16 września 2024 r. - Cyber security
Jest to BARDZO szczegółowy przewodnik dotyczący szkoleń z zakresu świadomości bezpieczeństwa na rok 2026.
W tym nowym artykule dowiesz się o:
- Znaczenie security awareness
- Różne rodzaje szkoleń security awareness
- Najlepsze sposoby na zaangażowanie Twojej organizacji
- Sposoby, w jakie znane holenderskie marki szkolą swoich pracowników
Zanurzmy się od razu.
Czym jest szkolenie security awareness ?
Security awareness to szkolenie, które przygotowuje pracowników do rozpoznawania i unikania cyberzagrożeń, które mogą napotkać w pracy lub w życiu osobistym. Dobry program szkoleniowy w zakresie bezpieczeństwa podnosi świadomość w kwestiach takich jak phishing, złośliwe oprogramowanie (malware), socjotechnika i inne zagrożenia cyfrowego świata.
Security awareness Szkolenie może obejmować określone zasady lub ramy regulacyjne, takie jak HIPAA, lub może być bardziej ogólne. Szkolenia mogą przybierać różne formy, od corocznych zajęć odświeżających wiedzę, po ciągłą naukę prowadzoną regularnie.
Dlaczego szkolenie security awareness jest tak ważne?
Nawet 95% wszystkich włamań i wycieków danych jest spowodowanych błędami ludzkimi. Od kliknięcia linku phishing po używanie słabych haseł - błędy popełniane przez ludzi są często początkiem cyberprzestępczości. Dlatego tak ważne jest przeszkolenie pracowników, aby nauczyli się rozpoznawać i zgłaszać cyberzagrożenia.
Znaczenie szkolenia security awareness jest gorącym tematem od lat. Nie każdy specjalista ds. bezpieczeństwa uważa je za konieczne, ponieważ uważa, że nie można wykluczyć błędu ludzkiego. Wierzą w pomiary technologiczne zapewniające bezpieczeństwo nawet w przypadku wystąpienia błędów ludzkich.
W Guardey wierzymy w połączenie obu tych rozwiązań. Chociaż prawdą jest, że szkolenie nie może zagwarantować bezpieczeństwa, rozumiemy, że technologia również nie może. Żaden filtr antyspamowy na świecie nie gwarantuje, że wyłapie wszystkie wiadomości phishing . Jeśli chodzi o ten jeden procent phishing , który przedostaje się przez zabezpieczenia technologiczne, chcesz, aby Twoi pracownicy byli świadomi zagrożeń związanych z phishing.
Istnieje wiele cyberzagrożeń, którym nie można zapobiec za pomocą technologii. Pomyśl o prawdziwej inżynierii społecznej, w której osoba wchodzi do biura i przekonuje recepcję, że jest wykonawcą, który potrzebuje dostępu do serwerów. Takim sytuacjom można zapobiec tylko wtedy, gdy wszyscy w Twojej organizacji mają wysokie poczucie security awareness.
Wprowadzenie do typowych cyberzagrożeń
Phishingvishing, smishing i quishing
Phishing to wykorzystywanie wiadomości e-mail do atakowania celu. Wiadomości e-mail Phishing udają, że pochodzą od kogoś, komu cel zwykle ufa, na przykład klienta lub współpracownika, lub od godnego zaufania podmiotu, takiego jak bank lub sprzedawca internetowy. Czasami celem wiadomości e-mail phishing jest nakłonienie odbiorcy do pobrania złośliwego oprogramowania. Częściej jednak celem jest uzyskanie poufnych informacji, takich jak dane logowania do usługi bankowości internetowej lub dane osobowe, takie jak numer ubezpieczenia społecznego.

