Według badania przeprowadzonego przez Gartnera w 2022 r. aż 69 procent pracowników ominęło w ciągu ostatnich 12 miesięcy politykę bezpieczeństwa. Natomiast 74 procent przyznało, że byłoby skłonne to zrobić, gdyby pomogło to im lub zespołowi osiągnąć cel biznesowy. Powyższe dane powinny stanowić poważny sygnał ostrzegawczy nie tylko dla szefów działów IT, ale również wyższej kadry menedżerskiej.
Warto w tym miejscu dodać, iż według Verizona 74 procent naruszeń danych związanych jest z tak zwanym czynnikiem ludzkim. Pod tym pojęciem kryją się ataki socjotechniczne, błędy lub niewłaściwie użycie urządzeń bądź aplikacji. Niejednokrotnie się zdarza, że nieroztropne zachowanie jednego pracownika prowadzi do strat liczonych w setkach tysięcy złotych. Choć błędy nie zawsze wynikają ze złośliwości, chęci zemsty czy braku wyobraźni.
Nie tylko niewiedza
Pracownicy nie stosują zasad cyberhigieny, ponieważ ich nie znają lub nie rozumieją. Według raportu firmy badawczej ESI ThoughtLab, szefowie aż 87 procent przedsiębiorstw uważają, że to nieświadomi i nieprzeszkoleni pracownicy w największym stopniu przyczyniają się do powodzenia cyberataków.
Specjaliści ds. cyberbezpieczeństwa zazwyczaj za taki stan rzeczy obwiniają pracodawców. W ten sposób najczęściej próbuje się tłumaczyć niefrasobliwe postępowanie personelu, które naraża organizacje na cyberataki. Jednak w rzeczywistości sytuacja jest bardziej skomplikowana. Nieprzestrzeganie reguł cyberbezpieczeństwa przez personel może mieć też inne podłoże.
W terminologii kryminalistycznej od połowy lat 50. ubiegłego wieku istnieje koncepcja neutralizacji. Mówi ona o tym, że człowiek, działając wbrew przyjętym przez niego zasadom, próbuje racjonalnie udowodnić sobie i innym, że specyfika danej sytuacji ściąga z jego sumienia winę za określony czyn. Co ciekawe, techniki neutralizacji wykorzystują również pracownicy do ignorowania wytycznych dotyczących cyberhigieny.
Wielu ludzi uważa, że ignorowanie polityki bezpieczeństwa jest mało szkodliwe. Bardzo często lubią odwoływać się do wyższych celów, na przykład uzasadniają pobieranie nieautoryzowanego oprogramowania z Internetu koniecznością dotrzymania napiętych terminów.
Pracownicy często korzystają z aplikacji, komunikatorów, czy niezabezpieczonych zasobów sieci bez zgody i wiedzy działów informatycznych. Zjawisko to określa się jako shadow IT. Według Gartnera w 2022 r. około 40 proc. pracowników wykorzystywało rozwiązania technologiczne, nie
informując o tym zespołów IT. Analitycy przewidują, że w 2027 r. ten odsetek może wynieść nawet 75 proc.
Pracownicy działów biznesowych często nie umieją porozumieć się z osobami odpowiedzialnymi za cyberbezpieczeństwo, a czasami po prostu krytykują ich postępowanie. Najczęstsze zarzuty dotyczą niewłaściwej komunikacji oraz niedostosowania polityki bezpieczeństwa do potrzeb organizacji. W takich przypadkach personel zazwyczaj ignoruje zasady dotyczące ochrony danych i urządzeń.
Część pracowników dokonuje czegoś na wzór rachunku sumienia, kładąc na szali pozytywne rzeczy, takie jak nadgodziny lub przekraczanie limitów sprzedażowych, a także negatywne, w tym między innymi otwieranie e-maili z podejrzanymi załącznikami, czy odwiedzanie nieautoryzowanych stron internetowych. Jeśli pozytywy przeważają nad negatywami, łamią zasady bezpieczeństwa bez poczucia winy.
Co mogą zrobić menedżerowie?
Jednym ze sposobów na ograniczenie swobody pracowników mogą być sankcje odstraszające personel przed naruszaniem zasad bezpieczeństwa. Jednak nie zawsze jest skuteczne, a zwłaszcza kiedy pracownik nie zdaje sobie sprawy, iż narusza zasady. Wówczas nie obawia się kary. Na przykład szef marketingu zwraca się do działu IT o opracowanie programu służącego do realizacji kampanii promocyjnej online, ale zleceniobiorca nie wywiązuje się ze swojego zadania. Ostatecznie marketer nieświadomie pobiera z platformy internetowej aplikację ze złośliwym oprogramowaniem.
Bardziej efektywne od sankcji są szkolenia. Choć aby odnieść pożądany skutek, muszą być odpowiednio dostosowane do poziomu wiedzy uczestników. Kursy złożone są z tekstów, filmów, krótkich wskazówek, jak postępować w przypadku zagrożenia. Z jednej strony mogą to być standardowe szkolenia z zakresu bezpieczeństwa, zaś z drugiej, specjalne kursy dotyczące określonych technik neutralizacji.
Ludzie chętnie posługują się techniką neutralizacji, aby uzasadnić stosowanie słabych haseł. Swój wybór uzasadniają tym, iż silne hasła są zbyt uciążliwe, aby ich używać. W takim przypadku prowadzący szkolenie tłumaczy, dlaczego taki punkt widzenia niekoniecznie jest prawdziwy i demonstruje praktyczne sposoby wyboru haseł, które są zarówno silne, jak i wygodne w użytkowaniu.