Czym jest kultura cyberbezpieczeństwa?

Stoimy w obliczu ciągle zmieniającego się krajobrazu cyberzagrożeń. Ciągle inwestujemy w nowe technologie – zapory sieciowe, systemy wykrywania włamań, szyfrowanie. Mimo tych coraz bardziej zaawansowanych technicznych zabezpieczeń, wycieki danych wciąż zdarzają się z niepokojącą częstotliwością. Dlaczego? Ponieważ w swej istocie cyberbezpieczeństwo to nie tylko technologia, a przede wszystkim ludzie.

Różne źródła zgodnie podkreślają, że główną przyczyną większości wycieków danych oraz incydentów jest element ludzki ¹, taki jak błąd czy nabranie się na inżynierię społeczną. Ignorowanie czynnika ludzkiego lub traktowanie pracowników jedynie jako "najsłabszego ogniwa" to największy błąd w cyberbezpieczeństwie. 

Skoro większość problemów bezpieczeństwa wiąże się z błędem człowieka, to skupienie się na ludziach jest kluczowe dla budowania odporności cyfrowej. Starając się zrozumieć sposób funkcjonowania czynnika ludzkiego w systemie zabezpieczeń, warto przyjrzeć się kulturze cyberbezpieczeństwa panującej w danej organizacji.

Czym jest kultura cyberbezpieczeństwa?

Kultura cyberbezpieczeństwa to tak naprawdę przyjęte sposoby załatwiania spraw związanych z bezpieczeństwem w danej organizacji. Nie chodzi w niej o technologię, jak np. firewalle czy systemy antywirusowe, ale przede wszystkim o ludzi w organizacji. To wspólne przekonania, wartości, postawy i zachowania, które są powszechne wśród pracowników organizacji i dotyczą ochrony informacji i systemów. 

Zgodnie z definicją Cybersecurity at MIT Sloan (CAMS), kultura cyberbezpieczeństwa to zbiór przekonań, wartości i postaw pracowników, które kierują ich zachowaniami, w celu ochrony i obrony organizacji przed cyberatakami.²

Silna kultura bezpieczeństwa oznacza stworzenie środowiska, w którym ludzie są bardziej skłonni do bezpiecznych zachowań. Chodzi o to, żeby bezpieczeństwo stało się częścią DNA organizacji, a nie tylko czymś, o czym przypomina się nam na końcu, albo problemem IT lub kadry kierowniczej. To długoterminowy wysiłek, żeby zmienić zachowania i sprawić, by ludzie stali się silnym ogniwem w obronie przed zagrożeniami.

Czym kultura różni się od świadomości cyberbezpieczeństwa?

Świadomość to część kultury cyberbezpieczeństwa, która jest niezwykle ważnym jej elementem. Kultura cyberbezpieczeństwa poza świadomością obejmuje kilka innych obszarów, takich jak zachowanie, wartości i postrzeganie.

Świadomość odnosi się do tego, co ludzie wiedzą i rozumieją na temat tego, jak zachować bezpieczeństwo. Podnoszenie świadomości ma wpływ na zmianę zachowań i kultury. Jest to element, który stanowi podstawę i bez którego skuteczne budowanie kultury bezpieczeństwa nie jest możliwe. Jednak sama świadomość nie wystarczy, aby zbudować silną kulturę bezpieczeństwa lub skutecznie zmienić zachowanie. Wiedza o ryzyku nie oznacza automatycznie, że ludzie zaczną stosować bezpieczne praktyki.

Silna kultura bezpieczeństwa obejmuje również zachowanie, wartości oraz postrzeganie. Rozbijając kulturę bezpieczeństwa na czynniki pierwsze, można w niej wyodrębnić takie elementy jak:

• Świadomość - czyli co ludzie wiedzą o zagrożeniach i jak się przed nimi chronić.
• Zachowania - czyli jak ludzie faktycznie działają, gdy napotykają zagrożenia.
• Wartości - czyli co jest uważane za normalne i akceptowane w organizacji.
• Postrzeganie - czyli co ludzie myślą i czują o bezpieczeństwie, zespole bezpieczeństwa i swojej własnej zdolności do postępowania bezpiecznie.

Te głębsze warstwy, zwłaszcza poczucie własnej skuteczności i wiara w swoje zdolności do stosowania praktyk bezpieczeństwa, często są uważane za bardziej wpływowe w napędzaniu zmiany zachowań, niż sama świadomość zagrożeń. Podczas gdy tradycyjne programy uświadamiające w zakresie bezpieczeństwa mogą skupiać się głównie na szkoleniach i przekazywaniu informacji, prawdziwe działanie na rzecz kultury bezpieczeństwa jest szerszą inicjatywą zmiany zachowań, która wykracza poza zwykłą świadomość.