Vishing to podobny atak wykorzystujący połączenia głosowe i wideo, podczas gdy smishing opiera się na SMS-ach i wiadomościach tekstowych. Spear phishing to atak skierowany do konkretnej osoby, na przykład członka kadry kierowniczej wyższego szczebla lub kogoś z dostępem do systemów IT. W takich przypadkach haker często stosuje inżynierię społeczną, żeby ofiara uwierzyła, że wiadomość jest autentyczna. Quishing to wykorzystywanie kodów QR, które nakłaniają ofiary do odwiedzania złośliwych stron internetowych lub przelewania pieniędzy bezpośrednio przestępcom.
Złośliwe oprogramowanie
Złośliwe oprogramowanie to złośliwe oprogramowanie rozprzestrzeniane przez cyberprzestępców. Może infekować pojedyncze komputery i inne urządzenia lub całe sieci. Istnieje wiele różnych rodzajów złośliwego oprogramowania. Oto kilka przykładów:
Wirusy
Wirusy to samoreplikujące się programy zaprojektowane w celu wyrządzenia szkód w systemie, usunięcia danych lub wprowadzenia dalszych luk w zabezpieczeniach, które można wykorzystać.
Konie trojańskie
Konie trojańskie to programy, które podszywają się pod legalne oprogramowanie, ale powodują szkody w systemie. Konie trojańskie często ukrywają się niewykryte w systemach komputerowych przez dłuższy czas, kradnąc informacje i wysyłając je do cyberprzestępców. Powszechnym rodzajem konia trojańskiego jest keylogger. Rejestruje on wszystkie naciśnięcia klawiszy wprowadzane do zainfekowanego komputera, potencjalnie ujawniając hasła i inne poufne informacje. Może to być następnie wykorzystane do dalszych przestępstw, takich jak kradzież danych i kradzież tożsamości.
Ransomware
Innym popularnym rodzajem złośliwego oprogramowania jest ransomware. Ransomware to złośliwe oprogramowanie zaprojektowane w celu uzyskania okupu od ofiary. Zazwyczaj ransomware szyfruje wszystkie pliki w systemie komputerowym lub sieci, a następnie żąda okupu od ofiary w zamian za środki do ich odszyfrowania.
Żądane okupy są często bardzo wysokie, czasami znacznie przekraczające możliwości ofiary. Nawet jeśli okup zostanie zapłacony, nie ma gwarancji, że atakujący dostarczy klucze deszyfrujące. W wielu przypadkach zaszyfrowane pliki są tracone na dobre. W ostatnich latach doszło do wielu głośnych ataków ransomware, takich jak atak z 2023 r. na brytyjską Narodową Służbę Zdrowia.
Ransomware rośnie na całym świecie, a wielkość płatności okupu rośnie.

Złośliwe strony internetowe
Złośliwe strony internetowe, znane również jako strony atakujące, to strony internetowe, które zawierają złośliwy kod z zamiarem nakłonienia użytkowników do pobrania go na swoje urządzenia. W niektórych przypadkach strony atakujące są tworzone w tym konkretnym celu. W innych przypadkach legalna witryna zostaje przejęta przez cyberprzestępców, którzy następnie umieszczają na niej złośliwy kod. Niektóre witryny, zwane witrynami atakującymi drive-by, nie wymagają nawet od ofiary kliknięcia łącza pobierania lub interakcji w jakikolwiek sposób - wystarczy odwiedzić witrynę, aby zainfekować system, który jest niewłaściwie zabezpieczony.
Złośliwe strony internetowe mogą również imitować zaufane witryny w celu nakłonienia użytkowników do wprowadzenia swoich danych logowania, umożliwiając przestępcom uzyskanie dostępu do kont ofiar.
Ataki USB
Nośniki wymienne, takie jak dyski USB, mogą być łatwo wykorzystane jako wektor dla złośliwego kodu. W niektórych przypadkach przestępca może uzyskać fizyczny dostęp do urządzeń organizacji; częściej atakujący pozostawiają zainfekowane pamięci USB w miejscach, w których mogą je znaleźć nieświadomi pracownicy.
Atakujący może łatwo zdobyć dysk USB ozdobiony logo organizacji docelowej lub innego zaufanego podmiotu, takiego jak klient lub stały dostawca, i pozostawić go w pobliżu pomieszczeń, w których zostanie odebrany. Liczą na to, że ciekawscy lub pomocni pracownicy podłączą dysk USB do jednego z komputerów w sieci organizacji, aby sprawdzić jego zawartość. Po podłączeniu zainfekowany dysk może zdeponować ładunek złośliwego oprogramowania.
Zauważ, że każde urządzenie zdolne do przechowywania danych może być wykorzystane do tego rodzaju ataku, w tym odtwarzacze MP3, aparaty cyfrowe i smartfony. Jednym z ostatnich przykładów jest Sogu, kampania cyberszpiegowska wspomagana przez USB, która jest wymierzona w wiele branż.
Wszystkie te ataki mogą mieć katastrofalne skutki dla organizacji. Możesz zminimalizować prawdopodobieństwo bycia dotkniętym takim atakiem dzięki odpowiedniemu szkoleniu security awareness dla pracowników i właścicieli firm. Gdy personel organizacji jest świadomy zagrożeń i sposobów ich uniknięcia, przestaje być punktem awarii, a staje się ludzką zaporą ogniową.
Lista jest długa
Wyżej wymienione cyberzagrożenia są jednymi z najbardziej rozpowszechnionych, ale cyberprzestępcy mają wiele metod kradzieży cennych danych. W miarę upływu czasu ich metody stają się coraz lepsze i trudniejsze do zauważenia dla niewprawnego oka. Zwłaszcza w obliczu rosnącej popularności sztucznej inteligencji, różne rodzaje cyberzagrożeń wydają się nieograniczone.
Różne rodzaje szkoleń security awareness
Istnieje wiele sposobów szkolenia pracowników. Poniżej omówimy niektóre z najczęściej używanych.
Kursy roczne
Wiele organizacji nadal polega na corocznych szkoleniach, aby przygotować swoich pracowników do radzenia sobie z cyberzagrożeniami. Coroczne szkolenia security awareness dla pracowników wiążą się z dwoma głównymi problemami. Po pierwsze, krajobraz zagrożeń cyfrowych stale się zmienia. Nowe zagrożenia pojawiają się cały czas, a nie tylko raz w roku, więc coroczne szkolenia szybko stają się nieaktualne.

