02.10.2019

Ustawa o KSC – Działania Edukacyjne

Jak spełnić wymagania dotyczące działań edukacyjnych w świetle Ustawy o Krajowym Systemie Cyberbezpieczeństwa

Wstęp

Niniejszy materiał stanowi przybliżenie wymagań wynikających z Ustawy o KSC wraz z omówieniem poszczególnych zaleceń i sugestii wynikających z rekomendacji Rządowego Centrum Bezpieczeństwa.

Jeżeli podejść do tematu w sposób rzetelny to spełnienie wymagań i wdrożenie programu edukacyjnego podnoszącego Kulturę Bezpieczeństwa może nie być takie oczywiste jak się wydaje i raczej nie należy liczyć na to, że sam zakup szkoleń e-learningowych zaadresuje ten temat ale po kolei. Nie będzie krótko ale za to dokładnie.

Ponieważ sama Ustawa o KSC nie definiuje zbyt wiele w temacie opracowania (tylko fakt, że działania edukacyjne powinny być prowadzone i są wymaganiem) głównie oprzemy się o rekomendacje wydane przez Rządowe Centrum Bezpieczeństwa (zwane dalej RCB) zatytułowane „Narodowy Program Ochrony Infrastruktury Krytycznej – Załącznik 1 – Standardy służące zapewnieniu sprawnego funkcjonowania infrastruktury Krytycznej – dobre praktyki i rekomendacje”

Wymagania

Na wstępie muszę pochwalić twórców rekomendacji, że podeszli do tematu z odpowiednią uwagą rozpoczynając rozdział dotyczący edukacji od słów Prowadzenie działań edukacyjnych i uświadamiających jest podstawowym, często niedocenianym i lekceważonym sposobem na zapewnienie bezpieczeństwa IK”. Pokazuje to jak istotnym elementem zgodności z ustawą o KSC jest właśnie ten obszar. „Działania edukacyjne są podstawowym elementem bezpieczeństwa organizacji. Kultura Bezpieczeństwa oznacza współodpowiedzialność członków organizacji za bezpieczeństwo, przejawiające się obserwacją, informowaniem o możliwości jego zagrożenia (brak tolerancji dla zaniechań) i dążeniem do jego poprawy. Kultura bezpieczeństwa obejmuje system wartości, wzorce zachowań oraz wiedzę członków organizacji wraz z ich stosunkiem do tych elementów.” Skoro rekomendacja odnosi się do tematu Kultury Bezpieczeństwa, to warto ten wątek rozwinąć i wyjaśnić co nieco na ten temat.

Kulturę Bezpieczeństwa możemy podzielić na 7 podstawowych aspektów:

1. POSTAWY– myśli, emocje i odczucia pracowników wobec różnych działań związanych z kulturą bezpieczeństwa.

2. KOMUNIKACJA– Sposób komunikacji i wzajemnej interakcji pomiędzy pracownikami, włączając w to wymianę informacji i wzajemne wsparcie w kwestiach bezpieczeństwa oraz raportowanie incydentów.

3. ZGODNOŚĆ– Świadomość obowiązującej polityki organizacyjnej w zakresie bezpieczeństwa informacji, rozumienie jej znaczenia i działanie zgodne z jej wytycznymi.

4. NORMY– Niepisane zasady dotyczące pożądanych zachowań związanych z zachowaniem w kontekście organizacyjnym. Umiejętność oceny, jakie praktyki są odpowiednie i niestwarzające zagrożeń.

5. WIEDZA– Świadomość, wiedza i przekonania pracowników odnośnie praktyk, działań i poczucia własnej skuteczności w dziedzinie kultury bezpieczeństwa.

Te 5 powyższych aspektów wpływa na kolejne dwa, najważniejsze aspekty na które chcemy wpływać:

6. ZACHOWANIE– Rzeczywiste lub planowane działania pracowników mające bezpośredni lub pośredni wpływ na kulturę bezpieczeństwa oraz bezpieczeństwo informacji, w tym zachowania uwzględniające podejmowanie ryzyka.

7. ODPOWIEDZIALNOŚĆ– Poczucie obowiązku lub wejście w rolę wymagającą właściwych zachowań w celu utrzymania kultury bezpieczeństwa.

