Cyberpsychologia, czyli jak nie dać szansy hakerom

To nie pracownicy są najsłabszym ogniwem ochrony danych, ale nieprawidłowo wyszkoleni pracownicy. Znając zasady cyberpsychologii, można zapobiec wielu błędom prowadzącym do incydentów bezpieczeństwa informacji.

Chroń dane pacjentów. Pobierz bezpłatny raport “Bezpieczeństwo danych w ochronie zdrowia”

Jak hakerzy manipulują pracownikami

Według badań przeprowadzonych przez Uniwersytet Stanforda, 88% naruszeń bezpieczeństwa danych zaczyna się od błędu człowieka. Cyberprzestępcy wiedzą, że o wiele łatwiej jest wprowadzić w błąd człowieka i w ten sposób uzyskać dostęp do danych niż łamać zabezpieczenia techniczne. Stosują w tym celu wyrafinowane metody socjotechniki, aby pracownik kliknął na wysłany link albo otworzył załącznik, wpuszczając do systemu złośliwe oprogramowanie.

Szacuje się, że co 11 sekund dochodzi do skutecznego ataku ransomware. Aktywowany przez nieuwagę albo niewiedzę wirus przejmuje kontrolę nad siecią i komputerem, a w zamian za jego odblokowanie hakerzy żądają okupu. Każdy może paść ofiarą coraz sprytniejszych metod hakerów wysyłających maile podszywające się pod wiadomości od zaufanej instytucji, banku, kuriera.

Co to jest cyberpsychologia?

Szkolenia z cyberbezpieczeństwa są najlepszą metodą ochrony przed hakerami. Mimo to, nie zawsze są tak skuteczne, jak by tego oczekiwano. W natłoku obowiązków i stresie ludzie szybko zapominają, czego się nauczyli i popełniają błędy.

Dlatego inżynierowie i psycholodzy starają się poznać interakcje człowieka z technologią, zidentyfikować newralgiczne sytuacje i zmniejszyć liczbę błędów. Na bazie ich badań powstaje nowa koncepcja „zorientowanego na człowieka cyberbezpieczeństwa”, polegająca na zrozumieniu, jak pracownicy wykorzystują komputery. Cyberpsychologia łączy wiedzę o cyberbezpieczeństwie z wiedzą o zachowaniu człowieka, tworząc nowe zasady bezpiecznej pracy z nowymi technologiami.

Zgodnie z nią, budując skuteczną politykę ochrony danych, trzeba zwrócić uwagę na 4 zasady:

Zmień podejście pracowników do technologii. Ludzie mają tendencję do cedowania swojej odpowiedzialności na technologię: „Komputer powinien działać zawsze dobrze, a za bezpieczeństwo odpowiadają informatycy, dlatego nie muszę sobie zawracać głowy hakerami”. W takim nastawieniu, cyberbezpieczeństwo postrzegane jest jako obciążenie, bo wymaga uwagi, a nie rutynowego korzystania z technologii w trybie autopilota.

W szkoleniach należy podkreślać inne podejście, np. zerowego zaufania do otrzymywanych wiadomości, wśród których może znaleźć się phishing. Nie wyłącza to oczywiście odpowiedzialności działu IT, aby stosować zabezpieczenia techniczne. Jeśli stetoskop działa wadliwie, lekarz nie zrzuci winy na sprzęt, bo wie, jak funkcjonuje ten sprawny i jest w stanie korygować swoje decyzje. Taka sama świadomość powinna dotyczyć sprzętu i systemów IT.

Spraw, aby pracownicy identyfikowali się z infrastrukturą IT. Ryzykowne cybernetycznie zachowania pracowników mogą wynikać z tego, że traktują oni komputery, jak sprzęt firmy, a nie swój. Eksperymenty przeprowadzone przez Profesora Phila Morgana i jego zespół z Uniwersytetu New Castle wykazały, że personalizacja urządzenia zwiększa poczucie odpowiedzialności. Profesor Morgan przez trzy lata pracował dla giganta przemysłu lotniczego Airbusa, badając przyczyny ryzykownych zachowań w cyberprzestrzeni. W licznych badaniach doszedł on do wniosku, że wychodzenie z założenia, że „komputer to sprzęt firmy”, powoduje automatyczne przerzucenie obowiązku ochrony danych na organizację i brak poczucia współodpowiedzialności.

Zbuduj zorientowane na człowieka podejście do cyberbezpieczeństwa oparte na triadzie wiedzy, świadomości i zrozumienia. Wiedzę zdobywa się podczas systematycznych szkoleń z ochrony danych i nowych metod działania hakerów. Aby wzmocnić element zrozumienia, należy stworzyć kulturę uczenia się na błędach. Organizacja musi jasno komunikować, że pomyłka pracownika, który prowadzi do ataku hakera, nie będzie powodem do zwolnienia albo kary, ale jest częścią kultury doskonalenia procesów.