Po drugie, ludzie po prostu nie zapamiętują informacji przez cały rok. Nawet najbardziej uważny uczeń nie zapamięta wszystkiego, czego się nauczył przez okres dłuższy niż kilka miesięcy. Ten zanik wiedzy oznacza, że wiedza pracowników będzie z czasem stawać się coraz mniej kompleksowa, przez co będą oni mniej skuteczni w unikaniu zagrożeń.
Szkolenie w klasie
Szkolenie w klasie ma pewne zalety w porównaniu z innymi metodami nauczania. Tworzy środowisko wolne od rozpraszania uwagi, w którym uczniowie mogą skupić się na konkretnych tematach, które muszą zrozumieć i zinternalizować. Szkolenie w klasie ma jednak znaczące wady. Uczniowie muszą być odciągani od innych zajęć, co oznacza, że albo pozostają w tyle z zadaniami roboczymi, albo rezygnują z wolnego czasu.

Szkolenia w klasie wymuszają również na uczniach model uniwersalny, w którym niektórzy uczniowie czują się znudzeni lub pozbawieni wyzwań, a inni są zdezorientowani nowymi tematami.
Tradycyjny e-learning
Tradycyjny e-learning próbuje replikować naukę w klasie w środowisku zdalnym. Zajęcia są dostarczane za pośrednictwem platformy takiej jak Canvas lub Moodle, przy użyciu slajdów i innych mediów. Zazwyczaj są to wykłady, nagrane wcześniej lub prowadzone na żywo przez instruktora. Podczas gdy tradycyjny e-learning jest bardziej elastyczny i skalowalny niż nauka w klasie, ma kilka takich samych wad. Nauka ma tendencję do bycia pasywną, z ograniczoną interaktywnością i słabym zaangażowaniem lub retencją.
Szkolenie oparte na grywalizacji
Gamifikowane szkolenia security awareness oferowane przez dostawców takich jak Guardey to nowoczesne rozwiązanie. Jest ono podobne do podejścia stosowanego przez aplikacje do nauki języków, takie jak Duolingo. Zamiast być prezentowanym z dużą ilością informacji raz w roku lub jako dyskretne zajęcia z ograniczoną interakcją, uczniowie otrzymują stały przepływ krótkich, łatwo przyswajalnych szkoleń.

