Eksperci od lat powtarzają, że najsłabszym ogniwem systemu bezpieczeństwa jest człowiek. Niestety, dopiero od niedawna pojawiają się ciekawe inicjatywy dążące do tego, aby to ogniwo wzmocnić.
Do historii przeszły już e-maile, w których oszuści podszywali się pod nigeryjskich książąt, prosząc o niewielkie datki. Nagrodą dla ludzi z dobrym sercem miały być wysokie sumy pieniędzy. Chyba każdy przynajmniej raz w życiu otrzymał taką wiadomość w swojej skrzynce pocztowej. Niemniej jednak, napastnicy wykorzystują obecnie znacznie bardziej wyrafinowane metody, kusząc potencjalne ofiary bonusami w dyskontach, kartami podarunkowymi czy promocyjnymi cenami biletów na koncerty gwiazd lub mecze reprezentacji narodowej.
Co więcej, hakerzy szybko i łatwo przyswoili ChatGPT, a nawet opracowali nielegalne chatboty – WormGPT czy FraudGPT, przeznaczone między innymi do tworzenia wiadomości phishingowych. W rezultacie oszust pochodzący z dalekich Chin może za pomocą jednego z wymienionych narzędzi wygenerować informację w czystym języku polskim, bez błędów ortograficznych i gramatycznych.
Na drugim froncie walki z cyberzagrożeniami znajdują się zwykli użytkownicy, którzy niemal codziennie padają ofiarą ataków spamowych. Nierzadko słyszymy, że to właśnie ludzie stanowią najsłabsze ogniwo w systemie bezpieczeństwa online. Jednakże w rzeczywistości, choć faktycznie użytkownicy internetu popełniają błędy, to krytyka i zbagatelizowanie tych błędów często prowadzi do powstania niezdrowej relacji pomiędzy nimi a specjalistami ds. cyberbezpieczeństwa. Tworzy się wówczas podziały i antagonizmy, co utrudnia współpracę oraz zrozumienie problemów, z jakimi borykają się codziennie użytkownicy sieci.
- W tej dysfunkcyjnej relacji profesjonaliści mogą być postrzegani jako aroganccy i protekcjonalni, zaś użytkownicy jako bezsilni i niekompetentni. Jednak liczne badania pokazują, że ludzie tak naprawdę nie są naiwni, ale przytłoczeni i źle wyposażeni, niekoniecznie z własnej winy – tłumaczy Julie Haney, Computer Scientist and Human-Centered Cybersecurity Researcher w National Institute of Standards and Technology.
Specjaliści ds. cyberbezpieczeństwa zwykle mają trudności z przekazywaniem pracownikom informacji o nowych rodzajach zabezpieczeń lub podejmowanych przez siebie działaniach. Użycie żargonu technicznego zazwyczaj negatywnie wpływa na zaangażowanie osób w kwestie techniczne. Dodatkowo, mnogość narzędzi służących do ochrony sieci, danych i urządzeń końcowych komplikuje sytuację. Według badania przeprowadzonego przez IBM, ponad połowa ankietowanych zadeklarowała, że wdrożyła w firmie ponad 30 narzędzi bezpieczeństwa IT.
Opinia Julie Haney nie jest odosobniona i podzielają ją zarówno niektórzy szefowie działów IT, jak i producenci systemów bezpieczeństwa.
- Czas zakończyć grę w obwinianie użytkowników i zidentyfikować przyczyny popełnianych przez nich błędów. Nie można wychodzić z założenia, że wszyscy są niekompetentni lub celowo łamią zasady cyberhigieny. Musimy się zastanowić jakie podjąć działania, aby lepiej niż dotychczas wspierać użytkowników naszych produktów. – mówi Robert Dziemianko, Marketing Manager w G DATA.
Gry, testy i opowieści
G DATA opracowała platformę szkoleniową przeznaczoną dla użytkowników końcowych oraz partnerów handlowych. Eksperci przygotowali 36 tematów dotyczących świadomości przestrzegania zasad bezpieczeństwa. Ich treść bazuje na realnych przykładach ataków oraz spotykanych zagrożeniach.
– Treść będzie nieustannie aktualizowana. Planujemy też dodawać interaktywne zabawy uświadamiające, w tym serię gier z kryminalną fabułą. Jej pierwszą wersję pokazaliśmy w maju na targach Learntec. – mówi Robert Dziemianko.
Z platformy korzystają między innymi firmy, które padły już ofiarą cyberataku. Tak było w przypadku Edelrid, producenta lin wspinaczkowych, zaatakowanego przez gang ransomware Locky. Chociaż kopie zapasowe pozwoliły im szybko powrócić do stanu normalności, szefowie doszli do wniosku, że należy lepiej przygotować personel na czyhające zagrożenia.
Niektórzy przedsiębiorcy, zamiast kursów szkoleniowych, przeprowadzają testy phishingowe. Jeśli pracownik rozpozna fałszywy e-mail i zgłosi go odpowiednim osobom, zdaje egzamin. Jednak gdy kliknie na link lub pobierze załączony plik, trafia na dodatkowe szkolenie. Przykładowo firma KnowBe4, zajmująca się bezpieczeństwem, wysłała w ciągu miesiąca testowe e-maile do 17 600 pracowników z informacją o możliwości zamówienia biletów na koncert Taylor Swift. Zareagowało kliknięciem w link 533 osoby.
Z kolei Rick Wash, profesor nadzwyczajny na Uniwersytecie Wisconsin, uważa, że lepsze niż testowanie pracowników jest opowiadanie prawdziwych historii na temat cyberataków. Szczególnie dobrze na wyobraźnię słuchaczy działają opowieści o znajomych, którym na przykład zhakowano kartę kredytową lub zaszyfrowano rodzinny album ze zdjęciami. Wash przeprowadził badanie wśród blisko 700 osób, z którymi rozmawiał o wirusach komputerowych, naruszeniach kont internetowych, phishingu czy kradzieży tożsamości. Trzy czwarte uczestników stwierdziło, że wyciągnęło ważną lekcję na temat cyberbezpieczeństwa, a ponad połowa przyznała, że zmieniła swoje myślenie i działania związane z ochroną danych i urządzeń.
——-