Cyberbezpieczeństwo firm zależy od ich pracowników. Ekspertki wskazują, co jest najważniejsze

Pod koniec maja na stronie PAP pojawiła się fałszywa depesza, która wkrótce została ujawniona przez służby państwowe jako efekt ataku hakerskiego na agencję. Od tamtej pory temat cyberbezpieczeństwa krąży niczym bumerang w środowisku medialnym. Nie ma się zresztą czemu dziwić - na cyberataki w równym stopniu są bowiem narażone instytucje państwowe, prywatne firmy i my sami jako osoby indywidualne. A konsekwencje wycieku poufnych danych bywają katastrofalne.

Dlatego też tak istotną kwestią jest zadbanie o odpowiednie przygotowanie wszystkich swoich pracowników do funkcjonowania w środowisku internetowym, tym bardziej w kontekście wciąż niezwykle istotnej pracy zdalnej. Jak jednak zauważają autorzy nowego raportu "Identifying cyberrisk factors in hybrid workforce environments" przygotowanego przez Akademię Leona Koźmińskiego, wiele firm nadal lekceważąco podchodzi do zagrożeń cyfrowych.  

Z raportu Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) wynika, że zaledwie 7 proc. polskich firm priorytetowo traktuje kwestie związane z cyberbezpieczeństwem. To zdecydowanie słabszy wynik niż średnia dla całej Unii Europejskiej, która według ENISA wynosi 32 procent.

Czytaj też: Rząd zdecydował o likwidacji Centrum Cyberbezpieczeństwa. To efekt kontroli Ministestwa Sprawiedliwości

Firmy i pracownicy lekceważą temat cyberbezpieczeństwa

Ryzykowne podejście pracodawców powielają też pracownicy. Według ustaleń badaczy z Akademii Leona Koźmińskiego aż 52 proc. Polaków nie zachowuje ostrożności w sieci pracując zdalnie lub hybrydowo. Co więcej, spośród tej grupy trzeba wyróżnić obejmujący 19 proc. odsetek osób, które świadomie narażają pracodawcę na cyberzagrożenia. Czy to oznacza, że w naszym kraju mamy szczególny problem z cyberbezpieczeństwem?

- Uważamy, że Polacy nie są pod tym względem inni od pozostałych narodów. Mamy do dyspozycji tą samą technologię, z której korzystają Francuzi, Kanadyjczycy czy Amerykanie. Różnią się za to ludzie między sobą. Z naszych badań wynika, że istnieją cztery profile pracowników ze względu na podejście do zagrożeń cyfrowych - w rozmowie z Wirtualnemedia.pl zaznacza doktor Karolina Małagocka.

Wśród tych czterech grup znajdują się pracownicy poszukujący ryzyka (19 proc.), nieostrożni (33 proc), ostrożni, którzy nie są świadomi ryzyka (16 proc.) oraz osoby rozsądnie i świadomie korzystające z sieci (32 proc.). Grupa potencjalnie niebezpieczna dla pracodawców obejmuje więc więcej niż połowę badanych. Natomiast zdaniem badaczek nie powinno to prowadzić nas do konkluzji, że cała wina za ewentualny cyberatak spoczywa na pracownikach.

- Od jakiegoś czasu staramy się nie traktować pracowników jako “najsłabsze ogniwo łańcucha” i źródło problemów. Chcemy, żeby otaczająca nas technologia była środowiskiem przyjaznym, dzięki czemu nikt nie będzie czuł, że zawodzi na linii człowiek-komputer. Jest też jednak druga strona medalu. Aby mogło to tak funkcjonować, pracownicy muszą być wyposażeni w odpowiednia wiedzę i narzędzia. Tych możliwości często brakuje. Albo nikt ich nie przeszkolił, albo nikt im nie opowiedział, jak to działa i co w ogóle stanowi zagrożenie - wyjaśnia dr Karolina Małagocka.

- To oczywiste, że dwie grupy mocniej podatne na zagrożenia bardziej się wyróżniają. Osób do wyedukowania jest jednak tak naprawdę ponad 65 proc. Z punktu widzenia poprawnego zarządzania pracownikami przy pracy zdalnej to w gruncie rzeczy optymistyczny wniosek. Ci ludzie potrzebują, żeby ich wyposażyć w odpowiednie narzędzia lub po prostu poszerzyć ich wiedzę. W tym temacie możemy bardzo dużo zdziałać nie tylko przez szkolenia, ale też na przykład VPN-y. Musimy pamiętać, że nie brak na rynku pracowników, którzy nie musieli na co dzień obcować z komputerem. Niekiedy dominuje u nas myślenie korpocentryczne, ale 99,8 proc. polskich przedsiębiorstw to są mikro, małe i średnie firmy - zwraca uwagę mgr Zofia Przymus.

Liderzy bezpieczeństwa i skrajni ryzykanci

Badaczki z Akademii Leona Koźmińskiego nie kryją, że wrzucanie wszystkich pracowników do jednego worka jest poważnym problemem i wbrew pozorom przyczynia się do kreowania środowiska podatnego na zagrożenia. W rzeczywistości ludzie są bardzo różni i potrzebują nieco innego podejścia. Odpowiednia identyfikacja pomoże nam nie tylko wyhaczyć z tłumu najbardziej odpowiedzialnych pracowników, którzy mogą być liderami, ale też wskazać tych, którzy zachowują się najbardziej ryzykownie i wymagają dodatkowej kontroli.

