Przedłużanie aktualizacji oprogramowania, czytanie poufnych dokumentów na lotnisku czy korzystanie z tego samego hasła w wielu miejscach – co piąty polski pracownik wie, że to zagraża bezpieczeństwu cyfrowemu. Mimo to, świadomie podejmuje takie działania. To grupa tzw. poszukujących ryzyka. Co więcej, ponad połowa pracowników nie zachowuje ostrożności podczas pracy zdalnej – mówią badacze z Akademii Leona Koźmińskiego.

Zaledwie 7 proc. polskich firm priorytetowo traktuje kwestie związane z cyberbezpieczeństwem. Tymczasem średnia dla całej Unii Europejskiej wynosi 32 proc. Tak wynika z najnowszych danych Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA). Żeby zmienić tę sytuację konieczna jest ewaluacja polityk bezpieczeństwa w firmach oraz zwiększenie świadomości i odpowiedzialności wśród pracowników w kontekście cyberbezpieczeństwa. Tymczasem z badań zrealizowanych przez naukowców z Akademii Leona Koźmińskiego na reprezentatywnej grupie Polaków wynika, że 52 proc. pracowników nie zachowuje ostrożności w sieci pracując zdalnie lub hybrydowo. W tej grupie 19 proc. to osoby, które świadomie narażają pracodawcę na cyberzagrożenia.

• Nie spodziewaliśmy się, że odsetek tej grupy osób będzie tak wysoki. Mimo to można tę sytuację uznać za optymistyczną z perspektywy zarządzania ryzykiem. Jeżeli wiemy odpowiednio wcześniej ilu jest pracowników w naszej firmie, którzy szukają ryzyka, wystarczy, że wdrożymy odpowiednie działania prewencyjne – komentuje Zofia Przymus z Akademii Leona Koźmińskiego, która od 10 lat zajmuje się zarządzaniem innowacjami, ryzykiem i zespołami kryzysowymi.

Jaki pracownik, takie cyberryzyko

Badacze wyodrębnili cztery profile pracowników ze względu na podejście do cyber zagrożeń oraz trzy kategorie niebezpiecznych zachowań.

• Naszym celem było sprawdzenie, czy i jak zachowania pracowników w trybie zdalnym mają przełożenie na bezpieczeństwo organizacji. Chcieliśmy poznać powody konkretnych zachowań, ale też poszukać rozwiązań dla właścicieli firm, którzy są coraz bardziej narażeni na kradzież danych czy ataki hakerskie – wyjaśnia dr Karolina Małagocka, która od 15 lat zajmuje się
  problematyką cyberbezpieczeństwa.

Z przeprowadzonych badań wynika, że najbardziej niebezpieczna dla każdej organizacji jest grupa pracowników poszukujących ryzyka. To niemal co piąty polski pracownik (19 proc). Z kolei najliczniej reprezentowani są tzw. nieostrożni (33 proc.). To osoby nieświadome zagrożeń, które nie czują odpowiedzialności za bezpieczeństwo sieciowe, bo do tej pory pracowały z biura lub
na pewnym etapie edukacji czy kariery zawodowej nauczyły się, że cyberbezpieczeństwo to domena IT. Ich postawę, podobnie jak podejście osób, których cechuje rozsądne podejście do sposobu korzystania z sieci (32 proc.), można, zdaniem badaczy, kształtować poprzez
szkolenia. Najmniej liczni są pracownicy, którzy zachowują ostrożność, gdy korzystają z internetu, choć nie są świadomi ryzyk (16 proc.).

• Pracowników, których cechuje ostrożność i rozsądek jest w polskich firmach mniej niż 50 proc. – zwraca uwagę profesor Krzysztof Przybyszewski, psycholog ekonomiczny, który od 25 lat bada mechanizmy podejmowania decyzji i ryzyka. – Czas na to, aby polityki
  cyberbezpieczeństwa w firmach dostosować do profilu pracowników. Najpierw sprawdźmy, jakie style zachowania przejawiają pracownicy, następnie, na jakie rodzaje zagrożeń organizacja jest faktycznie narażona ze względu na swoją specyfikę. Potem twórzmy procedury – mówi badacz.

Klikamy lub nie, zapominamy się w miejscach publicznych, nie przywiązujemy wagi do haseł.

