Z najnowszych danych Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) wynika, że jedynie 7 proc. polskich firm traktuje priorytetowo kwestie dotyczące cyberbezpieczeństwa. To dużo poniżej średniej w Unii Europejskiej, która wynosi 32 proc. Lekceważące podejście Polaków w miejscu pracy do cyberbezpieczeństwa potwierdzają badania przeprowadzone przez naukowców z Akademii Leona Koźmińskiego. Wynika z nich, że ponad połowa pracowników (52 proc.) nie zachowuje ostrożności w internecie podczas wykonywania obowiązków służbowych w trybie zdalnym lub hybrydowym.
- Nie spodziewaliśmy się, że odsetek tej grupy osób będzie tak wysoki. Mimo to można tę sytuację uznać za optymistyczną z perspektywy zarządzania ryzykiem. Jeżeli wiemy odpowiednio wcześniej, ilu jest w naszej firmie pracowników, którzy szukają ryzyka, wystarczy, że wdrożymy odpowiednie działania prewencyjne - komentuje Zofia Przymus, badaczka rynku z Akademii Leona Koźmińskiego.
Cztery podejścia
Naukowcy wyodrębnili cztery podejścia do cyberzagrożeń. Według nich najbardziej niebezpieczna jest grupa poszukujących ryzyka. To prawie co piąty polski pracownik (19 proc.). Najliczniejszą grupę wśród aktywnych zawodowo stanowią jednak nieostrożni (33 proc.). Są nieświadomi zagrożeń i nie czują odpowiedzialności za cyberbezpieczeństwo. Obok nich funkcjonują pracownicy rozsądnie podchodzący do sposobu korzystania z sieci (32 proc.) oraz zachowujący ostrożność w internecie, choć nieświadomi istniejących ryzyk (16 proc.).
Jakie podejmowane przez pracowników działania w internecie stanowią największe zagrożenie dla firm? Na podstawie wywiadów pogłębionych z ekspertami ds. cyberbezpieczeństwa, badacze wyłonili 26 ryzykownych zachowań.
- Najgroźniejsze dla każdej organizacji są sytuacje wynikające z ludzkich zachowań, np. klikanie w podejrzane linki czy odkładanie aktualizacji oprogramowania. Nawet zaawansowane systemy zabezpieczeń tu nie pomogą - wyjaśnia prof. Krzysztof Przybyszewski z Akademii Leona Koźmińskiego.
Druga grupa to zagrożenia wynikające z otoczenia, w jakim pracownik wykonuje swoje obowiązki. Chodzi np. o przeglądanie poufnych dokumentów w miejscu publicznym, takim jak kawiarnia czy lotnisko, czy wideokonferencje bez zastosowania słuchawek. Kolejna kategoria zagrożeń wiąże się z danymi dostępowymi - wymienić tutaj można m.in. tworzenie zbyt prostych haseł lub powtarzanie loginów w różnych miejscach. Problemów przysporzyć może również brak dwuskładnikowego uwierzytelniania.
- Zastosowanie takiej klasyfikacji pozwala ustalić, z jakim rodzajem cyberzagrożenia ma do czynienia nasza organizacja, a co za tym idzie - jakiego wsparcia potrzebują pracownicy. Pozwala to na efektywne wdrażanie procesów w organizacji, optymalizację nakładów, ale przede wszystkim na skuteczne zarządzanie ryzykiem. Unikamy bowiem sytuacji, w której dopasowujemy nieodpowiednie działanie prewencyjne do problemu. Czyli przykładowo nasi pracownicy są skłonni do podejmowania ryzyk środowiskowych, a my zamiast zapewnić im filtr prywatyzujący, organizujemy dla nich szkolenie z zakresu zarządzania danymi dostępowymi - komentuje Zofia Przymus.
Poznaj program kongresu "Business Intelligence" >>
Pomocne narzędzia
Z jakich działań i narzędzi może skorzystać pracodawca, aby zwiększyć cyfrowe bezpieczeństwo firmy?
- Pracownicy należący do poszukiwaczy ryzyka, czyli najbardziej ryzykownej grupy, powinni być świadomi, że firma może połączyć konkretne działania z konkretnym komputerem i człowiekiem. Już teraz to rozwiązanie wdrażane jest na przykład w bankach. Pracownik wie o tym, że regularnie przeprowadzany jest audyt, a za narażenie firmy na zagrożenie można ponieść osobiste konsekwencje. Taka polityka działania nie ma zastosowania w organizacji, gdzie dominują rozsądni lub ostrożni. Te osoby mogłyby się poczuć osobiście takim audytem dotknięte, sam audyt byłby dla nich stresogenny - tłumaczy dr Karolina Małagocka, która od 15 lat zajmuje się problematyką cyberbezpieczeństwa.
Dodaje, że pracownicy, którzy są świadomi zagrożeń i jednocześnie ostrożni, mogą być wsparciem w roli menedżerów zmiany.
- Warto zainwestować w ich rozwój i pozwolić im dzielić się wiedzą w zespole. W sytuacji gdy pracownik zrobi coś niepożądanego, dużo łatwiej skierować się mu z pomocą do kolegi z zespołu niż do działu IT czy szefa - wyjaśnia dr Karolina Małagocka.