- Istnieją osoby, które mają naturalną tendencję do ignorowania różnego rodzaju ostrzeżeń. Nie mówię tutaj o sabotażystach czy ludziach świadomie działających na szkodę pracodawcy. Chodzi o osoby prezentujące postawę pt. “To ryzyko mnie nie dotyczy”. Nie twierdzę, że należy je ograniczać, ale powinny mieć świadomość, że są stale monitorowane. Jeżeli narażą firmę na koszta związane z cyberatakiem lub choćby będą zachowywać się skrajnie ryzykownie, to pracodawca się o tym dowie - dodaje dr Małagocka.

Sam proces identyfikacji, zwłaszcza w firmach, gdzie praca z komputerem nie jest głównym obszarem działalności, może się okazać czymś niełatwym i wymagającym zebrania ogromnej bazy dany. Dlatego też badacze stworzyli zwalidowane narzędzie mające pomóc w przejściu tego procesu. - To ankieta, którą wypełnia pracownik. Jej wyniki odnosimy do specjalnych wskaźników opracowanych przez nasz zespół badawczy. W ten sposób jesteśmy w stanie ustalić, do której grupy należy pracownik. Przebiega to w taki sposób, że wchodzimy do firmy z audytem, prosimy pracowników przez wypełnienie, my jako jedyni wiemy, kto przynależy do jakiej grupy. Firmy z kolei dowiadują się, która z grup jest najliczniej reprezentowana - opisuje Zofia Przymus.

Jak zabezpieczać firmy przed cyberatakami?

Jak zaznacza doktor Małagocka, wyłonione w trakcie badań cztery grupy pracowników potrzebują nieco innego podejścia jeśli chodzi o zabezpieczenia. Tak zwani “ryzykanci”, jak to już zostało wspomniane, wymagają stałego monitoringu. Ponadto po odpowiedniej identyfikacji część dostępnych działań powinna im zostać zablokowana. Badaczka sugeruje także zastosowanie wobec nich działania, z których korzysta się w bankach i instytucjach finansowych, czyli okresowego audytu komputerów.

Podobnie rygorystyczne zastosowania niekoniecznie będą jednak działać pozytywnie na pracowników spoza tej grupy. Spośród innych strategii wyłapywania błędów w zachowaniach pracowników dr Małagocka wymienia jeszcze tzw. udawane próby phsihingowe, technologię VPN, podwójna autentyfikacja. Osoby mające mniejszą świadomość sytuacji powinny otrzymać ponadto dostęp do dodatkowych programów wspierających.

Czytaj też: Scamy to jedno z największych zagrożeń w internecie. Jak się przed nimi uchronić?

Z drugiej strony warto także uzbroić w dodatkową wiedzę osoby, które już zdają sobie sprawę z zagrożeń i dzięki temu działają z zachowaniem odpowiedniej ostrożności. - To są bardzo wartościowe jednostki w organizacji. Jeśli ich wyposażymy w wiedzę, wyślemy na ciekawe wydarzenie branżowe związane z cyberbezpieczeństwem lub damy im dostęp do bieżących dostęp o zagrożeniach, to mamy szansę uczynić z nich "ambasadorów dobrych zachowań". Oni potem uczą innych pracowników, jak należałoby postępować - wyjaśnia doktor Małagocka.

Żadna firma nie powinna natomiast z góry wszystkiego blokować czy straszyć pracowników, że będą ponosili konsekwencje finansowe w razie błędów. Zdaniem ekspertki Akademii Leona Koźmińskiego nie wywołała to pożądanych rezultatów w całym zespole, a w dodatku tworzy z technologii wroga efektywności i dobrej pracy, co jest drogą donikąd. - Dzisiaj firmy są bardziej narażone na przestoje wywołane przez cyberatak niż zdarzenie losowe takie jak np. pożar. Dlatego powinniśmy cyberbezpieczeństwo traktować jak BHP. Musimy odczarować technologię i wyobrażenie, że osoby korzystające z niej świadomie mają niemal magiczne kompetencje - podsumowuje badaczka Akademii Leona Koźmińskiego.

Rodzaje ryzykownych zachowań w sieci

W toku wywiadów pogłębionych z ekspertami ds. cyberbezpieczeństwa, polscy naukowcy wyłonili 26 ryzykownych zachowań w sieci. Następnie na podstawie badań ilościowych na reprezentatywnej grupie polskich pracowników, podzielili je na trzy kategorie zagrożeń. Pierwsza z nich obejmuje sytuacje wynikające z ludzkich zachowań, np. klikanie w podejrzane linki czy odkładanie aktualizacji oprogramowania. To one właśnie budzą największe ryzyko.

Dalej mamy zagrożenia wynikające z otoczenia, w jakim pracownik wykonuje swoje obowiązki, czyli np. przeglądanie poufnych dokumentów w miejscu publicznym lub uczestniczenie w poruszającej ważne informacje wideokonferencjach bez zastosowania słuchawek. Trzecia grupa wiąże się z danymi dostępowymi, a więc chodzi o tworzenie zbyt prostych haseł, powtarzanie tych samych haseł, loginów i pinów w różnych miejscach czy brak dwuskładnikowego uwierzytelniania.