Cyberkultura w firmie zaczyna się i kończy na człowieku. A bez niej polskie firmy są podatne na cyberprzestępców

Myli się ten, kto sądzi, że cyberkultura to procedury i sprzęt, który jest niezbędny, aby czuć się w miarę bezpiecznie w kontakcie ze swoim sieciowym otoczeniem. Cyberkultura bowiem wywodzi się nie tyle z użytych technologii, ile z wartości, które kultywuje się w firmie, traktując kwestie ochrony cyfrowej jako ważną część życia.

Na ten temat dyskutowaliśmy podczas redakcyjnej debaty w ramach naszego cyklu „Cyberbezpieczeństwo – dane są wszystkim”.

Czym jest więc cyberkultura?

– To zbiór zachowań, które organizacja akceptuje i tych, których nie toleruje. To nie tylko spis zasad, ale coś, co siedzi w DNA firmy – streszcza Robert Zyskowski, CTO Grupy Symfonia.

Właśnie dlatego cyberbezpieczeństwo nie może być traktowane jako zadanie do odhaczenia. Musi być wszyte w codzienne życie organizacji – od strategii po decyzje operacyjne. Zresztą nie tylko w ramach organizacji, ale również w kontakcie z jej kontrahentami czy interesariuszami. Chodzi o to, aby wszyscy pracownicy czuli się odpowiedzialni za bezpieczeństwo i wiedzieli, jak się zachować, gdy coś pójdzie nie tak.

Niektórzy mówią, że ich głos się nie liczy, bo jest tylko jednym z wielu. Ale w kulturze odpowiedzialności każdy głos ma znaczenie – bo każdy może być tym, który zapobiegnie incydentowi.

– Niektórzy mówią, że ich głos się nie liczy, bo jest tylko jednym z wielu. Ale w kulturze odpowiedzialności każdy głos ma znaczenie – bo każdy może być tym, który zapobiegnie incydentowi – tłumaczył Maciej Siciarek, dyrektor pionu CSIRT w NASK.

Tarcza i ludzie

– Sama technologia jest jak tarcza, ale to, czy wpuścimy za nią zagrożenie, zależy od człowieka – przekonywała Dominika Bucholc, ekspertka w zakresie strategii cyfrowych.

Nawet najlepsze systemy nie ochronią bowiem firmy, jeśli pracownicy nie będą świadomi zagrożeń i nie będą wiedzieli, jak reagować na incydenty. Dlatego tak ważne jest, jak przekonuje Dominika Bucholc, projektowanie systemów z myślą o użytkownikach – tzw. security by design. Ale równie istotne jest budowanie mentalności, w której każdy pracownik, od stażysty po członka zarządu, rozumie swoją rolę w systemie bezpieczeństwa. To właśnie ludzie są najsłabszym lub najmocniejszym ogniwem.

– Cyberbezpieczeństwo to nie tylko IT. To HR, sprzedaż, marketing, procurement – każdy dział ma swoją rolę. Hakerzy nie czekają na rocznicę naszego szkolenia, atakują w codziennej rutynie – zauważa Małgorzata Domagała, Vice President, dyrektorka ds. produktów i rozwiązań Mastercard na Polskę, Czechy i Słowację.

– I dlatego ważne jest budowanie świadomości. To ona kształtuje odporność na realne zagrożenia – dodaje Robert Grabowski, szef CERT Orange Polska.

Odpowiedzialność nie może być rozmyta

Wielu uczestników debaty podkreślało, że cyberbezpieczeństwo to odpowiedzialność wszystkich – ale nie może to oznaczać, że skoro to sprawa dotycząca wszystkich, to nikogo to tak naprawdę nie obchodzi.

– Kluczowe jest, aby na poziomie zarządów następowało rozpoznanie, gdzie w firmie ustawiony jest „suwak” cyberkultury. I z tego, gdzie on się znajduje, wynikać powinna różnorodność działań, które mogą być realizowane w ramach budowania świadomości zabezpieczeń. Choć może trudno w to uwierzyć, mamy bardzo wiele przypadków, w których w ogóle nie wiadomo, kto w firmie odpowiada za bezpieczeństwo. Jest bardzo wiele organizacji, firm, w których panuje w tym zakresie chaos – stwierdza Maciej Siciarek.

Właściciele firm albo nie mają świadomości dbania o cyberbezpieczeństwo, albo nie wiedzą, co powinny zrobić i kto ma się tym tak naprawdę zająć. Według naszego badania w ostatnich dwóch latach co najmniej 15 proc. małych i średnich firm zostało zaatakowanych przez cyberprzestępców.

