Joanna Tymczyj
W zmiennym i zdigitalizowanym środowisku biznesowym edukacja z zakresu cyberbezpieczeństwa staje się priorytetem. W miarę rozwoju firm i ich transformacji cyfrowej wzrasta ryzyko zagrożeń cybernetycznych. Na początku 2021 roku, gdy wiele osób przeszło na zdalny model pracy, liczba ataków na VPN wzrosła o prawie 2000%. Rosną także koszty wywołane naruszeniem firmowych danych. W organizacjach, w których połowa pracowników działa zdalnie, średni koszt cyberataku wyniósł 4,37 mln USD. Aby móc zagrożeniom skutecznie przeciwdziałać, warto edukować systemowo. To wspólne wyzwanie działów L&D, prawnego i IT Security. Jak mu sprostać w 2023 roku?
Edukacja o cyberprzestępstwie to budowanie świadomości
Najczęstszym rodzajem cyberataków wciąż jest phishing. Według danych zebranych przez CERT Polska, w roku 2022 zostało zgłoszonych niemal 35 tysięcy zdarzeń tego typu. To wzrost o 37% w porównaniu do roku 2021. Jednak internetowi przestępcy wciąż tworzą coraz to nowsze i sprytniejsze sposoby na pozyskanie dostępu do danych. Właśnie dlatego ważne jest tworzenie wewnętrznych procedur, które będą wspierały cyberbezpieczeństwo i compliance w organizacji.
Z właściwymi systemami bezpieczeństwa organizacja powinna być odporna na wiele typowych zagrożeń. Mimo wszystko należy pamiętać, że również pracownicy powinni umieć odpowiednio zareagować na próby ataku. Według badania Cyber Security Breaches Survey przeprowadzonego przez rząd Wielkiej Brytanii, od 90% do 95% wszystkich naruszeń bezpieczeństwa cybernetycznego ma miejsce w wyniku błędu ludzkiego. Według prognoz na rok 2023 to właśnie ataki wykorzystujące ludzką omylność będą stale ulepszane i testowane przez przestępców. Z tego powodu organizacje powinny postawić na edukację i budowanie świadomość pracowników w tym obszarze.
Według prognoz na rok 2023 organizacje powinny dokładnie przyjrzeć się: odpowiedniej konfiguracji działań w chmurze, ochronie przed atakami ransomware, zabezpieczeniom oprogramowania open source, wyznaczaniu stref bezpieczeństwa w pracy hybrydowej, a także edukacji użytkowników systemów.
Zobacz, jak możesz edukować o cyberbezpieczeństwie i zapewniać compliance w dużych organizacjach za pomocą platformy szkoleniowo-rozwojowej, zawsze dostępnej dla pracowników.
Zasady cyberbezpieczeństwa przeszkadzają pracownikom?
Jak podkreśla ekspertka z zakresu cyberbezpieczeństwa Paula Januszkiewicz, ten obszar w firmie nie ogranicza się tylko do technologii. To również świadomość i odpowiedzialność pracowników, określone procedury, w tym nawet sposób pozyskiwania talentów i standardy pracy działów HR. To cały ekosystem, który powinien być zrozumiały i jak najbardziej komfortowy dla pracowników.
Tymczasem niemal 20% respondentów z Polski uważa, że praca w zgodzie ze standardami cyberbezpieczeństwa jest skomplikowana, ponieważ wymaga dopełniania szczegółowych i żmudnych procedur. Z kolei 10% wciąż uważa ten obszar za stratę czasu, który mogliby poświęcić na inne czynności. Te dane wskazują, jak ważne jest budowanie świadomości i regularne edukowanie pracowników w zakresie cyberbezpieczeństwa „just in time”, a także cykliczne szkolenia.
Edukacja o cyberbezpieczeństwie w firmie – kluczowe elementy
-
Plany szybkiego reagowania
Firmy powinny zwrócić szczególną uwagę na docieranie z informacjami do odpowiednich grup pracowników. Dotyczy to szczególnie tych organizacji, które obsługują wrażliwe dane bezpośrednich klientów, np. placówki medyczne czy instytucje finansowe. W polskim sektorze bankowym liczba ataków dochodzi do kilku tysięcy tygodniowo, a przestępcy wciąż wymyślają nowe sposoby pozyskania tajnych danych z firm. Upewnienie się, że aktualne informacje i ostrzeżenia docierają do konkretnych pracowników na czas, pozwoli zachować większe bezpieczeństwo. Istotny jest także łatwy dostęp do procedur i sposobów postępowania w nagłych wypadkach. Takie narzędzia, jak baza wiedzy, pozwalają umieścić wszystkie niezbędne procedury i plany działania kryzysowego w ogólnodostępnym miejscu, a także udostępniać je konkretnym pracownikom.
