KSC/NIS2 a świadomość pracowników: Jak zbudować program cyberhigieny?

KSC NIS2 i ludzki firewall: Jak CISO musi zbudować ciągły program budowania kultury bezpieczeństwa?

Napisz do nas

Jako CISO, doprowadziłeś do wdrożenia Pakietu CORE. Organizacja zainwestowała w zaawansowane technologie EDR, SIEM i firewalle. Architektura sieci została poddana segmentacji, a kluczowe procedury SZBI zostały napisane. Wydaje się, że techniczny front jest zabezpieczony. Jednak wiesz doskonale, że nawet najdroższa technologia jest bezużyteczna, jeśli pracownik otworzy drzwi atakującemu, klikając w jeden złośliwy link. Ludzki firewall pozostaje najczęściej atakowanym i najsłabszym ogniwem.

Ustawodawca KSC/NIS2 doskonale zdaje sobie z tego sprawę. Dlatego nowe przepisy wprost nakładają na organizacje obowiązek wdrożenia polityk i szkoleń z zakresu cyberhigieny. To już nie jest „miły dodatek” od działu HR, ale twardy wymóg prawny. Dla Ciebie, jako CISO, oznacza to konieczność zbudowania programu, który realnie zmienia ludzkie zachowania i który stanowi kluczowy filar Pakietu RESILIENCE – ciągłego utrzymania odporności.

Dlaczego KSC/NIS2 kładzie tak duży nacisk na „cyberhigienę” i szkolenia pracowników?

KSC/NIS2 to zmiana filozofii – od reagowania na problemy do proaktywnego zarządzania ryzykiem. Analiza niemal każdego poważnego incydentu z ostatnich lat prowadzi do tego samego wniosku: u źródła większości udanych ataków ransomware czy wycieków danych leżał błąd ludzki. Najczęściej było to kliknięcie w link phishingowy lub podanie poświadczeń na fałszywej stronie.

Ustawodawca rozumie, że nie da się zbudować w 100% skutecznej bariery technologicznej. Dlatego KSC/NIS2 wymaga wdrożenia „odpowiednich i proporcjonalnych” środków, które obejmują również „ludzką warstwę bezpieczeństwa”. Obowiązek prowadzenia szkoleń z cyberhigieny to nic innego, jak wymóg prawny, by organizacja zarządzała ryzykiem błędu ludzkiego w sposób systemowy.

Dla Ciebie jako CISO to potężny argument w rozmowie z zarządem. Inwestycja w świadomość pracowników nie jest już kosztem, ale realizacją konkretnego zapisu ustawy. W razie incydentu, regulator zapyta nie tylko o logi z SIEM, ale także o to, jak firma szkoliła swoich ludzi, by do tego incydentu nie dopuścili.

Czym jest „ciągły program budowania kultury bezpieczeństwa” i dlaczego jest lepszy niż jednorazowe szkolenie?

Wiele firm próbuje „odhaczyć” wymóg szkoleniowy, organizując raz w roku obowiązkowe, dwugodzinne szkolenie dla wszystkich pracowników. Jako CISO wiesz, że jest to całkowicie nieskuteczne. Taka wiedza jest zapominana po tygodniu, a samo szkolenie jest traktowane przez pracowników jak zło konieczne. To jest „teatr bezpieczeństwa”, a nie realne zarządzanie ryzykiem.

Ciągły Program Budowania Kultury Bezpieczeństwa, stanowiący kluczowy element Pakietu RESILIENCE, to zupełnie inna filozofia. To nie jest jednorazowy „event”, ale ciągły proces oparty na cyklu: testuj, mierz, szkol i powtórz. Zamiast nudnych wykładów, program ten wykorzystuje krótkie, angażujące formy i co najważniejsze – jest bezpośrednio powiązany z realnymi zagrożeniami.

Taki program utrzymuje świadomość pracowników na wysokim poziomie przez cały rok. Zmienia bezpieczeństwo z corocznego obowiązku w stały element kultury organizacyjnej. To jedyny model, który realnie zmienia ludzkie nawyki i pozwala wykazać przed regulatorem, że proces budowania świadomości jest traktowany poważnie i jest stale doskonalony.