Dzięki Guardey użytkownicy otrzymują cotygodniowe wyzwania, których ukończenie zajmuje im około 3 minut. Podczas wyzwania dowiadują się o zagrożeniach cybernetycznych, takich jak phishing, złośliwe oprogramowanie, słabe hasła i sztuczna inteligencja. Osiągając dobre wyniki podczas wyzwań, mogą zdobywać punkty do tabeli liderów organizacji. Udowodniono, że przyjazna rywalizacja między współpracownikami utrzymuje zaangażowanie użytkowników.
Dzięki grywalizacji użytkownicy zyskują wewnętrzną motywację do dalszej nauki. Niezależnie od tego, czy chodzi o osiągnięcie najwyższego miejsca w tabeli liderów, kontynuowanie gorącej passy kolejnych rozegranych tygodni, czy po prostu poprawienie własnego wysokiego wyniku.
Jak zaangażować Twoją organizację w szkolenie security awareness
Zdecydowałeś, że grywalizacja jest idealnym rozwiązaniem dla potrzeb szkoleniowych Twojej organizacji w zakresie bezpieczeństwa. Znalazłeś kilka świetnych produktów, które spełniają wszystkie Twoje wymagania. Teraz nadchodzi trudna część: przekonanie twojej organizacji do przyjęcia nowego rozwiązania szkoleniowego.
Ludzie mogą niechętnie podchodzić do szkoleń z zakresu bezpieczeństwa opartych na grywalizacji z kilku powodów. Będziesz musiał odpowiedzieć na wiele pytań. Czym jest security awareness? Jakie korzyści przyniesie to organizacji? Osoby, które przeszły już coroczne zajęcia z cyberbezpieczeństwa, mogą uważać, że nie mają nic do zyskania dzięki ciągłym szkoleniom. Menedżerowie i kadra kierownicza mogą uważać, że ich pracownicy są zbyt bystrzy, by dać się nabrać na e-mail phishing lub tajemniczy pendrive na parkingu. Oto kilka pomysłów, które mogą pomóc przekonać ludzi i zachęcić ich do wzięcia udziału w szkoleniu.
Zorganizuj tydzień security awareness : zabawne i angażujące wydarzenie security awareness może sprawić, że ludzie będą podekscytowani cyberbezpieczeństwem i będą chcieli dowiedzieć się więcej.
Przeprowadź symulację ataku typu spear phishing: Realistyczna symulacja ataku typu spear phishing skierowana do kluczowych osób może pomóc w wykazaniu, że każdy w twojej organizacji może być narażony na zagrożenie.
Zatrudnij gościnnego mówcę: Prelegent-ekspert może pomóc przekonać ludzi do twojego punktu widzenia skuteczniej niż abstrakcyjne informacje. Może to być ofiara cyberprzestępstwa, ekspert ds. bezpieczeństwa, a nawet etyczny haker w białym kapeluszu.
Jak holenderskie organizacje prowadzą szkolenia security awareness
Oto kilka przykładów holenderskich organizacji, które z powodzeniem wdrożyły szkolenie security awareness dla swoich pracowników.
EyeOn

EyeOn to firma specjalizująca się w prognozowaniu i planowaniu, pomagająca międzynarodowym firmom w zarządzaniu wyzwaniami związanymi z łańcuchem dostaw. EyeOn jest odpowiedzialny za dużą ilość danych swoich klientów, które muszą być przetwarzane w bezpieczny sposób. Firma wdrożyła grywalizacyjne rozwiązanie szkoleniowe w zakresie cyberbezpieczeństwa, aby upewnić się, że jej pracownicy sprostają wyzwaniu i dostosują swoje bezpieczeństwo do wymogów certyfikacji ISO27001.
Wprowadzili nowy program szkoleniowy wśród pracowników, który nazwali tygodniem security awareness . "Każdy dzień rozpoczynaliśmy od 15-minutowej rozmowy, którą nazywaliśmy nadrabianiem zaległości w zakresie bezpieczeństwa. Każdy dzień miał określony temat. Pierwszy z nich nosił nazwę "od biurka do celu". Chodziło o środki bezpieczeństwa podczas podróży, takie jak korzystanie z ekranu bezpieczeństwa, bezpieczne przechowywanie laptopa itp. Kolejny temat dotyczył poufnych danych, co nazwaliśmy "jak nie wpaść w kłopoty z SEC".
Priore

Priore oferuje usługi księgowe i doradztwa podatkowego. W związku z odpowiedzialnością za poufne informacje finansowe klientów, cyberbezpieczeństwo ma dla nich kluczowe znaczenie. Firma Priore chciała utrzymać wysoki poziom security awareness wśród swoich pracowników przez cały czas. Dlatego zrezygnowali z corocznego kursu cyberbezpieczeństwa na rzecz rozwiązania, które zapewnia ciągłe uczenie się: Guardey.
"80% organizacji natychmiast zaczęło aktywnie angażować się po pierwszym e-mailu wprowadzającym. Po miesiącu lub dwóch wszyscy poza 1 lub 2 osobami korzystali z Guardey co tydzień. Wszystko to wynikało z wewnętrznej motywacji i zrozumienia znaczenia security awareness. Nie ma żadnych zachęt, takich jak comiesięczna nagroda lub cokolwiek innego, więc nadal możemy spróbować, jeśli uczestnictwo spowolni".
Konot

