Najwięcej incydentów, nie zaczyna się od skomplikowanego włamania. Zaczyna się od maila. Od kliknięcia w link, od wpisania hasła w formularz, który wyglądał jak firmowy panel logowania. Albo od rozmowy telefonicznej, w której ktoś podszył się pod dział IT.
Sprzęt był dobry. Firewall był. Antywirus aktualny. A mimo to ktoś wpuścił atak do środka.
Po latach pracy z różnymi firmami mam obserwację, że technologia rzadko jest najsłabszym elementem. Najczęściej problemem jest człowiek, ale nie dlatego, że jest nieostrożny czy niekompetentny. Po prostu nie został przygotowany na to, co go spotka.
I tego nie da się załatwić jedną prezentacją raz w roku – tak jak jest to w wielu firmach robione.
Dlaczego człowiek to najsłabsze ogniwo?
Hasło „człowiek to najsłabsze ogniwo” jest powtarzane tak często, że brzmi jak slogan. Tylko że w rzeczywistości to widać bardzo wyraźnie.
W jednej z firm, z którą pracowałem, atak zaczął się od maila udającego fakturę od znanego kontrahenta. Mail wyglądał dobrze. Logo się zgadzało. Stopka była skopiowana z poprzedniej korespondencji. Nawet numer faktury pasował do schematu.
Pracownik zrobił dokładnie to, co robi codziennie. Otworzył załącznik. W środku był plik Excel z makrami. Jedno kliknięcie i na komputerze pojawił się złośliwy kod. Po kilku minutach ktoś z zewnątrz miał dostęp do skrzynki mailowej. Po kilku godzinach próbował resetować hasła w innych systemach. Tak wygląda codzienność.
Najczęstsze błędy, które widzę w firmach, powtarzają się bez względu na branżę:
- kliknięcie w link do fałszywego panelu logowania
- podanie hasła przez telefon osobie podszywającej się pod dział IT
- wysłanie dokumentów na adres bardzo podobny do prawidłowego
- instalacja programu „bo był potrzebny na szybko”
- ignorowanie ostrzeżeń systemu, bo przeszkadzają w pracy
To nie są błędy wynikające z braku dobrej woli. To brak wiedzy, doświadczenia i praktyki w rozpoznawaniu zagrożeń. I tu pojawia się pierwsza ważna rzecz: nie wystarczy zabezpieczyć systemów. Trzeba przygotować ludzi.
Edukacja vs kontrola
W wielu firmach reakcja na incydenty wygląda podobnie. Po zdarzeniu pojawia się pomysł: zablokujmy więcej rzeczy. Zabierzmy użytkownikom uprawnienia. Wprowadźmy kolejne zabezpieczenia.
To ma sens, ale tylko częściowo.
Jeśli pracownik nie rozumie, dlaczego coś jest blokowane, zaczyna szukać obejść. Wysyła pliki prywatnym mailem. Korzysta z własnych narzędzi. Loguje się z prywatnego komputera.
W efekcie bezpieczeństwo wcale nie rośnie. Często jest gorzej.
Dlatego w praktyce zawsze stawiajmy na połączenie dwóch rzeczy: edukacji i kontroli. Jedno bez drugiego nie działa długo.
Dobre szkolenia z cyberbezpieczeństwa nie polegają na pokazaniu slajdów o wirusach. Nie chodzi o definicje phishingu czy ransomware ale o pokazanie sytuacji, które pracownik faktycznie spotka w swojej pracy.
Na przykład:
- pracownik działu handlowego dostaje mail z prośbą o pilne sprawdzenie zamówienia
- księgowość dostaje korektę faktury od dostawcy
- kadry dostają prośbę o zmianę numeru konta pracownika
To są scenariusze, które zdarzają się codziennie. I właśnie na nich powinno się budować wiedzę.
Szkolenia mają sens tylko wtedy, gdy są dopasowane do tego, jak firma działa na co dzień. Inaczej kończą jako obowiązek do odhaczenia.
