Termin Security Awareness funkcjonuje na światowym rynku od bardzo dawna. Już w 1998 roku w dokumencie „NIST Special Publication 800-16” pojawił się świetny opis Security Awareness, który jest aktualny do dzisiaj: „Świadomość nie jest szkoleniem. Prezentacje uświadamiające mają po prostu skupić uwagę na bezpieczeństwie. Prezentacje uświadamiające mają na celu umożliwić osobom fizycznym rozpoznanie problemów związanych z bezpieczeństwem IT i odpowiednią reakcję”.
Mimo to zwrot ten nadal bywa niewłaściwie interpretowany i często wprowadza nas w błąd. Dlaczego tak się dzieje? Security Awareness w bezpośrednim tłumaczeniu oznacza „świadomość bezpieczeństwa” użytkowników systemu informatycznego, czyli pracowników firmy. Zapewne znacie powiedzenie, że „najsłabszym ogniwem systemu bezpieczeństwa jest człowiek”. Bardzo dobrze, bo to prawda. Potwierdzają to jednogłośnie wszystkie raporty światowej branży bezpieczeństwa – z roku na rok coraz bardziej dobitnie.
Jeśli kierując się tą wiedzą, widzicie uzasadnioną potrzebę zajęcia się tym najbardziej zaniedbanym elementem systemu bezpieczeństwa w waszej organizacji, to jesteście na dobrym tropie. Ale jak zamierzacie to zrobić? Z pewnością wiecie już, że w tym celu należy podwyższyć świadomość użytkowników i ich odporność na ataki z wykorzystaniem socjotechniki. Waszym zadaniem będzie więc nauczyć pracowników jak rozpoznawać zagrożenia, aby uniknąć oszustw biorących na celownik człowieka, a nie technologię. To proste, myślicie, wystarczy zorganizować szkolenia lub zakupić odpowiedni e-learning i sprawa załatwiona! Użytkownicy otrzymają potrzebną wiedzę i poznają najlepsze praktyki radzenia sobie z cyberzagrożeniami, dzięki czemu nie dadzą się już nabrać na phishing i inne sztuczki hackerów. Wy zostaniecie przy tym bohaterami, którzy w cudowny sposób uszczelnili raz na zawsze system zabezpieczeń w firmie: od teraz wszyscy będą pracować długo i szczęśliwie w poczuciu dobrze spełnionego obowiązku i niczym niezmąconego spokoju. Piękna wizja sukcesu. Ma tylko jedną wadę – nie zadziała.
Jako ludzie lubimy o sobie myśleć, że postępujemy racjonalnie i logicznie. Niestety to tylko pobożne życzenia – w ciągu ostatnich kilkudziesięciu lat behawioryści dowiedli, że jest wręcz przeciwnie. W rzeczywistości zaledwie ok. 5% naszych decyzji i działań opieramy na w pełni świadomych procesach myślowych. Pozostałe 95% bazuje na reakcjach automatycznych, nawykowych i zakorzenionych głęboko w podświadomości. Ma to swoje plusy i minusy. Do plusów należy zwolnienie mózgu z nieustannego przetwarzania tych samych, regularnie powtarzających się informacji i procesów. Gdyby tak nie było, nasze zapotrzebowanie na energię musiałoby być wielokrotnie większe i niemożliwe do zaspokojenia w żaden naturalny, dostępny nam sposób. Minusem tak diametralnej przewagi automatyzmów w naszym codziennym zachowaniu jest podatność na proste błędy, błędy wynikające z braku odpowiedniej ilości jakościowo dobrych wzorców. Często sami dziwimy się, jak to było możliwe, skoro wszystko zrobiliśmy dobrze, tak jak zawsze… No właśnie, problem w tym, że postąpiliśmy „tak jak zawsze”, ale wystarczy, że zmianie uległ jeden drobny szczegół, na który nie zwróciliśmy uwagi, by efekt był zupełnie inny od zamierzonego.