-
Jak wiele wiesz o cyberbezpieczeństwie, pracowniku?
Praktycznie każdy z pracowników jest odpowiedzialny za cyberbezpieczeństwo w organizacji. Wartym uwagi narzędziem są cykliczne ankiet, przeprowadzanie np. w ramach audytu cyberbezpieczeństwa. Badanie poziomu świadomości pracowników pozwoli poznać ich punkt widzenia, elementy, które wymagają wzmocnienia w firmie, a także pomysły na usprawnienie i uszczelnienie całego systemu. Edukacja o cyberbezpieczeństwie to także monitorowanie poziomu wiedzy pracowników za pomocą testów. Te pozwalają nie tylko przygotować ich na różnego rodzaju ataki, ale zaliczenie tekstu jest często wymaganą procedurą gwarantującą compliance.
-
Szkolenia i cyberhigiena
Cykliczne działania edukacyjne z zakresu cyberbezpieczeństwa z jednej strony stają się wymogiem, który należy spełnić. Z drugiej strony mają ogromny potencjał i realnie pomagają organizacji zadbać o zabezpieczenie wewnętrznych danych. Każde stanowisko w firmie wymaga dostępu do innych informacji, a certyfikaty wygasają w różnym czasie dla każdej osoby. Dzięki wykorzystaniu platform rozwojowych pracownicy mogą zdobywać wiele informacji w dogodnym dla siebie miejscu i czasie. Ponadto są automatycznie powiadamiani o wygaśnięciu certyfikatów i konieczności odbycia nowego szkolenia. Zagrożenia cybernetyczne wciąż ewoluują, dlatego wiedza pracowników powinna być stale aktualizowana. Szkolenia i kursy online wzmacniają świadomość pracowników, ponieważ pozwalają kształtować dobre nawyki i cyberhigienę w miejscu pracy. Jest to sposób na przypomnienie m.in. o konieczności zmiany haseł, zasadach korzystania ze sprzętu firmowego lub zagrożeniach związanych z korzystaniem z darmowego i publicznego Wi-Fi.
-
Ręka na pulsie
Badanie poziomu zapoznania się z odpowiednimi procedurami i szkoleniami w organizacji to niezbędny element do budowania kultury compliance i sprawdzenia na jakim poziomie jest wiedza o cyberbezpieczeństwie w firmie. Przykładowo w platformie HCM Deck stosujemy do tego celu monitorowanie, kto zapoznał się z danym szkoleniem, jak przebiegają jego postępy, a także wychwytywać trudności lub opóźnienia w jego realizacji. Te dane pozwalają dbać o cyberbezpieczeństwo w firmie, a także dają pracownikom komfortowy i łatwy dostęp do aktualnych informacji oraz szkoleń.
Sztuczna inteligencja a cyberbezpieczeństwo w firmie
Jak wynika z badań opublikowanych we wrześniu 2022, 79% organizacji doświadczyło w ciągu ostatnich 18 miesięcy co najmniej jednego incydentu związanego z bezpieczeństwem, który skutkował stratami finansowymi lub naruszeniem danych. Między innymi z tego powodu aż 45% zarządów firm zwiększa w tym roku swoje budżety na zabezpieczenie informacji o minimum 10%.
Specjaliści zajmujący się tematem edukacji o cyberbezpieczeństwie w firmach zwracają uwagę, że sztuczna inteligencja oraz nowe narzędzia technologiczne pozwalają przestępcom coraz precyzyjniej określać słabe strony organizacyjnych systemów. Według prognozy na 2023 rok, w najbliższym czasie możemy spodziewać się coraz to nowych sposobów oszustwa m.in. wykorzystujących technikę deepfake. Ta sytuacja ma jednak swoją pozytywną stronę, ponieważ tak szybko, jak powstają nowe strategie ataków, tak szybko wdrażane są narzędzia, które pozwalają się przed nimi obronić. Zwracając przy tym szczególną uwagę na znaczącą rolę pracowników w tym procesie.
Systemowe podejście do edukacji w zakresie cyberbezpieczeństwa musi stać się priorytetem. Mowa tu między innymi o wzmocnieniu komunikacji kryzysowej. Zapewnieniu konkretnym grupom dostępu do aktualnych kursów oraz informacji. Jak i analizowaniu danych na temat realizowanych kroków szkoleniowych i poziomu świadomości pracowników. W roku 2023 to właśnie te działania pozwolą firmom ograniczyć straty związane z atakami.
Alina Windyga-Lapinska
Alicja Pawliczak