– Przeprowadziliśmy badania wśród małych i średnich firm na temat ich cyberodporności. Wyniki dają do myślenia. Właściciele firm albo nie mają świadomości dbania o cyberbezpieczeństwo, albo nie wiedzą, co powinny zrobić i kto ma się tym tak naprawdę zająć. Według naszego badania w ostatnich dwóch latach co najmniej 15 proc. małych i średnich firm zostało zaatakowanych przez cyberprzestępców. Z drugiej strony 60 proc. ankietowanych przedsiębiorców przyznało, że nie wiedzą, w jaki sposób mogą ograniczyć konsekwencje takich ataków. I jeszcze jedna zatrważająca informacja: gros tych firm ogranicza się do zażegnania skutków ataku i nie wyciąga wniosków na przyszłość – dodaje Małgorzata Domagała z Mastercard.

– Jeśli na poziomie zarządu obowiązuje podejście typu tick the box, to każdy będzie udawał, że bezpieczeństwo jest, a tak naprawdę go nie będzie. W organizacjach, które robią to z głową, widać, że temat cyberbezpieczeństwa nie jest traktowany jako koszt. Widać ton, jaki nadawany jest tym sprawom. A skoro przykład idzie z góry, to potem widać to też u pracowników – przekonuje Szymon Grabski, dyrektor w PwC Polska.

Jeśli na poziomie zarządu obowiązuje podejście typu tick the box, to każdy będzie udawał, że bezpieczeństwo jest, a tak naprawdę go nie będzie. W organizacjach, które robią to z głową, widać, że temat cyberbezpieczeństwa nie jest traktowany jako koszt.

W firmach, które traktują temat poważnie, bezpieczeństwo jest wpisane w cele pracownicze, a zarząd regularnie analizuje wskaźniki bezpieczeństwa. W takich organizacjach pracownicy wiedzą, że ich głos się liczy i że zgłoszenie incydentu nie będzie powodem do wstydu, lecz dowodem odpowiedzialności.

– U nas cyberbezpieczeństwo jest priorytetem zero. Dlatego regularnie robimy przegląd bezpieczeństwa z udziałem prezesa, dyrektorów i zespołu security. Patrzymy na podatności, incydenty, reakcje. Nie zamiatamy problemów pod dywan – opowiada o swoich praktycznych doświadczeniach Robert ZyskowskiCTO Grupy Symfonia.

Strach i zysk – edukacja przez emocje

W debacie wielokrotnie podkreślano, że skuteczna edukacja nie polega na przekazywaniu informacji, lecz na budowaniu doświadczeń. Zaś najskuteczniejsze ataki bazują na emocjach: strachu, presji czasu, poczuciu zagrożenia lub obietnicy zysku.

– Jeśli dostajemy maila z ZUS-u o niezapłaconej składce, to ciśnienie rośnie. Klikamy, zanim pomyślimy – mówi Dominika Bucholc.

To właśnie dlatego testy phishingowe organizowane w celu podniesienia poziomu bezpieczeństwa cyfrowego powinny być realistyczne, osadzone w codzienności pracownika.

– W ramach testów wysłano maile o zakwestionowanym urlopie – tuż przed sezonem wakacyjnym. Efekt? Wiele osób kliknęło. Ale dzięki temu na własnym błędzie nauczyli się, jak wygląda prawdziwe zagrożenie – opowiada Małgorzata Domagała.

Symulacja phishingu jest też okazją do wyłapania firmowych absurdów.

– Nasze najlepsze symulowane ataki tego typu osiągały skuteczność ponad 90 proc. Ale raz zdarzyła nam się skuteczność stuprocentowa. Byliśmy tym autentycznie zdumieni. Atak polegał na tym, że wysyłaliśmy wiadomości, podając się za kandydatów do pracy, a w treści maila wklejaliśmy zawirusowanego linka do CV. Okazało się, że dział HR w podmiocie, z którym pracowaliśmy, miał wewnętrzną instrukcję nakazującą (!) klikanie w linki do CV. To pokazuje, że cyberbezpieczeństwa nie należy rozpatrywać w kategoriach punktowych, ale systemowych – opowiada Szymon Grabski z PwC.

Nauka i rywalizacja

W wielu firmach stosuje się dziś m.in. gamifikację, testy socjotechniczne, a nawet szkolenia w VR. Przykładowo w polskim oddziale Mastercard pracownicy otrzymują kwartalne security score, który pokazuje, jak radzą sobie z cyberhigieną. Wskaźnik uwzględnia m.in. reakcje na testy phishingowe, zgłoszenia podejrzanych wiadomości, a nawet przestrzeganie zasad typu clean desk policy.

