wynika właśnie z „błędu człowieka”. Dlatego stworzyliśmy narzędzie, którego celem nie jest wytykanie błędów ani wskazywanie palcem „najsłabszego ogniwa”, tylko konsekwentna praca u podstaw, skutkująca wzrostem bezpieczeństwa całej firmy i wszystkich jej pracowników – wyjaśnia Renata Kania.

Przeczytaj: Cyber Know: edukacja w służbie walki z hakerami

Bezpieczny pracownik w cyberprzestrzeni: od pierwszych szkoleń po codzienną czujność

Działanie Cyber Know można podzielić na trzy, główne etapy: test, analizę oraz edukację. Co istotne, nie chodzi o jednorazowe działanie: opisana powyżej procedura adresowana do początkujących pracowników ma charakter stały, powtarzalny, a nawet zaskakujący użytkowników w najmniej spodziewanych momentach. Hakerzy bowiem nigdy nie śpią – nie powinna również zasypiać nasza czujność.

Test polega na regularnym konfrontowaniu pracowników z wiadomościami łudząco przypominającymi te autentyczne, jakie otrzymują od współpracowników, przełożonych, ale też w ramach kampanii reklamowych czy promocyjnych. Wykorzystywane są w nich techniki socjotechniczne, które znajdują się również w arsenale cyberprzestępców, którzy potrafią perfekcyjnie manipulować emocjami ofiar, takimi jak ciekawość czy strach, aby skłonić je do pożądanych działań.

Warto wiedzieć:

Nikt nigdy nie poprosi o podanie wrażliwych danych czy haseł: ani przełożony czy inny pracownik firmy, ani służby porządkowe, ani instytucja. Nie należy również klikać w podejrzane linki ani logować się do profili służbowych bądź aplikacji. Modelową reakcją jest zgłoszenie podejrzanej wiadomości do dedykowanej jednostki lub/oraz bezpłatny kontakt z numerem telefonu 8080. Służy on do zgłaszania podejrzanych wiadomości do CERT Polska, który pomaga w walce z cyberprzestępstwami.

Dedykowany zespół każdorazowo analizuje reakcję pracownika na symulację ataku hakerskiego. Regularność testów ma znaczenie: często bywa bowiem, że osoba, która wielokrotnie postąpiła zgodnie z pożądaną procedurą (kontakt z Security Operations Center, monitorującym i reagującym na incydenty bezpieczeństwa 24 godziny na dobę przez 365 dni w roku, zgłoszenie do CERT Polska), za którymś razem popełni błąd. Pośpiech, zapracowanie, rozkojarzenie — to czynniki zwiększające naszą ekspozycję na cyberataki. Testowanie i trening powodują, że czujność staje się czymś naturalnym, a zgłoszenie do sprawdzenia danej wiadomości nie jest odczytywane jako panikarstwo czy podejrzliwość, ale akt dojrzałości oraz odpowiedzialności. 

Przeczytaj: Stały monitoring bezpieczeństwa z usługą Security Operations Center (SOC)

Jaki jest cel analiz świadomości i bezpieczeństwa pracowników?

Analizy prowadzą do edukacji w postaci czy to rozmów indywidualnych, czy też szkoleń dla grup pracowników. Istotnym jest, aby miały one jak najbardziej praktyczny i życiowy wymiar, a przekazywana wiedza odpowiadała na realne, codziennie wyzwania.

Niedawno na tego typu szkoleniu odeszliśmy od przygotowanej prezentacji na rzecz swobodnej, lecz rzeczowej dyskusji o największych problemach i obawach uczestników. Okazało się, że ich troski obejmują np. dzieciaki i seniorów, którzy są bardzo podatni na wszelkie pułapki zastawiane przez przestępców. Testowanie pracowników przynosi pozytywny efekt dla całego społeczeństwa: oni opuszczają biura, idą do domów i zaczynają zastanawiać się, czy aby ich najbliżsi również są świadomi tych niebezpieczeństw. Inicjują rozmowy, uświadamiają, dzielą się praktyczną wiedzą – stają się edukatorami cyberbezpieczeństwa w życiu prywatnym – dodaje Renata Kania.

