W znaczącej większości firm, pracownikom brakuje podstawowej świadomości w zakresie cyberbezpieczeństwa, wynika z raportu Fortinet
Fortinet, globalny lider cyberbezpieczeństwa, który dąży do konwergencji sieci i rozwiązań ochronnych, opublikował tegoroczną wersję raportu Security Awareness and Training Global Research Report. Dokument ten zwraca uwagę na to, jak dużą rolę odgrywają wyedukowani w zakresie cyberzagrożeń pracownicy w procesach zarządzania ryzykiem operacyjnym. Kluczowe wnioski z raportu dotyczące Europy, Bliskiego Wschodu i Afryki:
- Cyberprzestępcy coraz chętniej sięgają po sztuczną inteligencję, aby zwiększyć liczbę przeprowadzanych ataków oraz ich skuteczność. Ze względu na to, zdaniem przedstawicieli kadr kierowniczych ankietowanych firm, cyfrowe incydenty staną się znacznie trudniejsze do wykrycia przez ich personel. 61 procent respondentów spodziewa się, że więcej pracowników padnie ofiarą ataków, w których cyberprzestępcy wykorzystują AI. Dobrą wiadomością jest jednak to, że świadomość tego zagrożenia wpłynęła na sposób, w jaki przedsiębiorstwa postrzegają ideę szkoleń z zakresu cyberbezpieczeństwa. 77 procent respondentów uważa, że stosunek do tej praktyki w ich firmach poprawił się.
- Pracownicy mogą być pierwszą linią obrony firmy. Przedstawiciele kadr kierowniczych coraz bardziej martwią się jednak o to, że ich personel nie posiada wystarczającej świadomości nt. cyfrowych zagrożeń. 67 procent respondentów uważa, że ich pracownikom brakuje podstawowej wiedzy z zakresu cyberbezpieczeństwa. W 2023 roku opinię tę wyraziło 53 proc. ankietowanych.
- Przedstawiciele kadr kierowniczych są świadomi tego, jak duże znaczenie mają szkolenia w zakresie cyberbezpieczeństwa. Trzy czwarte respondentów planuje rozpocząć kampanie uświadamiające ich personel w zakresie cyfrowego bezpieczeństwa. 26 proc. z nich zamierza prowadzić je poprzez przedstawianie pracownikom treści edukacyjnych raz w miesiącu, podczas gdy 45 proc. planuje robić to co kwartał. Przedstawiciele kadry kierowniczej uważają również, że jakość treści jest kluczowa dla sukcesu lub porażki danego programu szkoleniowego.
„Firmy prezentują coraz wyższy poziom dojrzałości w kontekście rozwijania kompetencji z zakresu cyberbezpieczeństwa u swojego personelu. U blisko połowy z nich są to jednak działania reaktywne. 44 proc. respondentów przyznaje, że ich zainteresowanie perspektywą wprowadzenia lub rozwinięcia swojego programu szkoleń z zakresu cyfrowych zagrożeń jest spowodowane uprzednim doświadczeniem incydentu lub jego próby. Dbałość o cyberbezpieczeństwo firmy wymaga proaktywności, należy przygotowywać się na ewentualne ataki, zanim rzeczywiście do nich dojdzie. Ponieważ większość incydentów wymierzana jest w pracowników, dla przedsiębiorstw kluczowe znaczenie powinna mieć dbałość o ciągłe rozwijanie ich kompetencji z zakresu rozpoznawania cyfrowych zagrożeń oraz reagowania na nie.” – podkreśliła Jolanta Malak, dyrektorka Fortinet w Polsce.
„Cyberprzestępcy chętnie wykorzystują nowe technologie, w tym sztuczną inteligencję, aby zwiększyć poziom wyrafinowania przeprowadzanych przez siebie ataków. Ze względu na to, coraz ważniejsze staje się, aby pracownicy firmy byli w stanie funkcjonować jako jej pierwsza, solidna linia obrony. Wyniki przeprowadzonych przez Fortinet badań podkreślają, jak konieczne jest tworzenie kultury cyberbezpieczeństwa oraz organizacja szkoleń w tym zakresie w obrębie przedsiębiorstwa. Wskazują one także na przydatność naszej wielokrotnie nagradzanej usługi dla firm – Security Awareness and Training Service, w tym jej bezpłatnej wersji, przeznaczonej dla szkół podstawowych oraz średnich na całym świecie. Rozwiązanie to wspiera proces wzmacniania globalnej odporności cybernetycznej.” – podkreślił John Maddison, Chief Marketing Officer, Fortinet.
Najnowsze zagrożenia, z którymi muszą walczyć pracownicy
Jednym z głównych sposobów cyberprzestępców na wykorzystanie AI jest uczynienie phishingu bardziej wiarygodnym i trudniejszym do wykrycia. Ataki tego typu wymierzane są bezpośrednio w indywidualnych użytkowników. W związku z tym firmy uczą swoich pracowników, jak rozpoznawać tego rodzaju zagrożenie.