– Ta metoda działa, ponieważ pracownicy mogą zweryfikować swoją odporność na zagrożenia w praktyce. Dostają konkretną informację zwrotną, analizują swoją historię, porównują się z innymi. Tego typu zachowania budują także zaangażowanie – mówi Małgorzata Domagała z Mastercard.

Zaufanie zamiast strachu

W wielu organizacjach pracownicy boją się zgłaszać incydenty – z obawy przed karą lub kompromitacją. Tymczasem, jak pokazują statystyki, to właśnie użytkownicy często jako pierwsi zauważają nieprawidłowości.

– Według badań np. 39 proc. pracowników w Wielkiej Brytanii nie zgłasza incydentów z obawy przed reprymendą – komentuje Małgorzata Domagała z Mastercard.

Dlatego tak ważne jest, by komunikacja była jasna, a reakcje na błędy konstruktywne.

Nie zawsze incydenty wykrywa technika czy monitoring. To zależy od pracowników, którzy mają poczucie odpowiedzialności za miejsce, w którym pracują. Ta świadomość, że ja wiem, co zrobić, gdzie i komu to zgłosić, dokąd z tym pójść, jest bardzo istotna.

– Nie zawsze incydenty wykrywa technika czy monitoring. To zależy od pracowników, którzy mają poczucie odpowiedzialności za miejsce, w którym pracują. Ta świadomość, że ja wiem, co zrobić, gdzie i komu to zgłosić, dokąd z tym pójść, jest bardzo istotna – przekonuje Robert Grabowski z CERT Orange Polska.

Ważne jest też, by ćwiczenia socjotechniczne nie były narzędziem do piętnowania, lecz do nauki.

– Jeśli ktoś kliknie fałszywy link, to nie chodzi o to, by go zawstydzić. Chodzi o to, by następnym razem nie kliknął i żeby wiedział, że może o tym powiedzieć – dodaje Szymon Grabski.

Skala ma znaczenie – ale nie zwalnia z odpowiedzialności

W debacie wyraźnie wybrzmiała różnica między dużymi korporacjami a sektorem MŚP. W globalnych firmach cyberbezpieczeństwo jest wpisane w strategię, KPI, a nawet kulturę pracy. Ale w mniejszych organizacjach temat często spada na siedemnaste miejsce listy priorytetów albo nie pojawia się w ogóle.

– Pokutuje przeświadczenie, że są po prostu sprawy ważniejsze. Lepiej kupić nową koparkę, maszynę, czy cokolwiek innego – mówi Maciej Siciarek z NASK.

To pokazuje, jak ważne są inicjatywy wspierające – zarówno edukacyjne, jak i technologiczne. Narzędzia takie jak moje.cert.pl czy Artemis finansowane przez państwo, pozwalają firmom zrozumieć, gdzie w ich systemach są podatności i jak je zaadresować.

– Nie chodzi o to, by wyręczać rynek, ale by pomóc tym, dla których próg wejścia jest zbyt wysoki. Myślę, że wewnątrz organizacji najważniejszą rzeczą jest jasna komunikacja i transparentność. Budowanie świadomości celów i konkretnych zagrożeń – dodaje przedstawiciel NASK.

Partnerstwa, które chronią

W dużych organizacjach coraz częściej cyberbezpieczeństwo wychodzi poza granice firmy. Dotyczy dostawców, partnerów, klientów.

Cyfrowe bezpieczeństwo nie kończy się na granicy firewalla. Dziś musimy chronić cały ekosystem. Bywa tak, że dzwonimy do niektórych klientów i uczulamy ich np. na to, że ich poświadczenia są dostępne w darknecie.

– Cyfrowe bezpieczeństwo nie kończy się na granicy firewalla. Dziś musimy chronić cały ekosystem. Bywa tak, że dzwonimy do niektórych klientów i uczulamy ich np. na to, że ich poświadczenia są dostępne w darknecie. Zalecamy zmianę poświadczeń i włączenie autoryzacji wieloskładnikowiej – mówi Robert Zyskowski.

Upowszechnianie na rynku standardów bezpieczeństwa wpisane jest też w codzienne działania firm. Mastercard zainwestował w ciągu ostatnich siedmiu lat ponad 10 mld dolarów w narzędzia bezpieczeństwa. Teraz udostępnia je swoim klientom i partnerom.

– Dostrzegliśmy, że jedno z wykorzystywanych przez nas rozwiązań do analizy cyberpodatności działa tak dobrze, że postanowiliśmy je kupić i teraz oferujemy je szerzej innym podmiotom na rynku – opowiada Małgorzata Domagała.