Element edukacyjny uzupełnia dostęp do materiałów dydaktycznych, pozwalających pracownikowi samemu dokształcać się w obszarze cyfrowej odporności. Na ukończeniu jest autorska platforma treningowa T-Mobile, umożliwiająca użytkownikom zgłębienie wiedzy w danym obszarze (jak chociażby właściwe ustawianie haseł), uzupełniona filmami, dodatkowymi testami, cennymi analizami eksperckimi.

Warto wiedzieć:

Podnoszenie kompetencji cyfrowych to dodatkowy bonus dla pracowników, czyniące dane miejsce pracy bardziej atrakcyjnym. Jest to również element budowania pozytywnego wizerunku firmy w oczach tak swej załogi, jak i partnerów biznesowych czy konsumentów: jako organizacji odpowiedzialnej, innowacyjnej, rozumiejącej wyzwania współczesności i przywiązującej wagę do kwestii bezpieczeństwa.

Cyberhigiena w kontekście nowych przepisów prawa: kluczowa rola IT i HR

Warto zaznaczyć, że efektywna polityka budowania kultury i higieny cyfrowej w firmie może być prowadzona jedynie na podstawie skutecznej, efektywnej współpracy pomiędzy działami IT i HR. To właśnie one posiadają odpowiednią wiedzę na temat zarówno pracowników, jak i czyhających na nie zagrożeń. Testy, analizy i szkolenia wymagają odpowiedniego, doświadczonego personelu, uzbrojonego w skuteczne narzędzia teleinformatyczne oraz materiały edukacyjne.Cyber Know może być przez nie traktowane nie tylko jako doskonałe wsparcie merytoryczne i technologiczne, ale również odpowiedź na szereg zmian, jakie niesie unijna dyrektywa NIS2. Jej głównym celem jest zapewnienie wyższego poziomu ochrony danych cyfrowych w przedsiębiorstwach działających na obszarze Unii Europejskiej. Nakłada ona na europejskie firmy m.in. obowiązek opracowania koncepcji w zakresie analizy ryzyka i bezpieczeństwa IT, zarządzania incydentami, posiadania własnego systemu zarządzania ciągłością działania oraz gotowości do jego weryfikacji przez odpowiednie instytucje.

Przeczytaj: Nadchodzi NIS2: co musisz wiedzieć o nowych zasadach w cyberbezpieczeństwie

Cyber Know a regulacje prawne w zakresie bezpieczeństwa pracowników

Rozwiązanie Cyber Know w pełni koresponduje z nowymi regulacjami prawnymi, które niesie ze sobą nowa dyrektywa, zwłaszcza w zakresie zwiększenia poziomu bezpieczeństwa sieci i systemów informacyjnych w Unii Europejskiej.

Jednym z najistotniejszych elementów zarówno NIS2, jak i usługi Cyber Know, są bowiem regularne i efektywne szkolenia oraz budowa świadomości zagrożeń wśród pracowników, aby ci byli w stanie rozpoznawać i reagować na próby tych ataków. Dzięki temu będą oni przygotowani na identyfikację potencjalnego ryzyka, odpowiednią reakcję, a także działanie w ramach określonych procedur minimalizujących skutki ewentualnych ataków i możliwie szybkiego przywracania normalnego funkcjonowania firmy. A to właśnie prowadzi wprost do definicji zachowania ciągłości działania biznesu: zadania tak dziś trudnego, co kluczowego dla wszystkich podmiotów polskich i europejskich.

Przeczytaj: Wojna, hakerzy, dyrektywa NIS2 – ciągłość działania biznesu staje się podstawą jego prowadzenia

Źródła:

  1. https://in.eset.pl/cyberportret-polskiego-biznesu 
Cyber Know

Ten artykuł dotyczy produktu

Cyber Know

Przejdź do produktu

Data publikacji: 03.07.2025

Wróć na stronę główną strefy wiedzy

powrót

Chcesz dostawać informacje o nowych wpisach?

Chcesz dostawać informacje o nowych wpisach?

Zostaw swój adres e-mail

Zapisz się do newslettera, żeby
dostawać inforamcje o nowych wpisach

Dziękujemy, dane zostały wysłane.
Wystąpił błąd, spróbuj ponownie później.

Dziękujemy za zapisanie się
do naszego newslettera

Może zainteresuje Cię również nasz profil na LinkedIn

Twoja przeglądarka jest nieaktualna

Może to powodować błędy w działaniu strony.
Zaktualizuj przeglądarkę, żeby poprawnie przeglądać naszą stronę.