Na podstawie wywiadów pogłębionych z ekspertami ds. cyberbezpieczeństwa, badacze wyłonili 26 ryzykownych zachowań w sieci. Następnie na podstawie badań ilościowych na reprezentatywnej grupie polskich pracowników, podzielili je na trzy kategorie zagrożeń. – Najgroźniejsze dla każdej organizacji są sytuacje wynikające z ludzkich zachowań, np. klikanie w podejrzane linki czy odkładanie aktualizacji oprogramowania. Nawet zaawansowane systemy zabezpieczeń tu nie pomogą – wyjaśnia profesor Krzysztof Przybyszewski.

Przeglądanie poufnych dokumentów w miejscu publicznym, takim jak kawiarnia czy lotnisko, wideokonferencje bez zastosowania słuchawek to z kolei przykłady zagrożeń wynikających z otoczenia, w jakim pracownik wykonuje swoje obowiązki. Trzecia kategoria zagrożeń wiąże się z
danymi dostępowymi, tj. tworzenie zbyt prostych haseł, powtarzanie tych samych haseł, loginów i pinów w różnych miejscach czy brak dwuskładnikowego uwierzytelniania.

• Zastosowanie takiej klasyfikacji pozwala ustalić, z jakim rodzajem cyberzagrożenia ma do czynienia nasza organizacja, a co za tym idzie jakiego wsparcia potrzebują pracownicy. Pozwala to na efektywne wdrażanie procesów w organizacji, optymalizację nakładów, ale przede wszystkim na skuteczne zarządzanie ryzykiem. Unikamy bowiem sytuacji, w której dopasowujemy nieodpowiednie działanie prewencyjne do problemu. Czyli przykładowo nasi pracownicy są skłonni do podejmowania ryzyk środowiskowych, a my zamiast zapewnić im filtr prywatyzujący, organizujemy dla nich szkolenie z zakresu zarządzania danymi dostępowymi – komentuje Zofia Przymus.

Jaki styl zachowania, takie metody działania pracodawcy

Jakie działania i narzędzia może zastosować pracodawca, aby zwiększyć cyfrowe
bezpieczeństwo firmy? – Pracownicy należący do poszukiwaczy ryzyka, czyli najbardziej ryzykownej grupy, powinni być świadomi, że firma może połączyć konkretne działania z konkretnym komputerem i człowiekiem. Już teraz to rozwiązanie wdrażane jest na przykład w
bankach. Pracownik wie o tym, że regularnie przeprowadzany jest audyt, a za narażenie firmy na zagrożenie można ponieść osobiste konsekwencje – tłumaczy dr Karolina Małagocka. – Taka polityka działania nie ma zastosowania w organizacji, gdzie dominują rozsądni lub ostrożni. Te osoby mogłyby się poczuć osobiście takim audytem dotknięte, sam audyt byłby dla nich stresogenny – dodaje.

Zdaniem ekspertki, wobec pracowników, którzy są rozsądni i ostrożni warto wdrażać rozwiązania miękkie, które niosą aspekt edukacyjny. W jaki sposób? – Jedną z metod jest testowy mail phishingowy. Jeżeli pracownik kliknie w niepożądany link, zapraszamy go na szkolenie, tłumacząc, że w ten sposób dostosowujemy politykę działania do osób w organizacji. Po szkoleniu wysyłamy ponownie testowe maile. Informujemy o tym fakcie pracowników i wskazujemy, że jeżeli zachowają się odpowiednio to mamy dla nich bonus, na przykład w
postaci dnia wolnego lub innego benefitu – wyjaśnia dr Małagocka.

Badacze wskazują, że pracownicy, którzy są świadomi zagrożeń i jednocześnie ostrożni mogą być wsparciem w roli menedżerów zmiany. – Warto zainwestować w ich rozwój i pozwolić im dzielić się wiedzą w zespole. W sytuacji kiedy pracownik zrobi coś niepożądanego, dużo łatwiej skierować się mu z pomocą do kolegi z zespołu niż do działu IT czy szefa – wyjaśnia dr Małagocka.

Wyniki badań zostały opublikowane w artykule naukowym “Identifying cyberrisk factors in hybrid workforce environments” dostępnym pod linkiem.