Odporność socjotechniczna wyzwaniem – a my ciągle powtarzamy o tych hasłach…

W przestrzeni mediów społecznościowych takich jak Facebook, LinkedIn znajdziemy dużo postów i publikacji, które są zaadresowane do świadomości użytkownika w celu zwiększenia jego wiedzy i świadomości w zakresie ochrony danych. Większość dotyczy kwestii używania odpowiednego hasła. Zaraz za hasłami pojawia się temat klikania w szkodliwe linki. Oczywiście temat je ważny, ale trzeba przyznać, że w przestrzeni informacyjnej ODO nastąpiło pewne przeakcentowanie.

W zasadzie większości ludzi (w tym pracowników) wie co należy zrobić hasłem, a czego unikać tzn., że musi być ono odpowiednio długie, złożone i nie należy zapisywać zostawiać go widocznym i łatwo dostępnym miejscu. Pracownicy są systematycznie uświadamiani o konieczności tworzenia długiego skomplikowanego hasła czy korzystania z menadżerów haseł. Można powiedzieć, że taki stan rzeczy jest zrozumiały, ponieważ hasło jest bardzo ważnym elementem systemu ochrony danych. Życie dostarcza przykładów, że temat pomimo ciągłego „mielenia” nadal jest aktualny. Znajdzie się zapewne duże grono specjalistów z opinia, że wręcz nieustannie trzeba przypominać pracownikom podstawowe zasady polityki haseł.

Częste powtarzanie truizmym generuje znużenie oraz bagatelizację bezpieczeństwa

Pytanie, czy poprzez to ciągłe powtarzanie sloganów przypadkiem nie osiągamy efektu przeciwnego? Przypomina to komunikaty spotykane np. na górskich szlakach typu „Góry dla rozważnych” lub tablicach informacyjnych nad autostradą „Jedź ostrożnie!”. Ostrzeżenia i akcje informacyjne, które nic nikomu nie mówią i stają się ignorowanym elementem krajobrazu.

Jedną z najciekawszych metod szkoleniowych, które miałem okazję realizować i które polecam polegają na tym, że hasło pracownika lub jego część pozyskuje się przed lub podczas szkolenia. Szkolenie zaczynam od pytania jak uczestnicy wyobrażają sobie atak? Często znajdziemy grupę osób, która stwierdzi, że jest to praktycznie nie możliwe, aby ktoś dokonał skutecznego ataku w ich firmie/organizacji. Potem podaję do wiadomości, że wyciek stał się faktem. W tym momencie następuje zdziwienie i pospieszna analiza zdarzeń u każdego z uczestników. Przede wszystkim osiągamy efekt rozbicia zbytniej pewności siebie, która przeradza się w dociekliwość, analizę, wątpliwość i czujność.  Jak to się stało? Kiedy? I w tym momencie zaczyna się prawdziwa praca trenera awereness (o czym w dalszej części książki), tak różna od podawczej formy szkolenia i powtarzania sloganów. Analiza sytuacji, emocji, reakcji, użytych elementów socjotechniki, jednym słowem praca warsztatowa, którą niejeden z uczestników zapamięta do końca życia.

Dydaktyka zna wiele metod, przy czym odnoszę wrażenie, że bardzo rzadko korzysta się z tej wiedzy w branży ochrony danych. Trzeba tutaj bardzo wyraźnie odróżnić formy jakimi są: szkolenie, warsztaty oraz trening. O ile pierwsze może poprowadzić każdy, kto posiada ogólną wiedzę i slajdy, to kolejne wymagają specjalizowania się w komunikacji, dydaktyce, socjotechnice, posiadania umiejętności aktorskich, wiedzy o psychologii oraz o obszarze technicznym. Wchodzimy obecnie w rzeczywistość, w której do ataków używane są technologie sztucznej inteligencji. Warto sobie zadać pytanie, czy nasze zespoły, nasi pracownicy są na to gotowi i wytworzyli odporność firmy/organizacji? Czy w jakikolwiek sposób mierzymy tę odporność?

W dziedzinie budowania świadomości ochrony informacji również mamy od dawna pewnego rodzaju zmęczenie tematem. Zupełnie inna sytuacja świadomościowa była przed wejściem RODO i obecnie kilka lat później od jego wejścia. To wymaga większej kreatywności od hackerów oraz trenerów! Trzeba przyznać, że po wejściu RODO ludzie ogólnie są bardziej wyedukowani i uwrażliwieni jako konsumenci oraz pracownicy mający dostęp do danych osobowych. Trzeba jednak zauważyć, że testy z użyciem socjotechnik i kontrolowane próby mieszane pokazują, że tym co najbardziej chroni nieprzygotowaną firmę przed tego typu atakiem to (o ironio) brak zainteresowania ze strony hackera…  Przy odrobinie zaangażowania i za pomocą środków socjotechnicznych można pozyskać informacje różnej rangi niemalże z każdej firmy! Informacje zdobyte w ramach rekonesansu można użyć do dalszej części ataku z wykorzystaniem metod mieszanych. Najczęściej jednak nie materializuje się, aż tak ryzykowny i złożony i spektakularny atak ponieważ nikt nie miał interesu i środków aby jego dokonać, stąd pojawia się „poczucie bezpieczeństwa”.