Oto pierwotny mechanizm, będący jednocześnie siłą i ułomnością istoty ludzkiej. Bez skrupułów wykorzystują go od lat marketingowcy opracowujący kampanie reklamowe, a także cyberprzestępcy przygotowujący kolejne ataki socjotechniczne. Niesłabnąca skuteczność i jednych i drugich wynika z tego, że mechanizm ten jest na stałe wpisany w ludzką naturę i dotyczy każdego bez wyjątku, niezależnie od ilości wiedzy, jaką posiądzie dana osoba. Dlatego ile wysiłku byśmy nie poświęcili na edukację naszych pracowników, to zawsze będzie za mało w obliczu realnej sytuacji zagrożenia. Czy jesteśmy więc nieodwracalnie skazani na łaskę i niełaskę tego naszego biologicznego uwarunkowania? Na szczęście nie do końca.
Wiedząc, jak działa człowiek i czym jest socjotechnika, możemy za pomocą odpowiednich narzędzi i metod wypływających z naukowego zaplecza, świadomie kształtować zachowania i nawyki ludzi dla osiągnięcia pożądanego rezultatu. Dlatego też, aby kampania Security Awareness była skuteczna, musi ona zaadresować i wykorzystać opisany wyżej mechanizm dla wytworzenia odpowiednich odruchów i wzorców zachowań u pracowników. Szkolenia lub e-learningi dostarczające wiedzę są oczywiście potrzebnym, ale z całą pewnością nie jedynym czynnikiem decydującym o powodzeniu programu walki z cyberprzestępczością. Tylko przemyślane, kompleksowe, regularne i długofalowe działania, będące stałym elementem systemu bezpieczeństwa mają szansę odnieść cel. Zmiany zachowań i wyrobienia nowych nawyków to proces, którego nie da się przeprowadzić z dnia na dzień, a raz wykształcone wzorce trzeba regularnie podtrzymywać i wzmacniać, aby nie wygasały z biegiem czasu. Inwestowanie w same szkolenia nie załatwi tematu. Jeśli nawet coś zmieni – co trudno rzetelnie ocenić, nie prowadząc stałego, regularnego pomiaru wyników – to będzie to zmiana nieznaczna i krótkotrwała.
Niezrozumienie tego na samym początku powoduje dalsze błędy w próbach poradzenia sobie z problemem. Niestety, obserwując to, co dzieje się na rynku, widzę, że schemat myślowy „Security Awareness = szkolenia” nadal ma się bardzo dobrze i kwitnie w najlepsze. Próbując zrozumieć ten stan rzeczy, doszedłem do wniosku iż wynika to z niezrozumienia specyfiki problemu i traktowania wiedzy jako celu samego w sobie – podczas gdy w rzeczywistości jest ona tylko jednym ze składników potrzebnych do wypracowania trwałej kultury bezpieczeństwa w organizacji. Skupiając się jedynie na szkoleniach, przepalasz budżet na mało efektywne działania, które w dłużej perspektywie nie przyniosą efektów. Pisałem już o tym w artykule pt. „Security Awareness – jak nie stracić czasu i pieniędzy?”.
Oczywiście nie liczę na to, że już dzisiaj rozprawimy się na dobre z mitem szkoleń z cyberbezpieczeństwa – pracując w tej branży od niemal 20 lat wiem, że to walka z wiatrakami… mimo to jednak zdecydowałem się ją podjąć, bo problem ten jest dziś aktualny, jak nigdy wcześniej. Dlatego w kolejnych artykułach omówię, jak powinien wyglądać dobry program Security Awareness, w jaki sposób należy go wdrożyć oraz prowadzić, by miał realny wpływ na budowanie i wzmacnianie kultury bezpieczeństwa w organizacji. Zapraszam do śledzenia Bloga K4 Consulting i lektury nadchodzących artykułów.
"Łącząc wiedzę, doświadczenie, pasję i zaangażowanie, oferuję i pomagam wdrażać skuteczne rozwiązania wzmacniające kulturę bezpieczeństwa w organizacji - Security Awareness Program."
CZY WIESZ, ŻE DOBRZE WDROŻONY PROGRAM SECURITY AWARENESS
ZMNIEJSZA LICZBĘ INCYDENTÓW SPOWODOWANYCH PRZEZ UŻYTKOWNIKÓW AŻ O 80-90%?
Sprawdź podatność swojej firmy na cyberzagrożenia i zamów bezpłatny test phishingowy
oraz umów się na darmowe konsultacje – wypełnij formularz kontaktowy
zadzwoń lub wyślij nam e-mail, a odpowiemy w ciągu 24 godzin.