Cybersec Update #4: Szkolenia z zakresu cyberbezpieczeństwa – obowiązek, który może uratować Twoją firmę

Dwa rodzaje obowiązkowych szkoleń z NIS2 i KSC2

Dyrektywa, a w ślad za nią polska ustawa, wprowadzają obowiązki prowadzenia dwóch rodzajów szkoleń. Pierwszy to zapisany wprost wymóg aby kierownictwo organizacji szkoliło się z zakresu cyberbezpieczeństwa – nie rzadziej niż raz na rok.

Drugi to zobowiązanie do prowadzenia wśród personelu działań mających na celu podniesienie świadomości cyberbezpieczeństwa, naukę rozpoznawania zagrożeń, reagowania na incydenty i promujących podstawowe zasady cyberhigieny. W tym drugim przypadku nie ma wprost określonego przedziału czasowego, w jakim takie szkolenia mają się odbywać, ale nie oznacza to, że obowiązek ten można zlekceważyć. Wręcz przeciwnie.

Szkolenia kierownictwa – co musisz wiedzieć o wymogach NIS2?

Wymóg szkolenia dla kierownictwa to bezpośrednie wpisanie się ustawy w zasadę, że cyberbezpieczeństwo to odpowiedzialność wszystkich poziomów zarządzania. Jak wiadomo „z wielką mocą, przychodzi wielka odpowiedzialność”. Dla kierownictwa podmiotów kluczowych i ważnych oznacza to co najmniej jedno szkolenie na rok, ale wiele organizacji zmierza ku wyższym standardom. Szkolenia takie powinny obejmować nie tylko zagrożenia techniczne, ale również zagadnienia związane z zarządzaniem ryzykiem, raportowaniem incydentów i odpowiedzialnością prawną.

Podnoszenie świadomości personelu – najsłabsze ogniwo łańcucha

Łańcuch jest tak mocny jak jego najsłabsze ogniwo, a w przypadku cyberbezpieczeństwa tym ogniwem jest często czynnik ludzki. Dlatego właśnie szkolenia dla pracowników mają kluczowe znaczenie. Personel, który nie potrafi rozpoznać podejrzanej wiadomości, nie wie jak reagować na incydent lub nie zna podstawowych zasad cyberhigieny, stanowi potencjalne zagrożenie dla całej organizacji.

Działania podwyższające świadomość powinny obejmować:

• Rozpoznawanie ataków phishingowych i inżynierii społecznej
• Prawidłowe postępowanie z danymi wrażliwymi
• Raportowanie zagrożeń
• Bezpieczne korzystanie z haseł i wieloskładnikowego uwierzytelniania
• Procedury postępowania w przypadku podejrzenia incydentu

Deepfake w Ferrari – historia, która pokazuje znaczenie szkoleń

Jak ważne jest zwiększanie świadomości cyberzagrożeń pokazuje historia nieudanego ataku na Ferrari przy użyciu deepfake. Jeden z dyrektorów firmy dostawał najpierw wiadomości na WhatsAppie z konta podającego się za jego szefa, dyrektora generalnego Ferrari Benedetto Vignę. Następnie odebrał połączenie, w którym usłyszał jego głos.

Jak się później okazało, głos był sztucznie wygenerowany, ale w tak przekonujący sposób, że m.in. imitował charakterystyczny akcent przełożonego. Oszuści dosłownie skopiowali sposób mówienia – miękkie, naturalne brzmienie, właściwe uśmiechowe modulacje – wszystko, co mogło uśpić czujność pracownika.

Na szczęście pracownik zachował czujność. Wychwycił różne podejrzane szczegóły i postanowił zweryfikować swojego rozmówcę. Zapytał o książkę, którą przełożony mu ostatnio polecił, co zmusiło oszustów do przerwania połączenia. Atak zakończył się fiaskiem.

Dobra inwestycja – szkolenia jako ochrona przed atakami

Historia ta pokazuje nie tylko, że dobra książka i small talk w pracy mogą uratować organizację, ale przede wszystkim jak dobrą inwestycją mogą być właściwe szkolenia.

Żadne wdrożenie środków przewidzianych w NIS2 nie może pomijać prawidłowego przeszkolenia personelu, który wszystkie stworzone polityki i procedury będzie wcielał w życie. Technologia sama z siebie nie wystarczy – musimy budować kulturę cyberbezpieczeństwa, w której każdy pracownik rozumie swoją rolę w ochronie organizacji.

Szkolenia to nie koszty, to inwestycja w bezpieczeństwo firmy, jej reputację i przede wszystkim – w bezpieczeństwo danych, które są powierzane Twojej organizacji.