Cyberhigiena w organizacji: jak zwiększyć czujność pracowników na zagrożenia z sieci?

2/3 pracowników polskich firm korzysta ze sprzętu służbowego w celach prywatnych, a jednocześnie ponad połowa z nich w przeciągu ostatnich pięciu lat nie przeszła żadnego szkolenia z cyberbezpieczeństwa. To wręcz wymarzone warunki dla hakerów, żerujących na ich nieuwadze lub braku doświadczenia: niewinny SMS z obietnicą wygrania nagrody lub fikcyjny mail od przełożonego często otwierają im dostęp do najcenniejszych danych przedsiębiorstwa. Dlatego działy IT i HR wielu firm coraz większą uwagę poświęcają budowaniu tzw. kultury i higieny cyfrowej wszystkich swoich pracowników, a pośrednio: także ich bliskich.

Z TEGO ARTYKUŁU DOWIESZ SIĘ:

CZEMU STATYSTYKI DOT. CYFROWEJ ODPORNOŚCI PRACOWNIKÓW POLSKICH FIRM NIE NAPAWAJĄ OPTYMIZMEM?
KIM NAJCZĘŚCIEJ SĄ OFIARY CYBERPRZESTĘPCÓW ATAKUJĄCYCH FIRMY?
NA CZYM POLEGA WARTOŚĆ REGULARNEGO TESTOWANIA, ANALIZOWANIA I EDUKOWANIA W RAMACH CYBERKNOW?
W JAKI SPOSÓB WŁAŚCIWIE REAGOWAĆ NA PODEJRZANE WIADOMOŚCI CZY PRÓBY WYŁUDZEŃ DANYCH?
W JAKI SPOSÓB INWESTYCJA W ŚWIADOMOŚĆ CYFROWĄ PRACOWNIKÓW ZWIĘKSZA BEZPIECZEŃSTWO I STABILNOŚĆ CAŁEGO PRZEDSIĘBIORSTWA?

Higiena cyfrowa: z jakimi wyzwaniami mierzą się polskie przedsiębiorstwa?

Zacznijmy od mało optymistycznych danych i statystyk, ilustrujących skalę wyzwań, z jakimi mierzą się obecnie działy odpowiadające za bezpieczeństwo oraz odporność cyfrową polskich przedsiębiorstw — niezależnie od ich wielkości czy branży.

Po pierwsze: cyberataki na prywatny biznes to nie „rozdmuchany news”, ale ponura codzienność. W ostatnich latach jego ofiarą padł co piąty polski pracownik, a co trzeci ma taką osobę w kręgu swoich znajomych lub w rodzinie. Pomimo realnego zagrożenia, zaledwie co trzecia firma przeprowadza regularne testy bezpieczeństwa teleinformatycznego. A zasadność takowych dostrzegają sami zainteresowani: 70 proc. pracowników ocenia, że szkolenia w zakresie cyberbezpieczeństwa pozytywnie wpływa na ich poczucie bezpieczeństwa. Mimo to aż 52 proc. osób zatrudnionych w polskich firmach nie wzięło udziału w takim szkoleniu w ciągu ostatnich pięciu lat.

Skutki takiego stanu rzeczy zmuszają do refleksji i mobilizują do działania: mniej niż połowa pracowników deklaruje, że potrafi w odpowiednim momencie zareagować na zagrożenie cyberatakiem. Tylko co drugi korzysta z niepowtarzających się haseł na służbowych kontach i urządzeniach, a dwóch na trzech przyznaje się także do faktycznego użytkowania firmowego sprzętu do celów prywatnych, co dodatkowo potęguje ryzyko dla całej organizacji.

Sprawdź: Nie ma biznesu bez cyberodporności

„Grupy ryzyka” a zasady cyberbezpieczeństwa: kto może być słabym ogniwem w organizacji?

Wyobraźmy lub przypomnijmy sobie pierwszy dzień w pracy: zwłaszcza w dużym przedsiębiorstwie, instytucji czy korporacji. Nowe stanowisko pracy, wiele dokumentów do podpisu, odbiór identyfikatorów i sprzętu służbowego, logowanie się do firmowej poczty. Kolejne dni i tygodnie to proces stopniowego wdrażania się w strukturę i sposób działania organizacji oraz poznawanie swoich bliższych i dalszych współpracowników. Właśnie tacy nowi pracownicy oraz takie momenty stanowią dla cyberprzestępców idealną szansę na dokonanie skutecznego ataku.