W skrócie, świadomość to podstawa wiedzy, ale to kultura sprawia, że ta wiedza wpływa na to, jak ludzie czują, cenią i ostatecznie zachowują się w kwestii bezpieczeństwa. Można zmierzyć świadomość, ale mierzenie kultury wymaga zrozumienia wartości i postrzegania.

Jaki jest poziom kultury cyberbezpieczeństwa w organizacjach?

Każda organizacja posiada jakąś kulturę cyberbezpieczeństwa i w każdej z nich jest ona inna. Nasze doświadczenia pokazują, że w organizacjach, które nie realizowały wcześniej kompleksowych działań związanych z budowaniem kultury bezpieczeństwa, istnieje wiele obszarów do usprawnień. Z przeprowadzonych przez Misję: Cyberbezpieczeństwo w 2024 roku badań wynika na przykład, że:

• 45% badanych pracowników nie uważa, że polityki bezpieczeństwa w ich organizacji są napisane w prosty i zrozumiały sposób. 
• 42% pracowników uważa, że nie otrzymuje wystarczających szkoleń z obszaru bezpieczeństwa 
• 37% pracowników twierdzi, że tematy bezpieczeństwa nie są poruszane na spotkaniach i rozmowach w pracy, a bezpieczeństwo nie jest integralną częścią procesów biznesowych ich organizacji.

Organizacje muszą więcej inwestować w obszar kultury cyberbezpieczeństwa, aby stał się on solidnym fundamentem ich odporności cyfrowej.

Jakie są praktyczne przykłady, które pokazują, czym jest kultura cyberbezpieczeństwa w organizacji?

Żeby zrozumieć w praktyce, jak wygląda kultura cyberbezpieczeństwa w organizacji, warto zastanowić się nad wieloma jej aspektami. Od strony praktycznej, kulturę pozwalają poznać odpowiedzi na różne pytania - jak na przykład te poniżej.

Jak zachowują się pracownicy - np.:

• Gdy dostaną symulowany e-mail phishingowy, czy nie klikają w linki ani nie otwierają załączników? 
• Czy pracownicy szybko zgłaszają podejrzane wiadomości lub działania, zamiast je ignorować lub po cichu usuwać? 
• Czy pracownicy używają silnych, unikalnych haseł lub korzystają z menedżerów haseł?
• Czy pracownicy regularnie aktualizują swoje oprogramowanie i instalują poprawki?
• Czy pracownicy są gotowi zakwestionować podejrzaną prośbę (np. o przelew), nawet jeśli pochodzi od osoby na wysokim stanowisku?
• Czy zespoły, takie jak programiści, integrują praktyki bezpieczeństwa od samego początku podczas tworzenia nowych systemów lub aplikacji?

Co jest uważane za normalne i akceptowane - np.:

• Czy jest uważane za normalne, że ludzie przytrzymują drzwi innym bez sprawdzania identyfikatorów (pokazując swoją gościnność)? Czy normą jest to, że każdy pokazuje swój identyfikator?
• Gdy dochodzi do incydentu, czy pierwszą reakcją jest szukanie winnego, czy zrozumienie, co się stało i wyciągnięcie wniosków?
• Czy pracownicy są nagradzani lub doceniani za pozytywne działania związane z bezpieczeństwem (np. zgłaszanie phishingu)?
• Czy zespoły ściśle współpracują z zespołem bezpieczeństwa przy nowych projektach, czy też wymagania bezpieczeństwa są często postrzegane jako przeszkoda do ominięcia?

Co ludzie myślą i czują - np.:

• Czy pracownicy postrzegają cyberbezpieczeństwo jako część swojej pracy i odpowiedzialność każdego, a nie tylko działu IT lub bezpieczeństwa?
• Co pracownicy myślą o zespole bezpieczeństwa? Czy widzą ich jako wspierający zespół, który im pomaga, czy jako dział zakazów i nakazów? 
• Czy pracownicy aktywnie zwracają się do zespołu bezpieczeństwa z pytaniami?
• Czy pracownicy czują się pewnie co do własnych umiejętności w zakresie bezpiecznych zachowań? 
• Czy pracownicy rozumieją, dlaczego bezpieczeństwo jest dla nich ważne osobiście, zarówno w pracy, jak i być może w życiu prywatnym?
• Czy pracownicy czują, że kierownictwo wyższego szczebla priorytetowo traktuje i promuje bezpieczeństwo?

Te przykłady pokazują, że kultura bezpieczeństwa jest głęboko osadzona w codziennych działaniach, przekonaniach i interakcjach ludzi w organizacji. Jest ona kształtowana przez przywództwo, komunikację, szkolenia i ogólne środowisko pracy. To ciągła inicjatywa kształtowania zachowań, która jest podróżą, a nie celem.