Takie podejście sprawia, że pracownicy szybciej przyznają się do ewentualnych błędów, co pozwala błyskawicznie zareagować na atak i zminimalizować jego skutki. I odwrotnie – ukrywanie incydentu prowadzi do narastania wyrządzonych szkód proporcjonalnie do upływającego czasu. Profesor Morgan twierdzi, że zamiast postrzegać błąd w zabezpieczeniach jako powód do wstydu, powinniśmy postrzegać go jako coś, co się zdarza ludziom i jest normalne. Kultura zachęcająca do zgłaszania błędów pozwala dodatkowo budować zaufanie w organizacji. Podobnie jak zgłaszanie błędów medycznych jest niezbędne do poprawy standardów leczenia, raportowanie incydentów bezpieczeństwa ułatwia wzmacnianie ochrony przed hakerami.

Personalizuj interfejs użytkownika, aby komputer był traktowany jak przyjazne narzędzie pracy. Osoby, które padły ofiarą cyberataków często twierdzą, że wcześniej zdawały sobie doskonale sprawę z zagrożenia i nie wiedzą, jak mogły popełnić taki błąd.

Problemem może być nieprawidłowa konfiguracja systemu. Ludzie zapominają o procedurach, bo z czasem powtarzalne czynności wykonują mechanicznie. Dlatego systemy powinny im przypominać o np. konieczności wylogowania się (albo robić to automatycznie po określonym czasie), zmianie hasła itd. To tzw. twarde ograniczenia, czyli hamulce na poziomie systemowym. Drugą grupą są ograniczenia miękkie. Jednym z nich jest wprowadzenie kilkusekundowego opóźnienia w dostępie do danych albo konieczność dodatkowej weryfikacji poprzez skorzystanie z uwierzytelniania wieloskładnikowego. Tak, aby pracownik nie działał w afekcie, ale miał czas na dokładne przemyślenie, czy naprawdę chce otworzyć załącznik albo udostępnić dane.

Jak wdrożyć zasady cyberpsychologii?

Szkolenia z cyberbezpieczeństwa dla wszystkich to za mało – twierdzą eksperci cyberpsychologii – bo ochrona danych jest procesem, nad którym trzeba pracować codziennie. Dbałość o bezpieczeństwo danych zaczyna się na etapie zatrudnienia nowego pracownika i onboardingu. Ludzie muszą wiedzieć, że są odpowiedzialni za komputery, na których pracują, ale nie mogą być straszeni konsekwencjami związanymi z wyciekiem danych.

Szkolenia należy prowadzić w grupach według ról w organizacji, bo obszar interakcji personelu medycznego i administracyjnego z komputerem jest różny. Należy analizować i komunikować zagrożenia identyfikowane przez dział IT. Warto włączyć czynnik emocjonalny, który pozwala lepiej zapamiętać przekazywane informacje, przykładowo pokazując case study z wycieku danych oraz ich konsekwencji, przytaczając dane z aktualnych raportów itd. To nie mogą być tylko suche dane, ale przykłady pokazujące, co dzieje się, gdy dojdzie do ataku, jak cierpią na tym pacjenci, personel, cała placówka zdrowia; ile stresu może kosztować powrót do normalnej działalności itd.

Poziom cyberbezpieczeństwa trzeba też monitorować organizując symulowane ataki. Jednym z pomysłów jest wprowadzanie elementu gamifikacji. Przykładowo, grupa pracowników wciela się w rolę grupy hakerów i ma za zadanie stworzenie podstępnej wiadomości phishingowej. Ta następnie jest wysyłana w sposób kontrolowalny i z zaskoczenia przez dział IT, po czym sprawdza się, na jakich komputerach mail został otwarty.

Nowe standardy cyberbezpieczeństwa

Do przeszłości odchodzi podejście do cyberbezpieczeństwa oparte na szkoleniach organizowanych co kilka miesięcy oraz polityce bezpieczeństwa, której pracownicy często nie znają albo nie rozumieją. Jednym z powodów oporu przed RODO jest stopień skomplikowania przepisów i języka, którym posługują się eksperci cyberbezpieczeństwa. Krytyczne dla ochrony danych incydenty wynikające z ludzkich błędów mają najczęściej źródło w stresie, rutynie, negatywnym nastawieniu do informatyzacji, deficytach w identyfikowaniu się pracowników z placówką ochrony zdrowia. Pierwszą linią ochrony zawsze powinna być technologia – systemy antywirusowe, aktualizacja oprogramowania, wykonywane w czasie rzeczywistym kopie bezpieczeństwa. Drugim – człowiek świadomy zagrożeń i swojej roli w obronie przed hakerami.

Czytaj także: Ekspert CSIRT CeZ radzi, jak dobrze chronić dane