Bankowość i Finanse | Cyberbezpieczeństwo | Pracownicy nie rozumieją zasad cyberbezpieczeństwa?
Dane Gartnera powinny stanowić poważny sygnał ostrzegawczy nie tylko dla szefów działów IT, ale również wyższej kadry menedżerskiej. Warto dodać, iż według Verizona, 74% naruszeń danych związanych jest z tak zwanym czynnikiem ludzkim. Pod tym pojęciem kryją się ataki socjotechniczne, błędy lub niewłaściwie użycie urządzeń bądź aplikacji. Niejednokrotnie się zdarza, że nieroztropne zachowanie jednego pracownika prowadzi do strat liczonych w setkach tysięcy złotych. Błędy nie zawsze wynikają ze złośliwości, chęci zemsty czy braku wyobraźni.
Według raportu firmy badawczej ESI ThoughtLab, szefowie aż 87% przedsiębiorstw uważają, że nieświadomi i nieprzeszkoleni pracownicy w największym stopniu przyczyniają się do powodzenia cyberataków. Specjaliści ds. cyberbezpieczeństwa zazwyczaj za taki stan rzeczy obwiniają pracodawców. W ten sposób najczęściej próbuje się tłumaczyć niefrasobliwe postępowanie personelu, które naraża organizacje na cyberataki. Jednak w rzeczywistości sytuacja jest bardziej skomplikowana. Nieprzestrzeganie reguł cyberbezpieczeństwa przez personel może mieć też inne podłoże.
– Wielu ludzi uważa, że ignorowanie polityki bezpieczeństwa jest mało szkodliwe. Bardzo często lubią odwoływać się do wyższych celów, na przykład uzasadniają pobieranie nieautoryzowanego oprogramowania z internetu koniecznością dotrzymania napiętych terminów – tłumaczy Michał Łabęcki z G DATA Software.
Pracownicy często korzystają z aplikacji, komunikatorów czy niezabezpieczonych zasobów sieci bez zgody i wiedzy działów informatycznych. Zjawisko to określa się jako shadow IT. Według Gartnera w 2022 r. około 40% pracowników wykorzystywało rozwiązania technologiczne, nie informując o tym zespołów IT. Analitycy przewidują, że w 2027 r. ten odsetek może wynieść nawet 75%.
Pracownicy działów biznesowych często nie umieją porozumieć się z osobami odpowiedzialnymi za cyberbezpieczeństwo, a czasami po prostu krytykują ich postępowanie. Najczęstsze zarzuty dotyczą niewłaściwej komunikacji oraz niedostosowania polityki bezpieczeństwa do potrzeb organizacji. W takich przypadkach personel zazwyczaj ignoruje zasady ochrony danych i urządzeń.
Nieuczciwe intencje
Według biura prasowego PKO Banku Polskiego, w modelowym świecie zasady cyberbezpieczeństwa powinny być respektowane, jednak faktycznie dochodzi do rozmaitych naruszeń procedur w tym zakresie. Przyczyny takiego stanu rzeczy bywają różne. „Po pierwsze, pracownicy w mniejszych i w większych firmach, chcąc ułatwić sobie codzienne zadania, często kierują się wygodą, ignorują zasady cyberbezpieczeństwa. Przykładem takiego działania może być korzystanie z prywatnych urządzeń do realizacji zadań służbowych, które to urządzenia nie posiadają takich zabezpieczeń jak sprzęt służbowy. Innym powodem naruszania zasad bezpieczeństwa jest brak świadomości pewnych zagrożeń. Edukacja w zakresie potencjalnych zagrożeń, takich jak np. phishing, jest kluczowa, aby pracownicy mogli podejmować świadome decyzje. Wiedza, jak działają cyberprzestępcy oraz umiejętność rozpoznawania podejrzanych wiadomości czy stron www, pozwala chronić m.in. przed udostępnianiem poufnych danych oszustom. Pracownicy powinni zdawać sobie sprawę, że zrozumienie procesów odpowiedzialnych za podejmowanie decyzji czy ocenę zagrożenia – uświadomienie sobie mechanizmów działania na emocje jest dziś jednym z kluczowych kroków do wzięcia odpowiedzialności za swoje (i firmy) bezpieczeństwo w sieci” – napisano w wypowiedzi przesłanej przez biuro prasowe PKO Banku Polskiego.
Odporność pracownika na cyberzagrożenia w miejscu pracy odzwierciedla jego nawyki i zachowania w życiu prywatnym. „Niestosowanie się do zaleceń bezpieczeństwa może wynikać z kilku aspektów: skłonności do bagatelizowania zagrożeń, które nas bezpośrednio nie dotknęły, nadmiaru informacji prowadzącego do nieprzetworzenia i niewdrożenia zdobytej wiedzy, szybkiego tempa życia wymuszającego pośpiech oraz naturalnego oporu przed zmianami wpływającymi na funkcjonowanie w firmie, które wymagają wyjścia ze strefy komfortu” – informuje Bank Pekao.
Aby skutecznie wzmacniać cyfrową odporność, w Banku Pekao wdrożono program edukacyjny cyberPEKAO. Celem programu jest zwiększanie świadomości pracowników na temat cyberzagrożeń oraz angażowanie ich w tworzenie kultury cyberbezpieczeństwa. Bank podejmuje szereg inicjatyw wewnętrznych, które sprawiają, że każdy z pracowników staje się ambasadorem cyberPEKAO i promuje zasady cyberbezpieczeństwa zarówno w pracy, jak i w życiu prywatnym.
