Jakie kompetencje w zakresie cyberbezpieczeństwa muszą mieć twoi pracownicy?

Cyberbezpieczeństwo a pracownicy

Zdaniem Cybersecurity Ventures do 2025 r. cyberprzestępczość będzie kosztować świat globalnie aż 10,5 biliona (czyli odpowiednik angielskiego trillion) dolarów rocznie. Dla porównania budżet Stanów Zjednoczonych za okres od 1 października 2022 r. do 30 września 2023 r. wyniósł nieco ponad 6,13 biliona dolarów. 

12(21) 2023 SECURITY MAGAZINE Monika Świetlińska

Nie ma co ukrywać – cyberprzestępczość jest potwornie kosztowna i niszczy świat. Nie tylko w kontekście firm, ale też osób fizycznych. A warto podkreślić, że najczęstszą formą cyberataków są te, które wykorzystują jakieś formy MITM (a man-in-the-middle), czyli czynnik ludzki. Dlatego tak ważne jest, aby twoi pracownicy mieli kompetencje z zakresu cyberbezpieczeństwa. Jednak jakie są to umiejętności?

Rozpoznawanie phishingu – pierwsza linia obrony

Phishing to nie tylko fałszywe maile. To skomplikowana gra socjotechniczna, gdzie atakujący manipuluje ofiarą, by wydobyć poufne informacje czy dane. Pracownicy muszą nauczyć się rozpoznawać te zagrożenia: zwracać uwagę na niespójności w adresach e-mailowych, nietypowe treści, czy podejrzane linki i załączniki. 

Musisz jednak pamiętać, że do phishingu zaliczają się także vishing (oszustwa z wykorzystaniem połączeń głosowych czy nagrań audio), smishing (SMS-y) czy ataki typu BEC lub spear phishing, wymierzone w konkretne osoby w organizacji.

Aby skutecznie się przed nimi bronić, musisz przeprowadzać w firmie regularne audyty, ale też – co ważne – szkolić pracowników w tym kontekście.

Jednak podstawowa świadomość cyberbezpieczeństwa to więcej niż unikanie podejrzanych załączników. Chodzi też o rozwijanie zdrowych nawyków, takich jak korzystanie z oprogramowania antywirusowego i unikanie niebezpiecznych stron, czy korzystanie z unikalnych haseł. Co też zresztą poruszymy.

Zarządzanie hasłami to podstawa

Dzisiaj ośmioznakowe hasło jest możliwe do złamania w mniej niż godzinę, co udowodnił eksperyment eksperta ds. cyberbezpieczeństwa Sama Croleya. Najnowsza karta Nvidii – GeForce RTX 4090 poradziła sobie z deszyfracją hasła ponad dwa razy szybciej niż jej odpowiedniczka z poprzedniej generacji. 

Jednak w  cyberbezpieczeństwie chodzi nie tylko o tworzenie długich i skomplikowanych haseł. Twoi pracownicy muszą wiedzieć, że koniecznie muszą zmieniać hasła regularnie i korzystać z różnych danych dostępowych. A co ważne – powinni też nauczyć się korzystać z menedżerów haseł – najlepiej lokalnych. W końcu zapamiętanie skomplikowanych haseł może być naprawdę trudne. 

Zasady bezpieczeństwa danych

Każdy twój pracownik powinien rozumieć, jak chronić dane firmy. Musisz im wyjaśnić, jak używać szyfrowanych połączeń, kiedy to konieczne, jak tworzyć kopie zapasowe i bezpiecznie udostępniać informacje, np. hasła czy inne dane dostępowe. 

Ponadto istotne są regularne aktualizacje. To niezbędne do ochrony przed nowymi zagrożeniami. Musisz dbać o to, aby twoi pracownicy regularnie aktualizowali udostępnione im urządzenia czy aplikacje. 

Wieloskładnikowa autoryzacja

Niektórzy pracownicy mogą na to marudzić, ale już nawet dwuskładnikowa autoryzacja jest dodatkowym zabezpieczeniem przed cyberprzestępcą. Twoi pracownicy muszą rozumieć, czym jest 2FA, jak z niego korzystać i że dzisiaj jest to niezbędne.

Coraz więcej prób wyłudzenia przez tzw. fałszywe SMS-y Joanna Gościńska

To również ważne w kontekście kont osób, które zarządzają profilami twojej marki w social mediach. Choć nierzadko zarządzają z poziomu swojego prywatnego konta (np. na LinkedInie czy Facebooku)  i nie masz na to wpływu, to warto zasugerować im, żeby włączyli dwuskładnikowe uwierzytelnianie również u siebie. 

Wieloskładnikowe uwierzytelnianie może być naprawdę różne. Nie zawsze są to kody autoryzacyjne generowane SMS-owo czy przez zewnętrzne aplikacje jak Dashlane. Czasem są to np. specjalne „klucze” wpinane do portów USB, czy np. wykorzystanie biometryki. 

Reagowanie na incydenty cyberbezpieczeństwa

Nawet, jednak jeśli twoi pracownicy posiadają wszystkie wspomniane kompetencje, to i tak może się zdarzyć, że coś pójdzie nie tak. W takiej sytuacji również muszą wiedzieć, co robić. Po pierwsze – nie możesz w nich wytworzyć przekonania, że należy się bać cyberataku. O takim zjawisku powinni natychmiast poinformować odpowiedni dział lub osoby w firmie. 

Co ważne – powinni postępować według twojego planu kryzysowego (coś niezbędnego w dzisiejszych czasach), aby wiedzieć, co i kto konkretnie musi wykonać na danym stanowisku. To jak np. przy pożarach czy innych fizycznych zagrożeniach. Dlatego nie ignoruj tego i dokładnie omawiaj z pracownikami swój plan kryzysowy, a także przeprowadzaj regularne szkolenia czy testy. Jak chociażby w przypadku testów alarmów przeciwpożarowych. 

Kiedy zaniedbania kosztują –skutki niewłaściwej ochrony danych. Czy można im zapobiegać?Redakcja politykabezpieczenstwa.pl

Inwestowanie w szkolenia z zakresu cyberbezpieczeństwa to inwestowanie w bezpieczeństwo twojej firmy. Świadomi pracownicy to mniejsze ryzyko udanych cyberataków i lepsza ochrona dla twojej organizacji czy klientów. Pamiętaj, że w świecie cyfrowym, każdy pracownik jest pierwszą linią obrony.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.