Kibernetička sigurnost nije samo tehnički izazov – ona je u velikoj mjeri ljudski izazov. Prava promjena dolazi kad zaposlenici usvoje sigurna ponašanja, a to je moguće samo kroz edukaciju koja je interaktivna, relevantna i metodički osmišljena. Zoran Kežman, stručnjak za kibernetičku sigurnost u Spanu koji je osmislio upravo takve edukacije, koje se provode u Span Centru kibernetičke sigurnosti, govori kako postići stvarnu promjenu ponašanja zaposlenika te povećati kibernetičku otpornost kompanija i organizacija.

“Većina zaposlenika zna da postoje prijetnje poput phishinga, zlonamjernih privitaka ili lažnih web stranica. No, napadači i dalje uspijevaju jer ciljaju na naše slabosti – brzinu, rutinu, povjerenje, distrakciju. Primjerice, lažna poruka koja izgleda kao obavijest banke ili kolege često će nas navesti na klik, pogotovo kad smo pod stresom ili žurimo. Statistike pokazuju da je više od 68% uspješnih napada rezultat ljudske pogreške ili slabosti. Većina zaposlenika zna da ne bi smjela kliknuti na sumnjive poveznice ili otvarati nepoznate privitke, ali u svakodnevnoj žurbi, iz znatiželje ili navike, ipak to učini. Prava promjena nastaje tek kad se izgradi nova navika i kad sigurno ponašanje postane automatsko”, objašnjava Kežman.

Tradicionalni programi podizanja svijesti često ne daju željene rezultate te je potrebno dizajnirati edukaciju koja uzima u obzir ljudsku prirodu. To znači koristiti principe iz bihevioralne znanosti: motivaciju, jednostavnost i pravovremene poticaje. Kežman nastavlja primjerom iz prakse: “Umjesto samo informiranja o phishingu, korisnicima treba omogućiti da kroz simulacije i praktične zadatke sami prepoznaju prijetnje i uvježbaju reakcije. Ključ je u ponavljanju, interaktivnosti i povezivanju sadržaja s realnim situacijama.”

Span je prepoznao ove izazove i potrebe te na njih uspješno odgovara: “Upravo zato što smo uvidjeli koliko je zahtjevno postići stvarnu promjenu ponašanja, razvili smo vlastite edukacijske sadržaje za samoučenje iz područja kibernetičke sigurnosti. Naš cilj bio je ponuditi rješenje koje će smanjiti ljudski rizik u organizacijama – dakle, ne samo podići svijest, nego potaknuti konkretne promjene u svakodnevnom ponašanju zaposlenika. Osim toga, svjesni smo da sve više organizacija u Hrvatskoj ima zakonsku obvezu redovite edukacije zaposlenika iz područja kibernetičke sigurnosti, pa smo naše materijale osmislili tako da olakšaju i usklađivanje sa Zakonom o kibernetičkoj sigurnosti i drugim regulatornim zahtjevima.

Ukratko, željeli smo ponuditi edukaciju koja je istovremeno učinkovita, praktična i usklađena s potrebama modernih organizacija”, govori Kežman - jedan od autora takvih edukacijskih modula te nastavlja: “Naši moduli su osmišljeni tako da polaznici ne mogu biti pasivni promatrači. Kroz cijeli proces stalno ih uključujemo – bilo kroz rješavanje zadataka, sudjelovanje u simulacijama napada ili odgovaranje na pitanja iz stvarnog života. Svaka tema je povezana s realnim primjerima iz poslovnog okruženja, tako da polaznici odmah mogu prepoznati situacije iz vlastite prakse. Povratna informacija je trenutna, što znači da polaznici odmah saznaju gdje su pogriješili i kako mogu bolje reagirati sljedeći put. Edukacija nije samo odrađena, nego zaista mijenja svakodnevne navike i način razmišljanja zaposlenika.”

Spanovi edukacijski sadržaji pokrivaju sve ključne domene kibernetičke sigurnosti: prijetnje i napadi, phishing, zaštita korisničkih računa, zlonamjerni softver, mjere opreza na internetu, socijalni inženjering, fizička sigurnost, sigurno rukovanje dokumentima, rad na daljinu, sigurnost na društvenim mrežama, izvješćivanje o incidentima i drugo. Na web stranici Span Centra kibernetičke sigurnosti sada je omogućen i pristup demo verziji koja sadrži isječke iz nekih modula i koju zainteresirani mogu isprobati. Pored treninga kojima je cilj podizanje svijesti o sigurnosnim prijetnjama i namijenjenih svim zaposlenicima, postoje treninzi za menadžment te specijalistički treninzi. Specijalistički treninzi fokusirani su na napredne teme iz kibernetičke sigurnosti, a namijenjeni su IT-profesionalcima i kibernetičkim stručnjacima. Treninzi osmišljeni za menadžment i donositelje odluka pružaju strateško razumijevanje kibernetičkih prijetnji i upravljanja rizicima.