Przedmiotem tej analizy są szkolenia Sharp Security Awareness Training dostępne w ofercie firmy Sharp.
Szkolenia są przykładem dostępnych dla wszystkich treści z zakresu cyberbezpieczeństwa.
W dobie wielowektorowych zagrożeń cybernetycznych, rola człowieka jako najsłabszego ogniwa w łańcuchu bezpieczeństwa organizacji, jest coraz bardziej odczuwalna. Firmy powinny inwestować w zaawansowane narzędzia i technologie obronne, jednak bez odpowiednio przeszkolonego personelu, każde z tych rozwiązań może się okazać niewystarczające.
W Polsce nowy obowiązek prawny w ramach przeprowadzania szkoleń nakłada Krajowy System Cyberbezpieczeństwa (KSC) – operatorzy i dostawcy usług kluczowych muszą zwiększać świadomość pracowników w zakresie zagrożeń cybernetycznych by przeciwdziałać negatywnym konsekwencjom. KSC będzie aktualizowany, aby implementować dyrektywę NIS 2, ale już teraz wiadomo, iż nowe przepisy zwiększą odpowiedzialność kadry, która zarządza podmiotami kluczowymi. Za brak wywiązywania się z obowiązków będą grozić firmie kary finansowe, a zarządowi odpowiedzialność osobista i kary dyscyplinarne.
Najnowsze dane firmy Check Point są potwierdzeniem tezy zawartej we wstępnie o konieczność zwiększenia świadomości pracowników w zakresie cyberataków. Dane pokazują, iż od stycznia 2024 roku cyberprzestępcy najczęściej atakują organizacje nie poprzez luki w systemach informatycznych, ale z wykorzystaniem socjotechniki. W Polsce oraz na świecie głównym wektorem ataku przez cały czas są aplikacje poczty oraz przeglądarki internetowe obsługiwane przez pracowników. Natomiast autorzy złośliwego systemu najczęściej ukrywają je pod postacią znanych typów plików: EXE, XLS i DOCX (Excel, Word), PDF i RTF (kompatybilny z wieloma edytorami tekstu: OpenOffice, Google Docs, LibreOffice).
Dane telemetryczne firmy Malwarebytes o zasięgu globalnym pokazują jeszcze jeden trend. Otóż cyberprzestępcy chętnie używają wizerunku znanych firm oraz usług online, aby ukrywać złośliwe reklamy i linki do złośliwego oprogramowania. Tak zwany malwaretising jest niezwykle atrakcyjną metodą na infekowanie komputerów, ponieważ przybiera szeroki zasięg niskim kosztem finansowym, czasami jest trudny do wykrycia i może rozprzestrzeniać różnego rodzaju niebezpieczne oprogramowanie takie jak ransomware, spyware, trojany bankowe.
Dla przestępców złośliwe reklamy mają kilka zalet w porównaniu ze złośliwymi załącznikami w wiadomościach e-mail. Użytkownicy są znacznie mniej świadomi takich ataków i rzadko są przeszkoleni w ich wykrywaniu.
5 najczęściej wykorzystywanych hostów do dystrybuowania złośliwego oprogramowania:
- Dropbox
- Discord
- 4Sync
- GitLab
Szkolenia staną się standardem
Z perspektywy osób zarządzających bezpieczeństwem IT, istotną kwestią jest odpowiednie dobranie, wdrożenie i skonfigurowanie rozwiązania, aby podnieść poziom bezpieczeństwa firmy. Inwestowanie w omawiane w tym raporcie szkolenia, staje się nieodłącznym elementem strategii cyberbezpieczeństwa każdej organizacji. Dlatego z myślą o licznych wyzwaniach powstała usługa Sharp Awareness Training – szkolenia, które mają na celu podnoszenie świadomości na temat zagrożeń cybernetycznych wśród pracowników na każdym szczeblu organizacji.
Dobre szkolenie z zakresu cyberbezpieczeństwa powinno odwzorowywać realne scenariusze, z którymi pracownicy mogą spotkać się na co dzień. Pozwala to uczyć się nie tylko teorii, ale przede wszystkim praktycznego podejścia do ochrony przed cyberatakami. Co więcej dobrze przeprowadzone szkolenie minimalizuje liczne ryzyka związane z błędami ludzkimi, a to w jaki sposób zrealizowane kursy z zagadnień ataków socjotechnicznych sprawdzają się w praktyce, omawiamy w tym materiale.
Sharp Security Awareness Training może być dużym krokiem w stronę zwiększania bezpieczeństwa oraz nabierania pewności, iż firma jest przygotowana na wyzwania związane z zagrożeniami socjotechnicznymi kolejnych generacji.
Technicznie o Sharp Security Awareness Training
Security Awareness Training od Sharp to usługa szkoleń online dotycząca wielu aspektów bezpieczeństwa IT. Składa się z kilkudziesięciu modułów, które są regularnie aktualizowane. Użytkownicy, którzy zostali zaproszeni do szkolenia, otrzymują wiadomości e-mail z linkami do modułów edukacyjnych wraz z okresowymi przypomnieniami, o ile jeszcze nie zapoznali się z daną tematyką. Dodatkowo Sharp automatycznie dba o przeprowadzane symulacje prawdziwych ataków, z których dostępne są szczegółowe raporty. Dostęp do statystyk posiadają osoby z rolą administratora organizacji.
Możemy wypunktować, iż na szeroko rozumiane bezpieczeństwo IT w skali przedsiębiorstwa, składa się kilka czynników. Oprócz dedykowanych rozwiązań ochrony urządzeń końcowych zainstalowanych na urządzeniach pracowników, całościowego monitoringu ruchu sieciowego, rejestrowania dostępu do zasobów, zarządzania podatnościami, uwierzytelnianiem użytkowników i mikro-autoryzacją, kluczowym czynnikiem wciąż pozostają umiejętności techniczne pracowników. Zaawansowane narzędzia potrafią wykrywać, blokować i raportować różne ataki, natomiast nie istnieją w pełni niezawodne rozwiązania, które zapewnią całkowitą ochronę. Dodatkowo systemy zabezpieczające monitorują przepływ informacji wyłącznie na urządzeniach w sieci korporacyjnej, a gdy pracownik do celów służbowych wykorzystuje prywatny sprzęt, nie ma bezpośredniej możliwości ochrony i monitorowania jego aktywności. Zagrożenia związane z brakiem odpowiednich zabezpieczeń nie pojawiają się wyłącznie podczas wykonywania czynności służbowych — pracownik może otrzymać wiadomość phishingową na jednym z serwisów społecznościowych.
Sposobem na zwiększenie umiejętności pracowników są szkolenia. W praktyce samo przeprowadzenie lekcji edukacyjnych może nie być wystarczające, ponieważ wiedzę możliwą do zdobycia trzeba zweryfikować, utrwalać i uzupełniać – najlepiej na przykładach rzeczywistych ataków. Nawet, jeżeli w strukturach firmy znajduje się dział IT, to kompleksowe przygotowanie wartościowego szkolenia z pewnością zajmie znaczną ilość czasu. Dlatego odpowiednim rozwiązaniem może być skorzystanie z zewnętrznych usług w takim zakresie.