Już w trakcie „onboardingu” należy podjąć się choć krótkiego zapoznania nowego pracownika z tematem cyberbezpieczeństwa: tak w firmie, jak i poza nią. Zapoznania ale też sprawdzenia jego poziomu odporności cyfrowej. Jednocześnie otrzymuję od HR listę adresów mailowych i numerów telefonów nowozatrudnionych osób, aby skonfrontować je od razu z ćwiczeniem badającym reakcję na potencjalne zagrożenie cyfrowe. W symulowanej treści maila czy SMS, podpisanego przez osobę, która prowadziła rekrutację lub wprowadzała ich do firmy (a więc którą kojarzą i której ufają), prosimy np. o numer konta bankowego. Dezorientacja i zbytnia ufność powodują, że w około 70 proc. przypadków takowy otrzymujemy– mówi Renata Kania, Lider Zespołu Produktów Security, Główny Specjalista ds. Security Awareness w T-Mobile Polska

Opisana przez ekspertkę T-Mobile procedura stanowi pierwszy, podstawowy etap i element Cyber Know — zaawansowanego narzędzia edukacyjnego i analitycznego służącego do podnoszenia świadomości bezpieczeństwa użytkowników.

CyberKnow, czyli edukacja i trening higieny cyfrowej

Przypomnijmy, że usługa Cyber Know, obejmująca symulowane ataki phishingowe i smishingowe, pozwala na skuteczną identyfikację podatności na tego rodzaju zagrożenia u wszystkich pracowników danej organizacji. Dzięki temu firmy mogą wskazywać im popełnione błędy, uczulać na zagrożenia, śledzić postępy w budowaniu ich odporności na ryzyka związane z możliwymi oszustwami czy cyberatakami.

Przeczytaj: Ochrona pracowników przed atakami phishingowymi i smishingowymi: jak wzmocnić kulturę bezpieczeństwa w firmie?

Co więcej, Cyber Know dostarcza spersonalizowane raporty i szkolenia, umożliwiając klientom dostęp do szczegółowych informacji na temat wyników przeprowadzonych symulacji cyberataków. Użytkownicy mają także dostęp do szkoleń z zakresu cyberbezpieczeństwa. Narzędzie jest dostępne poprzez aplikację webową uruchomioną w infrastrukturze chmury publicznej T-Mobile i pracującą na jej własnych kodach, co zapewnia łatwy i całkowicie bezpieczny dostęp do materiałów edukacyjnych oraz możliwość tworzenia i zarządzania kampaniami phishingowymi i smishingowymi.

Największym atutem Cyber Know jest jego uniwersalność. Każdą firmę tworzą przecież ludzie, posiadający różną wiedzę i odmienne doświadczenia w zakresie świadomości cyberzagrożeń oraz właściwych sposobów reagowania na nie. Z drugiej strony niemal każdy udany atak hakerski wynika właśnie z „błędu człowieka”. Dlatego stworzyliśmy narzędzie, którego celem nie jest wytykanie błędów ani wskazywanie palcem „najsłabszego ogniwa”, tylko konsekwentna praca u podstaw, skutkująca wzrostem bezpieczeństwa całej firmy i wszystkich jej pracowników – wyjaśnia Renata Kania.

Przeczytaj: Cyber Know: edukacja w służbie walki z hakerami

Bezpieczny pracownik w cyberprzestrzeni: od pierwszych szkoleń po codzienną czujność

Działanie Cyber Know można podzielić na trzy, główne etapy: test, analizę oraz edukację. Co istotne, nie chodzi o jednorazowe działanie: opisana powyżej procedura adresowana do początkujących pracowników ma charakter stały, powtarzalny, a nawet zaskakujący użytkowników w najmniej spodziewanych momentach. Hakerzy bowiem nigdy nie śpią – nie powinna również zasypiać nasza czujność.

Test polega na regularnym konfrontowaniu pracowników z wiadomościami łudząco przypominającymi te autentyczne, jakie otrzymują od współpracowników, przełożonych, ale też w ramach kampanii reklamowych czy promocyjnych. Wykorzystywane są w nich techniki socjotechniczne, które znajdują się również w arsenale cyberprzestępców, którzy potrafią perfekcyjnie manipulować emocjami ofiar, takimi jak ciekawość czy strach, aby skłonić je do pożądanych działań.

Warto wiedzieć:

Nikt nigdy nie poprosi o podanie wrażliwych danych czy haseł: ani przełożony czy inny pracownik firmy, ani służby porządkowe, ani instytucja. Nie należy również klikać w podejrzane linki ani logować się do profili służbowych bądź aplikacji. Modelową reakcją jest zgłoszenie podejrzanej wiadomości do dedykowanej jednostki lub/oraz bezpłatny kontakt z numerem telefonu 8080. Służy on do zgłaszania podejrzanych wiadomości do CERT Polska, który pomaga w walce z cyberprzestępstwami.

Dedykowany zespół każdorazowo analizuje reakcję pracownika na symulację ataku hakerskiego. Regularność testów ma znaczenie: często bywa bowiem, że osoba, która wielokrotnie postąpiła zgodnie z pożądaną procedurą (kontakt z Security Operations Center, monitorującym i reagującym na incydenty bezpieczeństwa 24 godziny na dobę przez 365 dni w roku, zgłoszenie do CERT Polska), za którymś razem popełni błąd. Pośpiech, zapracowanie, rozkojarzenie — to czynniki zwiększające naszą ekspozycję na cyberataki. Testowanie i trening powodują, że czujność staje się czymś naturalnym, a zgłoszenie do sprawdzenia danej wiadomości nie jest odczytywane jako panikarstwo czy podejrzliwość, ale akt dojrzałości oraz odpowiedzialności.