Brzmi to trochę skomplikowanie ale w skrócie oznacza to, że aby wpłynąć na zmianę ZACHOWANIA użytkowników budując w organizacji ODPOWIEDZIALNOŚĆ za bezpieczeństwo musimy zająć się nie tylko dostarczaniem WIEDZY (czyli szkoleniami i praktycznymi testami budującymi odpowiednie wzorce), ale odpowiednio KOMUNIKOWAĆ wagę tematu bezpieczeństwa w organizacji. W ten sposób budujemy u pracowników ZGODNOŚĆ pozwalającą na zachowanie NORM zapewniających wysoką odporność organizacji na cyberzagrożenia. Ostatnim z elementów o który powinniśmy się zatroszczyć jest wpływanie na pozytywne POSTAWY poprzez zaangażowanie pracowników w proces wzmacniania Kultury Bezpieczeństwa w organizacji (pozytywne zaangażowanie a nie przymus). To tak w telegraficznym skrócie.

Warto pamiętać, że nie da się podnieść Kultury Bezpieczeństwa z dnia na dzień, ponieważ tylko konsekwentne i długofalowe działania mogą zmienić wzorce zachowań użytkowników, stąd też zapis dotyczący działań edukacyjnych w RCB: „stałe działania edukacyjno-uświadamiające dla pracowników”. W końcu mamy do czynienia z czynnikiem ludzkim a jego zmiana to proces wymagający czasu.

Są elementy, których rekomendacje i zalecenia nie opisują a co jest niezmiernie ważne w przypadku Kultury Bezpieczeństwa. Nigdzie nie ma ani słowa na temat monitoringu, pomiaru i analizy ryzyka czynnika ludzkiego. Zdrowy rozsądek i dobre praktyki wskazują jasno na taką potrzebę jako element nieodzowny do oceny skuteczności programu. Co zatem powinniśmy mierzyć?

  1. Monitoring uczestnictwa pracowników w wymaganych szkoleniach
  2. Wyniki ankiet i quizów związanych z bezpieczeństwem
  3. Wyniki praktycznych testów odporności na realne zagrożenia (testy phishingowe, testy w oparciu o przenośne nośniki danych
  4. Statystyki incydentów generowanych przez użytkowników

Na podstawie tych pomiarów powinniśmy dokonywać analizy bieżącego ryzyka oraz analizy w ujęciu historycznym (spadek czy wzrost jest dla nas informacją kluczową).

Trzeba zwrócić uwagę, że sama ustawa o KSC nakłada na IK obowiązek w postaci: prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem”. Jeżeli nie potrafimy oszacować poziomu ryzyka w kontekście czynnika ludzkiego to nie mamy pełnego obrazu ryzyk, więc nie możemy tym ryzykiem zarządzać ani go minimalizować. Jest to aktualne zwłaszcza teraz, gdzie podstawowym wektorem ataku na organizację jest phishing, którego celem jest człowiek. Sygnalizujemy takie powiązanie, więc warto zadbać o pomiar ryzyka zwłaszcza, że nie jest to tak bardzo skomplikowane i kosztowne jak mogłoby się wydawać.

RCB zaleca:działaniami edukacyjnymi należy objąć nie tylko personel, w którego zakresie obowiązków znajdują się zadania z zakresu ochrony IK, ale także ten niezwiązany bezpośrednio z tymi zadaniami. W ochronie IK powinni uczestniczyć wszyscy członkowie organizacji – w reakcji na niekorzystne zdarzenia działania wspomagające są równie ważne jak głównie wykonywane.” Myślę, że ten zapis nie wymaga rozbudowanego komentarza. Każdy z pracowników może stać się potencjalnym źródłem incydentu, dlatego bez wyjątku trzeba objąć programem wszystkich pracowników mających styczność z systemem informatycznym i jest to jedyne, słuszne rozwiązanie.

W kolejnej sugestii RCB opisuje kwestie zaangażowania Kierownictwa organizacji w cały proces: „Należy także rozważyć przygotowanie dedykowanego materiału szkoleniowego podnoszącego świadomość Kierownictwa organizacji. Bez zbudowania odpowiedniego wsparcia ze strony Kierownictwa trudno będzie osiągnąć zakorzenienie systemu bezpieczeństwa w organizacji: problemy z budżetem, a przede wszystkim brak przekonania do konieczności budowy systemu zarządzania bezpieczeństwem mogą znacznie ograniczyć efektywność systemu w organizacji. Stąd konieczność przygotowania materiałów edukacyjno-szkoleniowych także dla Kierownictwa organizacji. Należy także zachęcać Kierownictwo do udziału w bezpośrednich działaniach promujących system zarządzania bezpieczeństwem w organizacji – „przykład idzie z góry”, a więc Kierownictwo w swoich działaniach powinno dawać przykład przestrzegania zasad bezpieczeństwa wprowadzonych w organizacji, a także nawiązywać do systemu zarządzania bezpieczeństwem w komunikacji z załogą (spotkania, newslettery, itp.).” Jest to bardzo ważny element wpływający na skuteczność wdrożenia programu. Większość analiz i raportów pokazuje, że bez udziału Kierownictwa trudno będzie nawet zatwierdzić budżet, bez którego niemożliwa będzie realizacja programu podnoszącego świadomość. Zaangażowanie Kierownictwa w proces podnoszenia Kultury Bezpieczeństwa jest kluczowym elementem często decydującym o sukcesie bądź porażce programu.