Jaką rolę w budowaniu świadomości odgrywają symulowane testy socjotechniczne?

Symulowane testy socjotechniczne  są sercem nowoczesnego programu budowania świadomości. Zamiast opowiadać pracownikom o tym, czym jest phishing, wysyłasz im kontrolowaną, bezpieczną symulację ataku phishingowego i sprawdzasz, jak zareagują.

Rola tych testów jest dwojaka. Po pierwsze, to najlepsze narzędzie diagnostyczne. Pozwalają Ci zmierzyć realny poziom ryzyka. Nie opierasz się na ankietach „czy wiesz, co to phishing?”, ale mierzysz twardy wskaźnik: jaki procent pracowników w Twojej firmie klika w złośliwe linki. To daje Ci bazową metrykę, którą możesz raportować zarządowi.

Po drugie, to najskuteczniejsza forma nauki. Nic nie uczy szybciej niż osobiste doświadczenie. Moment, w którym pracownik klika link i widzi planszę „Ups, to była symulacja ataku phishingowego”, jest bezcenny. To chwila, w której abstrakcyjne zagrożenie staje się realne. To bezpieczna porażka, która uczy znacznie więcej niż jakikolwiek wykład.

Czy testy socjotechniczne to „testowanie” czy „szkolenie” pracowników?

To jedno z najczęstszych pytań i dylematów przy wdrażaniu programu. Odpowiedź brzmi: to jest inteligentne połączenie obu. Sam test jest formą szkolenia – uczy przez doświadczenie. Jednak jego główną siłą jest to, że działa jak precyzyjne narzędzie diagnostyczne, które pozwala Ci zoptymalizować proces szkoleniowy.

W tradycyjnym modelu szkolisz wszystkich jednakowo, marnując czas osób świadomych i nudząc je, jednocześnie nie docierając z odpowiednim przekazem do tych, którzy są najbardziej podatni. W modelu ciągłym, opartym na testach, jest odwrotnie. Testy socjotechniczne pozwalają Ci zidentyfikować, którzy pracownicy (lub które działy) są najbardziej narażeni.

Dzięki temu możesz przestać szkolić wszystkich jednakowo. Możesz skierować swoje zasoby szkoleniowe (np. krótkie moduły e-learningowe) tylko do tych osób, które „oblały” test i potrzebują tej wiedzy najbardziej. To zmienia szkolenia z masowego, ogólnego procesu w precyzyjny, skrojony na miarę program naprawczy.

Jakie rodzaje symulowanych ataków (phishing, vishing) należy regularnie przeprowadzać?

Program budowania świadomości nie może ograniczać się tylko do prostych e-maili phishingowych. Atakujący są kreatywni, a Twoje symulacje muszą odzwierciedlać realne scenariusze. Dobry program, taki jak ten opisany w Pakiecie RESILIENCE, powinien obejmować całe spektrum ataków socjotechnicznych.

Podstawą są oczywiście kampanie phishingowe (e-mail). Muszą one być zróżnicowane – od prostych, masowych wysyłek (np. „wygrałeś nagrodę”) po bardziej ukierunkowane (np. fałszywa faktura dla działu finansów lub pilna prośba z IT o zmianę hasła).

Należy je uzupełnić o vishing (ataki telefoniczne). To kluczowe dla testowania pracowników mających bezpośredni kontakt ze światem zewnętrznym, jak recepcja, asystentki zarządu czy działy finansowe. Scenariusz może polegać na próbie wyłudzenia hasła przez „pracownika pomocy technicznej” lub nakłonieniu do wykonania pilnego przelewu. Należy również uwzględnić smishing (SMS), który testuje odporność pracowników korzystających z telefonów służbowych (np. link do fałszywej paczki kurierskiej).

Jak połączyć wyniki testów phishingowych ze szkoleniami e-learningowymi?

To jest właśnie mechanizm, który przekształca testowanie w efektywny program szkoleniowy. Chodzi o stworzenie natychmiastowej pętli sprzężenia zwrotnego. W momencie, gdy pracownik kliknie w symulowany link phishingowy, nie powinien zobaczyć tylko komunikatu „zostałeś złapany”.