Pojawia się pytanie, dlaczego my „specjaliści” od ochrony informacji bardzo wąsko traktujemy temat bezpieczeństwa? W jakiś sposób podchodzą do tego inspektorzy ochrony danych, zwłaszcza ci, którzy mimochodem chcąc nie chcąc dostali taką funkcję? Czy pracownicy nie mają wrażenia, że szkolenia są nudne i ciągle o tym samym? Czy nie jest przypadkiem tak, że za równo na poziomie ogólnych kampanii informacyjnych w mediach jak i na poziomie wewnętrznym firm i organizacji brakuje strategii i właściwej metodologii?

Skoro coś widzę to jest, a jeżeli nie widzę to nie ma, a skoro wiem to powiem, a że niewiele widzę, to w kółko mówię o tym samym…

Obserwacje potwierdzają, że duży akcent kładziony jest przez szkoleniowców na to co wydaje nam widoczne, łatwe do zrozumienia (wspomniane hasła)  albo ewentualnie atrakcyjne (nierealne scenariusze ataków i ciekawostki zasłyszane z świata cyber przyprawiające rumienie na polikach i duże oczy u uczestników). Nowe osoby, które weszły do branży bezpieczeństwa koncentrują się często na tym, co aktualnie jest na tak zwanym tapecie. Na szkoleniach powtarzane są treści z innych szkoleń i z mediów, które akurat są popularne lub ciekawe. Rzadziej dobór treści wynika z analiz kontekstu i potrzeb danej organizacji, dla której szkolenie jest realizowane, a tym bardziej z uwzględnienia słabości wynikających z cech osobowych poszczególnych pracowników lub całej grupy budującej odporność organizacji.

Wykładanie podstawowej wiedzy w zakresie ochrony danych nie wymaga większych umiejętności. Naprawdę 🙂 podstawową wiedzę powinien umieć przekazać swoim pracownikom nawet kierownik/manager, który nie jest specjalistą w zakresie ODO. Od osób mianujących się specjalistami od ochrony danych można wymagać więcej a mianowicie świadomego i strategicznego podejścia do zagadnienia awereness i znajomości czynnika ludzkiego w obszarze ochrony informacji.

Kształtowanie świadomości i odporności pracowników powinno być realizowane w kontekście szerszej zaplanowanej strategii organizacji z uwzględnieniem rzeczywistych potrzeb (możliwości pracowników i podatności czynnika ludzkiego). Metody, formy i treści szkoleń czy treningów powinny stanowić odpowiedź na rozpoznane zagrożenia.

Trudno sobie wyobrazić, że w dobie powszechnego phishingu, zagrożeń ransomeware  a także w związku z obecną sytuacją międzynarodową można ograniczać szkolenia do monologu „wykładowcy” lub samodzielnego „przeklinania” prezentacji. Nie neguję tych form, mogą być świetnym narzędziem w rękach specjalisty, nie mniej najlepsza prezentacja nie zastąpi treningu, tak jak poprzez oglądanie ćwiczeń na youtubie nie poprawimy naszej sylwetki.

Kto nie spał na wykładach?

Reasumując w budowaniu odporności organizacji na zagrożenia w tym cyber-zagrożenia nie może ograniczać się do jednostronnej formy podawczej, czy to w formie powtarzanych banalnych komunikatów (memów o hasłach) czy mówionych i czytanych szkoleń gdzie uczestnik przyjmuje postawę bierną, a nawet bierno-odporną. Wydaje się to oczywiste dla osób z doświadczeniem pedagogicznym, ale jak się okazuje w branży ODO jednak nie zawsze. Zdarza się, także że ta świadomość jest u specjalisty, ale nie ma jej na poziomie zarządu czy najwyższego kierownictwa, które traktuje szkolenia z ochrony informacji jako kolejny element do formalnego zaliczenia.

Świadomy trener ochrony danych nie tylko musi być przygotowany merytorycznie ale przede wszystkim musi wejść w interakcję z osobą trenowaną badać ją i weryfikować efekty swojego działania, a ponadto rozumieć cele firmy i pomagać je stawiać. Musi zatem dobrze rozumieć psychikę ludzką i posiadać umiejętności miękkie pozwalające na przygotowanie personelu na ataki socjotechniczne. Więcej o treningach niebawem.