KONOT jest fundacją edukacyjną, zapewniającą edukację w 22 holenderskich szkołach podstawowych. Organizacja potrzebowała rozwiązania szkoleniowego security awareness , które dostosowałoby ją do RODO. Będąc już celem wielu nieudanych cyberataków, KONOT potrzebował produktu szkoleniowego, który informowałby i uświadamiał pracowników przez cały czas. Firma Guardey zaoferowała ciągłe szkolenia i ewaluację, aby zapewnić spójność security awareness.
KONOT niedawno wdrożył Guardey, a pierwsze opinie od użytkowników już napływają. "Pierwsze opinie, które otrzymaliśmy, są entuzjastyczne. Guardey sprawił, że stali się naprawdę konkurencyjni, co jest dobrym znakiem" - mówi Martijn. "Jest bardzo przystępny, co doceniam. Nieliczni byli mniej podekscytowani koncepcją świadomości szkoleniowej, zanim zaczęliśmy, ale wkrótce dokonamy z nimi oceny". Frieda kontynuuje: "W ogóle nie jestem graczem, ale zauważyłam też, że ciągle podejmuję nowe wyzwania. Naprawdę łatwo jest przebrnąć przez pytania".
Delta Wines

Delta Wines jest hurtownią wina. Kiedy ich ubezpieczyciel podkreślił znaczenie szkolenia security awareness i nadchodzącej dyrektywy NIS2, dyrektor generalny Delta Wines podjął działania. Aby zaangażować wszystkich, przeprowadzono symulację phishing , która dla wielu osób była cennym sygnałem ostrzegawczym. Po tym, jak wielu pracowników dało się nabrać na przekonującą wiadomość e-mail, byli oni bardzo otwarci na dodatkowe szkolenia.
"Otrzymujemy wiele pozytywnych opinii. Wielu pracowników natychmiast zaczyna grać w nowe cotygodniowe wyzwanie po otrzymaniu wiadomości e-mail z informacją, że jest ono gotowe. Niektórzy z nich są poważnie rozczarowani, gdy otrzymają błędne pytanie. Rozpoczęło to wiele wewnętrznych dyskusji na temat bezpieczeństwa, co jest świetne".
Gezamenlijke Brandweer Amsterdam

Gezamenlijke Brandweer Amsterdam (United Fire Department Amsterdam) to główna straż pożarna, której zadaniem jest reagowanie na incydenty w przemysłowej części Amsterdamu. Jeśli straż pożarna padnie ofiarą cyberataku, skutki mogą być katastrofalne. Departament musiał również spełnić wymagania NIS2. Kierownik zespołu Raymond Pikee potrzebował powtarzalnego rozwiązania szkoleniowego, które byłoby zabawne i angażujące.
W tabeli liderów strażacy mogą zobaczyć, jak dobrze radzą sobie w porównaniu z kolegami, co zwiększa wewnętrzną rywalizację. "Jesteśmy grupą nastawioną na rywalizację, więc to miły akcent. Te elementy grywalizacji sprawiają, że gra w Guardey jest przyjemna, co pomaga nam również zapamiętać informacje".
Jak rozpocząć wdrażanie szkolenia security awareness
Teraz, gdy rozumiesz już podstawy szkolenia security awareness , możesz rozpocząć poszukiwania dostawcy usług szkoleniowych, który najlepiej spełnia Twoje oczekiwania.
W Guardey oferujemy gamifikowane szkolenia security awareness , które koncentrują się na utrzymaniu zaangażowania użytkowników przez długi czas. Korzystając z tabeli liderów, osiągnięć, gorących serii i innych elementów grywalizacji, użytkownicy mają poczucie przyjaznej rywalizacji, która zwiększa ich zaangażowanie.
Wypróbuj 14 dni za darmo
Wypróbuj gamifikowaną platformę szkoleniową Guardey security awareness za darmo.
Rozpocznij bezpłatny okres próbny