- Użytkownicy końcowi pozostają atrakcyjnym celem. W 2023 roku ponad 80 proc. przedsiębiorstw zmagało się z incydentami z wykorzystaniem złośliwego oprogramowania, phishingiem oraz atakami na hasła. Były one wymierzone bezpośrednio w pracowników.
- Wraz z ewolucją ataków znaczenia nabiera posiadanie wysokiej świadomości w zakresie cyfrowych zagrożeń. Prawie wszyscy respondenci (96 proc.) twierdzą, że w ich firmach wspierana jest idea szkolenia pracowników w zakresie cyberbezpieczeństwa.
- Niemal każdy respondent (82 proc.) wskazał, że zapobieganie phishingowi oraz ochrona przed nim jest podstawowym elementem programów i planów szkoleniowych wykorzystywanych w jego przedsiębiorstwie. Priorytet stanowią także takie zagadnienia, jak bezpieczeństwo danych (42 proc.) oraz prywatność (37 proc.)
Personel jako pierwsza linia obrony przeciwko cyberatakom
Chociaż to zespoły IT oraz specjaliści ds. cyberbezpieczeństwa mają kluczowe znaczenie dla ochrony przedsiębiorstwa przed cyfrowymi zagrożeniami, należy pamiętać, że pozostali członkowie personelu również odgrywają w tym procesie istotną rolę.
- Pracownicy są otwarci na możliwości szkoleń i chętni do podnoszenia poziomu swojej świadomości w zakresie cyberbezpieczeństwa. Większość przedstawicieli kadry kierowniczej (84 proc.) twierdzi, że ich personel w sposób pozytywny reaguje na perspektywę wdrożenia programów edukacyjnych poświęconych cyberbezpieczeństwu.
- Przedsiębiorstwa obserwują pozytywne wyniki, gdy wdrażają programy szkoleniowe w zakresie cyfrowych zagrożeń. Zdecydowana większość przedstawicieli kadry kierowniczej (85 proc.) twierdzi, że ich firma przynajmniej w pewnym stopniu odnotowała wzrost ogólnego poziomu cyberbezpieczeństwa po wdrożeniu programów szkoleniowych. Ani jeden respondent nie stwierdził braku pozytywnych zmian po rozpoczęciu treningów poświęconych cyfrowej ochronie.
Szkolenia w zakresie cyberbezpieczeństwa są niezbędne, ale nie wszystkie programy są sobie równe
Większość firm wyraża chęć do przygotowania szkoleń z zakresu cyberbezpieczeństwa, które bazowałyby na ich doświadczeniach z incydentami lub wiedzy na temat zagrożeń występujących w ich konkretnych branżach.
Według tegorocznej ankiety 96 proc., przedstawicieli kadry kierowniczej uważa, że zwiększenie poziomu świadomości pracowników w zakresie cyfrowego bezpieczeństwa wzmocniłoby odporność całego przedsiębiorstwa w tym zakresie. Respondenci są także zgodni w kwestii oceny programów edukacyjnych. Uważają, że istnieją pewne kluczowe atrybuty, które czynią materiały szkoleniowe mniej lub bardziej skutecznymi.
- Treści muszą być angażujące. Podczas gdy 82 proc. przedstawicieli kadr kierowniczych jest zadowolonych z obecnego rozwiązania w zakresie rozwijania wiedzy nt. cyfrowych zagrożeń, największym zarzutem wśród osób niezadowolonych są niewystarczająco angażujące treści.
- Nieadekwatna długość szkolenia. Należy unikać zbyt rozległych szkoleń, ponieważ mogą one przeciążyć pracowników. Ich zalecany czas wynosi o 1 do 2 godzin, natomiast średnia to 3 godziny.
Rozwój świadomości personelu z zakresu cyberbezpieczeństwa dzięki usłudze Fortinet Security Awareness and Training Service
Nawet pojedynczy incydent naruszenia bezpieczeństwa może mieć poważne konsekwencje dla firmy. Niezbędne jest więc zbudowanie trójstronnej strategii obronnej, która obejmuje rozwój świadomości nt. cyfrowych zagrożeń w jej obrębie; doskonalenie technicznych umiejętności personelu IT i cyberbezpieczeństwa oraz inwestycje w zaawansowane rozwiązania ochrony sieci.
Szkolenia stanowią podstawę do stworzenia kultury cyberbezpieczeństwa w obrębie całego przedsiębiorstwa. Te z nich, które są zainteresowane rozwijaniem świadomości swoich pracowników w zakresie cyfrowych zagrożeń, mogą skorzystać z usługi Fortinet Security Awareness and Training Service. Zaprojektowany przez światowej klasy ekspertów z Fortinet Training Institute, program ten obejmuje szeroki zakres tematów powiązanych z cyberbezpieczeństwem. Wspomaga także proces nauczania za pośrednictwem okresowych przypomnień i kontroli. Przedsiębiorstwa korzystające z usługi posiadają również dostęp do pulpitów nawigacyjnych służących do śledzenia postępów kursantów. Firmy te zyskują także wsparcie w zakresie raportowania, dzięki czemu łatwiej jest im sprostać wymaganiom dotyczącym uzyskania ubezpieczenia od odpowiedzialności cybernetycznej oraz zmianom w przepisach.