Symulacje jako narzędzie nauki
Jednym z najbardziej skutecznych narzędzi, są symulacje socjotechniczne. Wiele osób na początku podchodzi do nich z dystansem. Wydaje się, że to coś „dla dużych firm”.
A prawda jest taka, że w mniejszych organizacjach działają nawet lepiej, bo szybciej widać efekty.
Symulacja polega na tym, że do pracowników wysyłane są kontrolowane wiadomości phishingowe. Wyglądają jak zwykłe maile służbowe. Mają sensowną treść, dopasowaną do kontekstu firmy.
Są to na przykład maile z informacją o zmianie hasła, powiadomienie o nowym dokumencie w chmurze czy wiadomość o niedostarczonej przesyłce.
W tych symulacjach chodzi o sprawdzenie, jak pracownik zareaguje na złośliwą wiadomość.
W jednej z firm, gdzie robiliśmy pierwszą symulację, ponad połowa użytkowników kliknęła w link. Kilka osób podało hasło. To był trudny moment dla zarządu, bo pokazał, jak duże jest ryzyko.
Po szkoleniu i kolejnych symulacjach wynik spadł kilkukrotnie. Po prostu ludzie zaczęli rozumieć, na co patrzeć.
Największa wartość symulacji nie polega na statystykach. Polega na tym, że pracownicy uczą się przez doświadczenie. A to działa dużo mocniej niż teoria.
Budowa cyber-kultury
Największy błąd, jaki widzę w wielu organizacjach, to traktowanie bezpieczeństwa jako projektu. Coś się wdraża, coś się sprawdza i temat zamknięty. W praktyce bezpieczeństwo to proces. I przede wszystkim nawyki.
Jeśli pracownik boi się zgłosić podejrzanego maila, bo ktoś go skrytykuje, to prędzej czy później coś zostanie przemilczane. A to najgorszy scenariusz.
W dobrze działających firmach widać jedną wspólną rzecz: ludzie zgłaszają problemy od razu. Nawet jeśli okaże się, że to był fałszywy alarm.
Budowa takiej kultury nie dzieje się sama. Trzeba ją wspierać.
Jakie konkretne działania warto podjąc?
- najpierw regularne szkolenia, nie jednorazowe
- potem cykliczne symulacje phishingowe
- następnie jasne procedury zgłaszania incydentów
- na końcu analiza wyników i poprawki w systemach
Ważna jest konsekwencja.
Co ogranicza błędy ludzi
Z mojego doświadczenia wynika, że największy efekt daje połączenie kilku elementów. Każdy z osobna pomaga, ale dopiero razem zaczynają zmieniać zachowania.
Najpierw trzeba ludziom pokazać zagrożenia w sposób zrozumiały. Nie przez straszenie, tylko przez konkretne przykłady z ich pracy.
Potem trzeba dać im możliwość popełnienia błędu w bezpiecznym środowisku. Tu właśnie sprawdzają się symulacje.
Na końcu potrzebna jest analiza wyników. Kto kliknął, gdzie były problemy, które działy wymagają dodatkowej pracy.
Dopiero wtedy można mówić o ograniczaniu ryzyka.
Kiedy warto zacząć
Najlepszy moment to nie jest ten po incydencie. Najlepszy moment to wtedy, kiedy firma zaczyna intensywnie korzystać z maila, chmury i pracy zdalnej.
Drugi dobry moment to wdrożenie nowych systemów albo przyjęcie większej liczby pracowników. Nowi ludzie oznaczają nowe ryzyka.
Najgorszy moment to ten po fakcie, kiedy dane już wyciekły albo system przestał działać.
Chciałbyś przeprowadzić test phishingowy w swojej firmie?
Pomagamy firmom dbać o cyberbezpieczeństwo. Przeprowadzimy kampanię phishingową i szkolenie dla pracowników
Sprawdź, czy Twoja organizacja jest odporna!