To pokazuje, że cyberbezpieczeństwo może być też wartością dodaną – czymś, co buduje zaufanie i przewagę konkurencyjną. Ale wymaga to dojrzałości, świadomości i gotowości do współpracy.

Podejście wdrożeniowe

Jeśli zarząd dojrzeje do decyzji, aby zająć się na poważnie kwestiami cyberbezpieczeństwa, istotne jest budowanie solidnych podstaw do rozwoju trwałych rozwiązań.

– Rozwiązań jest bardzo dużo, naprawdę jest w czym wybierać. Z praktyki wiem, że spójność i konsekwencja zarządzających bardzo pomagają przy wdrażaniu rozwiązań i kultury cyberbezpieczeństwa. Na przykład: jeśli moja usługa, nowa funkcjonalność nie przeszła testów, to nie będzie zgody na jej wdrożenie. Trudno. Wsparcie zarządu jest też niezbędne dla trwałości tej kultury. Nawet najlepszy, ale osamotniony zespół bezpieczeństwa w dłuższej perspektywie nie uzdrowi firmy, jeśli nie będzie miał wsparcia tzw. góry. Ambitnych bezpieczników, ludzi z pasją taka obojętność potwornie frustruje. Bo jeśli są sami, to zazwyczaj jest to zadanie ponad ich siły – mówi Robert Grabowski.

–Trzeba zadbać o partnerskość. W firmach konsultingowych często pracuje się w parach: z jednej strony osoba stricte techniczna, architekt danego rozwiązania, a z drugiej strony ktoś z biznesu, rozumiejący uwarunkowania firmy. Te dwa światy muszą ze sobą rozmawiać – przekonuje Dominika Bucholc.

Trzeba zadbać o partnerskość. W firmach konsultingowych często pracuje się w parach: z jednej strony osoba stricte techniczna, architekt danego rozwiązania, a z drugiej strony ktoś z biznesu, rozumiejący uwarunkowania firmy.

– Warto zadbać też o odpowiedzialnych partnerów, dostawców takich rozwiązań. W Mastercard oferujemy sprawdzone rozwiązania, które już przetestowaliśmy i które odpowiadają na potrzeby i wyzwania danej branży – zaznacza Małgorzata Domagała.

Edukacja i narracja

Efektywna edukacja to oprócz narzędzi również umiejętne budowanie narracji, używanie zrozumiałego języka i… konkurencja o uwagę użytkowników, otrzymujących na swoje skrzynki i czaty dziesiątki (a niektórzy setki) wiadomości dziennie.

– To jest tak naprawdę codzienne wyzwanie. Łatwo jest powiedzieć, że trzeba ten język dostosować. A to wyzwanie na ogromną skalę. To zderzenie światów i właściwie nie ma miesiąca, żebyśmy nie zastanawiali się, w jaki sposób przekazać coś ważnego w świecie cyber, co zrobić dla pracowników, żeby tego wysłuchali. Zapraszamy uznane postaci cyberbezpieczeństwa, żeby nieco pobudzić społeczność. Ludzi, którzy potrafią mówić i mają doświadczenie. Staramy się przekazywać ciekawostki, zagadki, walczyć o te pięć minut w każdej ważnej prezentacji. Wtedy efektywność dotarcia jest o wiele lepsza niż szkolenie mówione jednostajnym głosem – zaznacza Robert Grabowski z CERT Orange Polska.

Ale dobre szkolenia też mogą stanowić dużą przewagę w budowaniu świadomości cyberzagrożeń.

– Ważna jest też cykliczność szkoleń. One nie powinny się odbywać ani za często, ani za rzadko. Natomiast ważne jest, żeby to nie był sam e-learning, tylko żebyśmy w świadomy i widoczny sposób pokazywali, że te szkolenia odwołują się do aktualnego krajobrazu zagrożeń – zaznacza Maciej Siciarek z NASK.

– Warto też zwrócić uwagę na język. Jeśli szkolenie dla księgowych zaczyna się od słów typu DDoS, MFA, endpoint, to mamy jak w banku, że już na starcie stracimy uwagę uczestników – mówi Szymon Grabski z PwC.

Główne wnioski

1. Cyberkultura zaczyna się od ludzi, a nie od systemów – to codzienne decyzje, zachowania i wartości decydują o odporności organizacji.
2. Brak jasnej odpowiedzialności, niska świadomość i podejście tick the box w zarządach to główne bariery skutecznego wdrażania cyberbezpieczeństwa.
3. Skuteczna edukacja wymaga emocji, narracji i aktualności – tylko wtedy buduje realne kompetencje i zaangażowanie pracowników.

Artykuł powstał na zlecenie Orange Polska, Symfonia i Mastercard Polska.