Nowoczesna platforma do budowania świadomości natychmiast po kliknięciu powinna przekierować pracownika do krótkiego (3-5 minut) modułu e-learningowego, który jest tematycznie związany z błędem, który właśnie popełnił. Jeśli kliknął link z fałszywą fakturą, natychmiast ogląda moduł „Jak weryfikować złośliwe załączniki?”. Jeśli podał hasło na fałszywej stronie logowania, ogląda moduł „Jak rozpoznać fałszywą stronę WWW?”.

To połączenie jest genialne w swojej prostocie. Szkolenie odbywa się dokładnie w tym momencie, w którym pracownik jest najbardziej świadomy swojego błędu i najbardziej otwarty na przyjęcie wiedzy. To zamienia porażkę w natychmiastową lekcję i jest nieporównywalnie skuteczniejsze niż ogólne szkolenie przeprowadzane pół roku później.

Kto powinien być objęty programem szkoleń – czy tylko pracownicy biurowi?

Błędem jest ograniczanie programu świadomości tylko do pracowników biurowych. KSC/NIS2 wymaga podejścia całościowego, a ryzyko występuje w całej organizacji. Program musi być dostosowany do różnych grup.

Pracownicy biurowi to oczywiście główny cel dla phishingu i vishingu. Ale równie ważni są pracownicy produkcji (OT). Mogą oni nieświadomie podłączyć do sieci przemysłowej zainfekowany pendrive lub prywatny laptop, powodując paraliż fabryki. Ich szkolenia muszą być inne – skupione na bezpieczeństwie fizycznym i specyfice środowiska OT.

Najważniejszą grupą jest jednak kadra kierownicza i zarząd. KSC/NIS2 wprost wymaga specjalistycznych szkoleń dla nich. Poza szkoleniami ze strategicznego zarządzania ryzykiem, muszą być oni objęci testami socjotechnicznymi. Są oni celem nr 1 dla ataków typu „whale phishing” (ukierunkowanych na kadrę C-level) i „Business Email Compromise” (np. próba nakłonienia CFO do wykonania fałszywego przelewu).

Jak mierzyć skuteczność programu budowania świadomości i raportować ją zarządowi?

Jako CISO, musisz udowodnić zarządowi zwrot z inwestycji w ten program, a regulatorowi – jego skuteczność. W tym modelu „mierzenie” nie polega na liczeniu „godzin przeszkolonych” lub „frekwencji na szkoleniu”. Mierzysz realną zmianę zachowania.

Kluczową metryką, którą musisz śledzić i raportować, jest organizacyjny „click-rate”, czyli procent pracowników, którzy kliknęli w link w kampanii symulacyjnej. Twój cel to pokazanie zarządowi wykresu, na którym ten wskaźnik systematycznie spada – np. z 30% w pierwszej kampanii do 5% po roku prowadzenia programu.

Inną ważną metryką jest „reporting-rate” – czyli ilu pracowników, zamiast klikać, użyło przycisku „Zgłoś Phishing”. Wzrost tego wskaźnika pokazuje, że pracownicy stają się aktywną częścią systemu obrony. Posiadanie takich twardych danych to dla Ciebie najlepszy dowód na to, że aktywnie i skutecznie zarządzasz „ludzkim firewallem”.

Jaką rolę odgrywa zewnętrzny partner we wdrażaniu i prowadzeniu takiego programu?

Możesz spróbować zbudować taki program wewnętrznie, ale jest to niezwykle czasochłonne. Wymaga zakupu lub budowy platformy do phishingu, stworzenia biblioteki modułów e-learningowych, projektowania scenariuszy ataków i zarządzania całymi kampaniami. Twój zespół IT/Security ma prawdopodobnie ważniejsze zadania.

Zewnętrzny partner, taki jak nFlo, dostarcza ten program jako usługę zarządzaną w ramach Pakietu RESILIENCE. Zyskujesz kilka kluczowych korzyści. Po pierwsze, gotową platformę i treści. Otrzymujesz dostęp do profesjonalnej platformy i stale aktualizowanej biblioteki symulacji i szkoleń e-learningowych.

