Agencija EU za kibernetsko varnost ENISA je v partnerstvu s SI-CERT organizirala prvo mednarodno konferenco o ozaveščanju o kibernetski varnosti. Dogodek je 27. novembra 2024, v Klubu Cankarjevega doma, gostil 220 udeležencev iz celotne Evrope.
Kako pomemben je človeški dejavnik v kibernetski varnosti?
V prvem delu konference “Hacking the Human” so govorci osvetlili pomen psihologije v svetu kiberkriminala. Od t. i. victim bias (prepričanja “meni se to ne more zgoditi”) do ključne vloge čustev pri spletnih prevarah. Predavatelj dr. Joakim Kävrestad je osvetlil tudi pomen nevrodiverzitete: kako naše kognitivne sposobnosti vplivajo na reakcije ob različnih prevarah, npr. phishingu, pri izbiri gesel in druge spletnih aktivnostih. Ključna ugotovitev? Človek je najpomembnejši, a hkrati pogosto spregledan del varnostnega sistema.
Predavanje raziskovalke iz Inštituta za kriminologijo Manje Skočir se je osredotočilo na sodobne digitalne sisteme, ki vse pogosteje uporabljajo temne vzorce. Le-ti izkoriščajo naše vedenje in vplivajo na sprejemanje odločitev. Manipulacija poteka na več ravneh: s psihološkimi prijemi skozi oblikovanje izbire, netransparentnim zbiranjem podatkov brez soglasja in uporabo “temnih” vzorcev, ki nas usmerjajo v hitre in impulzivne odločitve. Kot je poudarila, te tehnike usmerjajo naše vedenje in nas pripravijo do dejanj, ki niso v našem najboljšem interesu. To odpira pomembna etična in pravna vprašanja, ki jih moramo začeti resneje obravnavati.
Za zaščito uporabnikov in gradnjo etičnih digitalnih sistemov je ključno, da prepoznamo te manipulacije in ustvarimo prostore, kjer bodo uporabniki varni pred izkoriščanjem.
Kako vpeljati varnostno kulturo v organizacije?
Panelna razprava je izpostavila nujnost razvoja kibernetske varnostne kulture na vseh ravneh organizacij. Ann Mennens iz Evropske komisije je dejala, da bi morale organizacije na vseh ravneh postati bolj odporne na kibernetske grožnje z okrepljeno kulturo kibernetske varnosti, kar je tudi prioritetni cilj Evropske komisije.
Vodstvo ima ključno vlogo pri izvajanju in uveljavljanju te kulture, saj mora delovati zgledno in spodbujati spreminjanje prakse s pristopom ‘zgoraj navzdol’.
Ana Diaz Martinez (INCIBE) je opozorila, da mora vodstvo aktivno spodbujati ozaveščenost in jo vpeljati v prakse podjetja, pri čemer naj manjša podjetja izkoriščajo brezplačne vire, ki jih ponujajo strokovne organizacije. Stéphane Calé, vodja informacijske varnosti v podjetju Renault, je izpostavil potrebo po približanju abstraktnih tem kibernetske varnosti vsakdanjim uporabnikom, pri čemer so lahko koristni primeri iz drugih podjetij ter pomoč zunanjih strokovnjakov. Dodal je, da je igrifikacija učinkovito orodje za povečanje angažiranosti, predvsem med mlajšimi zaposlenimi, saj omogoča bolj interaktiven in zabaven pristop k učenju kibernetske varnosti. Pomembno pa je, da pristop prilagodimo različnim generacijam in potrebam zaposlenih.
Edel O’Brien (Irska centralna banka) pa je poudarila, da moramo spremeniti jezik, ki ga uporabljamo, in poudarjati, da je kibernetska varnost odgovornost vsakega posameznika. Pomembno je, da prevzemamo odgovornost, namesto da jo prelagamo na druge. Ključni izzivi so pomanjkanje ozaveščenosti in angažmaja, ter potreba po poenostavitvi sporočil, saj ljudje iščejo konkretne informacije. Kibernetska varnost zadeva tako osebno kot profesionalno življenje posameznika, zato je ključno, da se z njo ukvarjamo na obeg ravneh.
Kako pritegniti zaposlene?
Za učinkovit program ozaveščanja o kibernetski varnosti je ključno, da so ukrepi smiselni, imajo jasne cilje in omogočajo merjenje napredka. Program mora vključevati kazalnike uspešnosti (npr. prepoznavanje phishing napadov) in redna testiranja, da se lahko prilagodi in izboljša.
Pomembno je, da uporabnikom ne povzročamo frustracij – na primer, siljenje v pogosto menjavo gesel lahko zmanjša varnost zaradi povečanega števila napak. Namesto tega, moramo uporabnike opolnomočiti, da prevzamejo odgovornost za svojo varnost brez nepotrebenga strašenja pred posledicami. To velja tako za zaposlene kot za vse uporabnike, vključno s starejšimi, ki so pogosto bolj ranljivi zaradi pomanjkanja izkušenj in dostopa do informacij.
Napadalci napadajo ljudi, ne naprav, ker je to učinkoviteje in ceneje. Zato moramo poenostaviti izrazoslovje in kulturo varnosti prilagoditi tako, da postane jasna in dostopna za vse.
Ozaveščanje skozi zgodbo in igro?
Katja Dörlemann iz SWITCH je predstavila, kako lahko demistificiramo kibernetsko varnost skozi igre in sobe pobega, kjer na interaktiven način spodbujamo razumevanje osnovnih principov varnosti.
Predstavniki Allianz so z igro vlog prikazali, kako napadalci pridobijo zaupanje žrtve, z njo manipulirajo ter z naprednimi taktikami, kot so ponarejeni klici in phishing strani, pridobijo občutljive podatke. Rešitev vidijo v kombinaciji tehnične zaščite in “človeškega požarnega zidu”.
Iwona Prószyńska je predstavila delo poljskega nacionalnega odzivnega centra, ki se sooča z velikim porastom kibernetskih incidentov – v letu 2023 so zabeležili 80.267 prijav, skoraj dvakrat več kot leto prej. Predstavila je dobre prakse pripovedovanja zgodb (t.i. storytelling), saj s pripovedovanjem motiviramo ljudi k varnejšemu vedenju in pokažemo pozitivne učinke varnostnih praks.
Denislava Simeonova iz Evropskega parlamenta je predstavila pobudo hashtag#All4Cyber in poudarila, da je kibernetska varnost timska igra. Ključ do uspeha je integracija kibernetske kulture v vsakdanje življenje vseh uporabnikov, ne glede na njihovo tehnično znanje. Marianne Lindroth iz finske Univerze Aalto je predstavila projekt Cyber Citizen, ki z igro Cyber City Tycoon naslavlja ozaveščanje o kibernetski varnosti na dostopen in zanimiv način. Igra je na voljo v vseh jezikih EU in pomaga igralcem prepoznati ključne kibernetske grožnje v vsakdanjem življenju.
Konferenca je bila prvi tovrstni strokovni dogodek pod okriljem ENISE, SI-CERT pa je imel pri snovanju programa ter sami organizaciji zelo aktivno vlogo, na kar smo ponosni. Povabilo slovenskemu odzivnemu centru SI-CERT k soorganizaciji konference je rezultat naših desetletnih aktivnosti pri ozaveščanju uporabnikov v sklopu večkrat nagrajenega programa Varni na internetu.
Še nekaj odzivov na konferenco, povzetek na portalu združenja evropskih raziskovalnih omrežij GEANT Connect Online https://connect.geant.org/2024/12/03/building-together-the-human-firewall