Przeczytaj: Stały monitoring bezpieczeństwa z usługą Security Operations Center (SOC)

Jaki jest cel analiz świadomości i bezpieczeństwa pracowników?

Analizy prowadzą do edukacji w postaci czy to rozmów indywidualnych, czy też szkoleń dla grup pracowników. Istotnym jest, aby miały one jak najbardziej praktyczny i życiowy wymiar, a przekazywana wiedza odpowiadała na realne, codziennie wyzwania.

Niedawno na tego typu szkoleniu odeszliśmy od przygotowanej prezentacji na rzecz swobodnej, lecz rzeczowej dyskusji o największych problemach i obawach uczestników. Okazało się, że ich troski obejmują np. dzieciaki i seniorów, którzy są bardzo podatni na wszelkie pułapki zastawiane przez przestępców. Testowanie pracowników przynosi pozytywny efekt dla całego społeczeństwa: oni opuszczają biura, idą do domów i zaczynają zastanawiać się, czy aby ich najbliżsi również są świadomi tych niebezpieczeństw. Inicjują rozmowy, uświadamiają, dzielą się praktyczną wiedzą – stają się edukatorami cyberbezpieczeństwa w życiu prywatnym – dodaje Renata Kania.

Element edukacyjny uzupełnia dostęp do materiałów dydaktycznych, pozwalających pracownikowi samemu dokształcać się w obszarze cyfrowej odporności. Na ukończeniu jest autorska platforma treningowa T-Mobile, umożliwiająca użytkownikom zgłębienie wiedzy w danym obszarze (jak chociażby właściwe ustawianie haseł), uzupełniona filmami, dodatkowymi testami, cennymi analizami eksperckimi.

Warto wiedzieć:

Podnoszenie kompetencji cyfrowych to dodatkowy bonus dla pracowników, czyniące dane miejsce pracy bardziej atrakcyjnym. Jest to również element budowania pozytywnego wizerunku firmy w oczach tak swej załogi, jak i partnerów biznesowych czy konsumentów: jako organizacji odpowiedzialnej, innowacyjnej, rozumiejącej wyzwania współczesności i przywiązującej wagę do kwestii bezpieczeństwa.

Cyberhigiena w kontekście nowych przepisów prawa: kluczowa rola IT i HR

Warto zaznaczyć, że efektywna polityka budowania kultury i higieny cyfrowej w firmie może być prowadzona jedynie na podstawie skutecznej, efektywnej współpracy pomiędzy działami IT i HR. To właśnie one posiadają odpowiednią wiedzę na temat zarówno pracowników, jak i czyhających na nie zagrożeń. Testy, analizy i szkolenia wymagają odpowiedniego, doświadczonego personelu, uzbrojonego w skuteczne narzędzia teleinformatyczne oraz materiały edukacyjne.Cyber Know może być przez nie traktowane nie tylko jako doskonałe wsparcie merytoryczne i technologiczne, ale również odpowiedź na szereg zmian, jakie niesie unijna dyrektywa NIS2. Jej głównym celem jest zapewnienie wyższego poziomu ochrony danych cyfrowych w przedsiębiorstwach działających na obszarze Unii Europejskiej. Nakłada ona na europejskie firmy m.in. obowiązek opracowania koncepcji w zakresie analizy ryzyka i bezpieczeństwa IT, zarządzania incydentami, posiadania własnego systemu zarządzania ciągłością działania oraz gotowości do jego weryfikacji przez odpowiednie instytucje.

Przeczytaj: Nadchodzi NIS2: co musisz wiedzieć o nowych zasadach w cyberbezpieczeństwie

Cyber Know a regulacje prawne w zakresie bezpieczeństwa pracowników

Rozwiązanie Cyber Know w pełni koresponduje z nowymi regulacjami prawnymi, które niesie ze sobą nowa dyrektywa, zwłaszcza w zakresie zwiększenia poziomu bezpieczeństwa sieci i systemów informacyjnych w Unii Europejskiej.

Jednym z najistotniejszych elementów zarówno NIS2, jak i usługi Cyber Know, są bowiem regularne i efektywne szkolenia oraz budowa świadomości zagrożeń wśród pracowników, aby ci byli w stanie rozpoznawać i reagować na próby tych ataków. Dzięki temu będą oni przygotowani na identyfikację potencjalnego ryzyka, odpowiednią reakcję, a także działanie w ramach określonych procedur minimalizujących skutki ewentualnych ataków i możliwie szybkiego przywracania normalnego funkcjonowania firmy. A to właśnie prowadzi wprost do definicji zachowania ciągłości działania biznesu: zadania tak dziś trudnego, co kluczowego dla wszystkich podmiotów polskich i europejskich.

Przeczytaj: Wojna, hakerzy, dyrektywa NIS2 – ciągłość działania biznesu staje się podstawą jego prowadzenia

Źródła: