Europejski Miesiąc Cyberbezpieczeństwa: Wyedukowani pracownicy pomogą chronić firmę, wynika z badania Fortinet 2024 Cybersecurity Skills Gap
Pracownicy, w zależności od poziomu ich świadomości w kontekście cyberzagrożeń, mogą stać się pierwszą linią obrony firmy lub jej słabym ogniwem. Przedsiębiorstwa powinny inwestować więc w odpowiednią edukację swojego personelu. Jak ukazuje opublikowany przez Fortinet w 2024 r. raport Cybersecurity Skills Gap, w ubiegłym roku aż 81 proc. firm doświadczyło wymierzonych w ich pracowników cyfrowych incydentów, takich jak phishing, infekcja złośliwym oprogramowaniem lub ataki na hasła.
Luka kompetencyjna w kontekście cyberbezpieczeństwa staje się coraz większym problemem. To właśnie z jej powodu aż 87 proc. przedsiębiorstw doświadczyło w ubiegłym roku co najmniej jednego cyfrowego incydentu. Brak wykwalifikowanych specjalistów to jedno z największych wyzwań, z jakimi mierzy się branża cyberbezpieczeństwa. Wśród napotykanych przez jej przedstawicieli trudności wymienić należy także konieczność dostosowywania się do zmieniającego się prawa oraz stale ewoluujący krajobraz zagrożeń. Cyberprzestępcy nieustannie pracują bowiem nad ulepszaniem swoich metod. Przedsiębiorcy są świadomi tego faktu. Obawiają się, że nowe taktyki hakerów – szczególnie te wykorzystujące sztuczną inteligencję – będą trudniejsze do wykrycia i unieszkodliwienia niż „tradycyjne” cyberataki.
Jest to istotny problem. Cyfrowe incydenty powodują coraz większe straty finansowe dla dotkniętych nimi firm. Ponadto, odpowiedzialnością za ich wystąpienie coraz częściej obarczani są przedstawiciele kadr kierowniczych. 51 proc. respondentów badania Fortinet 2024 Cybersecurity Skills Gap wyjawiło, że dyrektorzy i kierownicy w ich firmach byli narażeni na grzywnę, utratę stanowiska lub karę pozbawienia wolności po udanym cyberataku.
Cyfrowe bezpieczeństwo niezaprzeczalnie staje się jednym z głównych punktów zainteresowania zarządów przedsiębiorstw. 72 proc. respondentów badania Fortinet wskazało, że przedstawiciele kadr kierowniczych w ich firmach są bardziej skoncentrowani na cyfrowej ochronie niż w poprzednim roku. To dobry znak, z uwagi na przeciążenie zespołów ds. cyberbezpieczeństwa, które muszą zmagać się zarówno z zagrożeniami zewnętrznymi, jak i wewnętrznymi. Zwiększenie poziomu cyfrowej ochrony przedsiębiorstwa nie powinno leżeć wyłącznie w gestii ekspertów, lecz także wszystkich pozostałych członków personelu. Inicjatywa Fortinet – przypadająca na październik tradycyjnie obchodzony jako Miesiąc Świadomości Cyberbezpieczeństwa (Cybersecurity Awareness Month) – ma na celu przypomnienie firmom o tym fakcie.
Każdy pracownik ma rolę do odegrania
Wykwalifikowany zespół profesjonalistów oraz odpowiednie rozwiązania techniczne z zakresu cyberbezpieczeństwa to kluczowe elementy ochrony każdego przedsiębiorstwa. Równocześnie jednak należy pamiętać, że jedną z najlepszych metod budowania warstwy cyfrowej ochrony w firmie jest edukacja pracowników spoza zespołów ds. cyberbezpieczeństwa. Personel, jeśli został wyposażony w odpowiednią wiedzę, staje się pierwszą linią ochrony przed tego typu przestępczością. W zeszłym roku aż 81 proc. przedsiębiorstw zostało dotkniętych różnymi rodzajami cyfrowych indycentów, takich jak phishing, ataki na hasła oraz infekcje złośliwym oprogramowaniem. Ofiarami tych działań padają zazwyczaj zwykli pracownicy, dlatego tak ważne dla bezpieczeństwa firmy jest rozwijanie ich świadomości na ten temat.
Szkolenia w zakresie cyfrowej ochrony powinny być częścią strategii zarządzania ryzykiem w każdym przedsiębiorstwie. Szczęśliwie, coraz więcej firm decyduje się na nadawanie priorytetu edukacji pracowników w tym kontekście. Według globalnego raportu Fortinet 2024 Security Awareness and Training Global, 96 proc. przedstawicieli kadr kierowniczych uważa, że zwiększenie liczby szkoleń w zakresie cyberbezpieczeństwa jest kluczem do ograniczenia szkodliwości cyberprzestępczości. W grupie dyrektorów, których firmy posiadają już tego typu programy edukacyjne, aż 89 proc. respondentów zgłosiło poprawę stanu bezpieczeństwa przedsiębiorstwa.
Co powinny obejmować szkolenia z zakresu cyberbezpieczeństwa?
Nieodłącznym elementem procesu układania programu szkoleniowego w zakresie cyfrowego bezpieczeństwa – niezależnie od tego, czy jest to jego pierwsza, czy też kolejna wersja – powinno być zdefiniowanie przyświecających mu celów.
Następnie należy zdecydować o formie szkoleń oraz harmonogramie ich realizacji. Warto także zaczerpnąć opinii przedstawicieli różnych działów. W ten sposób możliwe stanie się stworzenie dopracowanego planu, który uwzględniałby wiele perspektyw.
Każdy program szkoleniowy w zakresie cyberbezpieczeństwa musi być unikalny i zawierać treści dostosowane do konkretnych potrzeb biznesowych danego przedsiębiorstwa. Istnieją jednak pewne elementy, które powinny się w nim znaleźć zawsze, niezależnie od branży, w której działa firma. Do zagadnień tych należą:
- Hasła – Silne hasła mają kluczowe znaczenie w kontekście ochrony danych osobowych i finansowych przed cyberprzestępcami. Każdy program szkoleniowy dotyczący cyfrowego bezpieczeństwa powinien zawierać wskazówki na temat tworzenia skutecznych, trudnych do złamania haseł, a także informacje i rekomendacje na temat narzędzia, jakim jest menedżer haseł.
- Uwierzytelnianie wieloskładnikowe (MFA) – MFA zapewnia dodatkową warstwę ochrony przed cyberprzestępczością. Jeśli zespół ds. bezpieczeństwa wdrożył już to rozwiązanie w obrębie firmy, pracownicy powinni zrozumieć, dlaczego jest ono konieczne oraz jak z niego korzystać.
- Inżynieria społeczna, w tym phishing – Phishing jest główną taktyką wykorzystywaną przez cyberprzestępców w procesie infiltracji sieci korporacyjnych. Używają jej również do prowadzania ataków typu ransomware oraz w celu rozprzestrzeniania złośliwego oprogramowania. Wszyscy pracownicy powinni wiedzieć jak rozpoznać oznaki stosowania inżynierii społecznej oraz jakie kroki należy podjąć w przypadku padnięcia jej ofiarą.
- Aktualizacje oprogramowania – Jednym z najprostszych sposobów na zmniejszenie ryzyka stania się ofiarą cyberprzestępczości jest aktualizowanie oprogramowania oraz aplikacji. Pracownicy powinni zdawać sobie sprawę z wagi tego działania oraz wykazywać się znajomością polityki firmy w tym kontekście.
– Z uwagi na rosnącą częstotliwość oraz poziom zaawansowania cyberataków, firmy jak najszybciej powinny zaangażować się w tworzenie programów szkoleniowych dla swoich pracowników oraz poddawanie swojej istniejącej polityki w tym zakresie ponownej ocenie. Należy pamiętać, że świadomość personelu dotycząca działań na rzecz cyberbezpieczeństwa jest korzystna dla całej firmy. – podkreślił Rob Rashotte, Vice President w firmie Fortinet.