Pozostałe zalecenia są jasno sformułowane i dotyczą działań edukacyjnych

„Działania edukacyjne powinny być prowadzone dwuetapowo:

  • ETAP I – podstawowe szkolenie bezpieczeństwa dla rozpoczynających pracę.
  • ETAP II – stałe działania edukacyjno-uświadamiające dla pracowników.

Oznacza to, że każdy nowy pracownik powinien przejść podstawowe szkolenie, czyli takie kompendium wiedzy a później zostać włączony w cykliczne działania edukacyjno-uświadamiające. I tutaj mała uwaga. W momencie startu programu dotychczasowych pracowników potraktować trzeba jak „nowych” i każdy z nich powinien przejść szkolenie podstawowe. Poza tym zalecenie jest jasne i proste w realizacji. Oczywiście warto uwzględnić w całym procesie dotychczasowe działania związane ze zwiększeniem świadomości użytkowników aby nie powielać tych samych tematów (chociaż i tak warto je chociaż po krótce przypomnieć).

Kolejny zapis pokazuje jak ważne jest właściwe podejście w budowaniu elementów programu edukacyjnego. Materiały powinny być proste, atrakcyjne w formie aby zaangażować pracowników w cały proces. Powinno się unikać materiałów przeładowanych niepotrzebną, techniczną wiedzą a skupić się na formie: opis zagrożenia –> jak je rozpoznać –> jak się obronić –> praktyczne przykłady ilustrujące zagadnienie a wszystko to podane w atrakcyjnej i przystępnej dla użytkownika  formie. Opisuje to ten fragment:„Dla zdecydowanej większości personelu organizacji zasady bezpieczeństwa są obce, zazwyczaj stanowią utrudnienie w codziennej pracy, a ich poznawanie może być postrzegane jako nudne i niepotrzebne. Dlatego bardzo ważne jest przygotowanie odpowiedniego, praktycznego i atrakcyjnego programu uświadamiającego.”

A poniższe, ostatnie już zapisy w rekomendacji nie wymagają już specjalnego komentarza:

„Elementami, które mogą się składać na taki program są:

  •  szkolenie podstawowe oparte o schemat:
    •  przedstawienie studiów przypadku,
    •  przekazanie wiedzy teoretycznej,
    •  przeprowadzenie ćwiczeń i warsztatów,
  • przygotowanie i prezentacje krótkich filmów edukacyjnych odwołujących się do podstawowych zasad bezpieczeństwa lub bieżących wydarzeń przedstawiających zagrożenia. Filmy takie mogą być na przykład przedstawiane w intranecie organizacji,
  • rozsyłanie informacji stanowiących alerty zagrożeń, np. na temat rozprzestrzeniającego się wirusa lub metody socjotechnicznej, która jest wykorzystywana przez przestępców komputerowych,
  • rozsyłanie elektronicznego periodyku, który w krótkiej, atrakcyjnej i przejrzystej formie przypomina o zasadach bezpieczeństwa, w szczególności w odniesieniu do bieżących wydarzeń. Innym sposobem rozpowszechniania periodyku jest przedstawienie go w formie krótkiego filmu lub strony interaktywnej,
  • uświadamianie wizualne przez rozwieszanie w organizacji plakatów na temat zasad bezpieczeństwa,
  • konkurs (quiz) z nagrodami.”

I to w zasadzie wszystkie zalecenia, dobre praktyki i sugestie znajdujące się w rekomendacji opublikowanej przez RCB.

Niedługo opublikujemy kolejną, II część artykułu, która wyjaśni  jak przygotować i zrealizować wdrożenie programu edukacyjnego zgodnego z ustawą o KSC oraz zaleceniami RCB a jednocześnie pozwoli podwyższyć ochronę organizacji przez cyberzagrożeniami.

Jeżeli potrzebujesz bardziej szczegółowego omówienia wymagań wynikających z Ustawy o KSC zapraszamy na bezpłatne, indywidualne konsultacje, wystarczy wypełnić prosty formularz kontaktowy: Formularz

Na koniec załączamy adres do treści rekomendacji. Rekomendacja RCB: https://rcb.gov.pl/wp-content/uploads/Standardy-służące-zapewnieniu-sprawnego-funkcjonowania-IK-–-dobre-praktyki-i-rekomendacje.pdf