Wśród przyczyn naruszeń zasad cyberbezpieczeństwa można jednak wyróżnić problem tzw. insiderów, czyli osób o nieuczciwych intencjach wewnątrz organizacji. Firmy nie powinny zapominać, że wśród pracowników mogą znaleźć się osoby, dla których dostęp do poufnych danych czy zasobów może być traktowany jako możliwość ich nielegalnego wykorzystania dla własnych celów czy nawet interesów grup przestępczych. W tym kontekście ważne jest monitorowanie systemów tak, by identyfikować nietypowe zachowania pracowników.
– Zacząłbym od braku wiedzy i zrozumienia skutków podejmowanych działań przez pracownika. To ważne, aby wymagając od niego prawidłowych zachowań związanych z bezpieczeństwem, zadbać o dostarczenie mu potrzebnej wiedzy. Nie można zostawić pracownika samemu sobie. Firma powinna udostępniać odpowiednie szkolenia uświadamiające zagrożenia, pokazujące przykłady prawidłowych działań i koniecznie wymagać ukończenia takiego szkolenia – jego ukończenie powinno być warunkiem niezbędnym, aby posiadać dostęp do informacji chronionych i systemów komputerowych. Mamy wtedy świadomych pracowników, którzy mają wiedzę, jak prawidłowo się zachowywać i jak unikać zachowań niebezpiecznych – informuje Piotr Miernikiewicz, ekspert ds. Bezpieczeństwa Informacji w Credit Agricole Banku Polska.
Pracownicy działów biznesowych często nie umieją porozumieć się z osobami odpowiedzialnymi za cyberbezpieczeństwo, a czasami po prostu krytykują ich postępowanie. Najczęstsze zarzuty dotyczą niewłaściwej komunikacji oraz niedostosowania polityki bezpieczeństwa do potrzeb organizacji. W takich przypadkach personel zazwyczaj ignoruje zasady ochrony danych i urządzeń.
Jego zdaniem, istotnym czynnikiem sprzyjającym omijaniu reguł ostrożności jest pośpiech. Gdy natłok zadań ogranicza możliwość zatrzymania się i zastanowienia nad niektórymi podejmowanymi krokami, niebezpiecznie zbliżamy się do potencjalnego naruszenia procedur bezpieczeństwa. Na takie błędy liczą przestępcy – automatyzm, pośpiech czy roztargnienie, to źli doradcy. Wówczas e-mail, który wygląda jak wiadomość od znanego dostawcy lub zespołu technicznego, może nie zostać zidentyfikowany jako zagrożenie.
– Możemy pracowników wspierać dodatkowymi narzędziami, aby ograniczyć tego rodzaju ryzyka. Zwykle robi się to dodatkowymi aplikacjami, które działają w tle i pomagają identyfikować zagrożenia, które reagują na podejrzane, niestandardowe zachowania lub wykryte naruszenia reguł bezpieczeństwa. Niemniej musimy pamiętać, że to tylko narzędzie pomagające, a ostatnim ogniwem, na którego pomoc w identyfikacji zagrożeń możemy liczyć, jest właśnie pracownik. Warto o tym pamiętać – twierdzi Piotr Miernikiewicz.
Rola menedżera
Jednym ze sposobów na ograniczenie swobody pracowników mogą być sankcje odstraszające personel przed naruszaniem zasad bezpieczeństwa. Jednak nie zawsze są one skuteczne, zwłaszcza kiedy pracownik nie zdaje sobie sprawy, iż narusza zasady. Wówczas nie obawia się kary. Na przykład szef marketingu zwraca się do działu IT o opracowanie programu służącego do realizacji kampanii promocyjnej online, ale zleceniobiorca nie wywiązuje się ze swojego zadania. Ostatecznie marketer nieświadomie pobiera z platformy internetowej aplikację ze złośliwym oprogramowaniem.
– Bardziej efektywne od sankcji są szkolenia. Choć, aby odnieść pożądany skutek, muszą być odpowiednio dostosowane do poziomu wiedzy uczestników. Kursy złożone są z tekstów, filmów, krótkich wskazówek, jak postępować w przypadku zagrożenia. Z jednej strony mogą to być standardowe szkolenia z zakresu bezpieczeństwa, zaś z drugiej, specjalne kursy dotyczące określonych technik neutralizacji – tłumaczy Michał Łabęcki.
Aby zmniejszyć ryzyko naruszeń spowodowanych przez pracowników, warto prowadzić regularne szkolenia z zakresu cyberbezpieczeństwa. Powinny być one dostosowane do poziomu wiedzy pracowników i obejmować zarówno teoretyczne aspekty, jak i praktyczne ćwiczenia. Szkolenia powinny uwrażliwiać pracowników na techniki manipulacji stosowane przez cyberprzestępców, takie jak phishing czy pretekstowanie. Polityki bezpieczeństwa powinny być jasne, zwięzłe i łatwe do zrozumienia. Warto unikać skomplikowanego żargonu i skupić się na najważniejszych zasadach. Pracownicy powinni być poinformowani o tym, jakie korzyści płyną z przestrzegania zasad bezpieczeństwa, zarówno dla nich samych, jak i dla całej firmy.
– Namawiajmy przede wszystkim, aby sygnalizowali, gdzie kwestie bezpieczeństwa mogą zostać poprawione, wzmocnione. Ale warto skorzystać z ich wiedzy również wtedy, gdy aktualne zasady mają ich zdaniem wpływ np. na niższą efektywność jakichś codziennych działań. To może być okazja, aby zastanowić się, czy i ewentualnie jak mogłyby zostać zmodyfikowane te konkretne reguły bezpieczeństwa. To ważne, bo także wtedy pracownik czuje, że obowiązujące zasady bezpieczeństwa są dla niego, a w żadnym przypadku przeciwko niemu, że są dla niego pomocą, ale i koniecznością – podsumowuje Piotr Miernikiewicz.