Po drugie, ekspertyzę i zasoby. Dedykowany zespół partnera projektuje i zarządza kampaniami w Twoim imieniu, analizuje wyniki i dostarcza Ci gotowe raporty dla zarządu. Po trzecie, obiektywizm i benchmarking. Partner dostarcza niezależnej oceny i może porównać Twoje wyniki (np. click-rate) ze średnią dla Twojej branży. To pozwala Ci, jako CISO, skupić się na strategii, podczas gdy partner operacyjnie wykonuje żmudną, ale krytyczną pracę budowania kultury bezpieczeństwa.

Budowanie Kultury Bezpieczeństwa (Pakiet RESILIENCE): Tabela dla CISO

Poniższa tabela podsumowuje komponenty skutecznego programu budowania świadomości, wymaganego przez KSC/NIS2.

Komponent ProgramuCel DziałaniaMetoda Realizacji (usługa nFlo)Mierzalny Rezultat (KPI)
Diagnoza i PomiarZmierzenie bazowego poziomu ryzyka ludzkiego.Symulowane testy socjotechniczne (Phishing, Vishing, Smishing).Procentowy „Click-Rate” (wskaźnik klikalności w organizacji).
Szkolenie i InterwencjaNatychmiastowa korekta ryzykownych zachowań.Automatycznie przypisywane moduły e-learningowe po nieudanym teście.Liczba ukończonych modułów szkoleniowych przez grupy ryzyka.
Utrwalanie WiedzyUtrzymanie wysokiej świadomości przez cały rok.Ciągły cykl (np. kwartalne kampanie phishingowe + comiesięczne mikro-szkolenia).Spadający trend „Click-Rate” w kolejnych kampaniach.
Budowanie OdpornościZachęcanie do proaktywnego zgłaszania zagrożeń.Wdrożenie narzędzi do zgłaszania phishingu i szkolenie z ich użycia.Rosnący „Reporting-Rate” (wskaźnik zgłoszeń).
Raportowanie (GRC)Dowód dla zarządu i regulatora na zachowanie należytej staranności.Regularne raporty zarządcze pokazujące trendy i benchmarking.Raport zgodności z wymogiem KSC/NIS2 (cyberhigiena).

Masz pytania do artykułu? Skontaktuj się z ekspertem

Skontaktuj się z nami, aby odkryć, jak nasze kompleksowe rozwiązania IT mogą zrewolucjonizować Twoją firmę, zwiększając bezpieczeństwo i efektywność działania w każdej sytuacji.

?
?
Zapoznałem/łam się i akceptuję  politykę prywatności.

O autorze:
Grzegorz Gnych

Grzegorz to doświadczony profesjonalista z ponad 20-letnim stażem w branży IT i telekomunikacji. Specjalizuje się w zarządzaniu sprzedażą, budowaniu strategicznych relacji z klientami oraz rozwijaniu innowacyjnych strategii sprzedażowych i marketingowych. Jego wszechstronne kompetencje potwierdza szereg certyfikatów branżowych, w tym z zakresu zarządzania usługami IT oraz technologii wiodących producentów.

W swojej pracy Grzegorz kieruje się zasadami przywództwa, ciągłego rozwoju wiedzy i proaktywnego działania. Jego podejście do sprzedaży opiera się na głębokim zrozumieniu potrzeb klientów i dostarczaniu rozwiązań, które realnie zwiększają ich konkurencyjność na rynku. Jest znany z umiejętności budowania długotrwałych relacji biznesowych i pozycjonowania się jako zaufany doradca.

Grzegorz szczególnie interesuje się integracją zaawansowanych technologii w strategiach sprzedażowych. Skupia się na wykorzystaniu sztucznej inteligencji i automatyzacji w procesach sprzedażowych, a także na rozwoju kompleksowych rozwiązań IT wspierających transformację cyfrową klientów.

Aktywnie dzieli się swoją wiedzą i doświadczeniem poprzez mentoring, wystąpienia na konferencjach branżowych i publikacje. Wierzy, że kluczem do sukcesu w dynamicznym świecie IT jest łączenie głębokiej wiedzy technicznej z umiejętnościami biznesowymi i nieustanne dostosowywanie się do zmieniających się potrzeb rynku.

Pozostałe artykuly autora