Kibernetička sigurnost nije samo tehnički izazov – ona je u velikoj mjeri ljudski izazov. Prava promjena dolazi tek kad zaposlenici usvoje sigurna ponašanja, a to je moguće samo kroz edukaciju koja je interaktivna, relevantna i metodički osmišljena. O toj temi razgovaramo sa Zoranom Kežmanom, stručnjakom za kibernetičku sigurnost koji je osmislio upravo takve edukacije koje se provode u Span Centru kibernetičke sigurnosti.
Za početak, koliko su danas ljudi zapravo svjesni kibernetičkih prijetnji i zašto napadači najčešće uspijevaju?
Većina zaposlenika zna da postoje prijetnje poput phishinga, zlonamjernih privitaka ili lažnih web stranica. No, napadači i dalje uspijevaju jer ciljaju na naše slabosti – brzinu, rutinu, povjerenje, distrakciju. Primjerice, lažna poruka koja izgleda kao obavijest banke ili kolege često će nas navesti na klik, pogotovo kad smo pod stresom ili žurimo. Statistike pokazuju da je više od 68% uspješnih napada rezultat ljudske pogreške ili slabosti.
Možete li navesti neki svakodnevni primjer koji ilustrira razliku između znanja i ponašanja u sigurnosti?
Najbolji primjer je situacija s korištenjem mobilnog telefona tijekom vožnje. Svi smo svjesni da je to opasno i da je zakonom zabranjeno, ali unatoč tome mnogi ljudi i dalje koriste pametni telefon za slanje ili čitanje poruka dok voze. Znamo da riskiramo vlastitu i tuđu sigurnost, ali u trenutku kad stigne poruka ili obavijest, često popustimo i posegnemo za mobitelom. To jasno pokazuje da samo znanje o riziku nije dovoljno da bismo promijenili ponašanje. Slično je i s kibernetičkom sigurnošću – većina zaposlenika zna da ne bi smjela kliknuti na sumnjive poveznice ili otvarati nepoznate privitke, ali u svakodnevnoj žurbi, iz znatiželje ili navike, ipak to učinimo. Prava promjena nastaje tek kad se izgradi nova navika i kad sigurno ponašanje postane automatsko, baš kao što bi i vezanje pojasa u autu trebalo biti.
Zašto tradicionalni programi podizanja svijesti često ne daju željene rezultate?
Tradicionalni programi često se svode na isporuku informacija – prezentacije, letci, kvizovi. No, ljudi nisu strojevi: više informacija ne znači automatski bolje ponašanje. Postoji jaz između znanja, namjere i stvarnog ponašanja. U stvarnom životu, pod pritiskom, ljudi se vraćaju navikama, biraju lakši ili brži put, ili jednostavno zaborave na pravila.
Kako onda postići stvarnu promjenu ponašanja zaposlenika?
Potrebno je dizajnirati edukaciju koja uzima u obzir ljudsku prirodu. To znači koristiti principe iz bihevioralne znanosti: motivaciju, jednostavnost i pravovremene poticaje. Primjerice, umjesto samo informiranja o phishingu, korisnicima treba omogućiti da kroz simulacije i praktične zadatke sami prepoznaju prijetnje i uvježbaju reakcije. Ključ je u ponavljanju, interaktivnosti i povezivanju sadržaja s realnim situacijama.
Koje su najčešće prepreke u mijenjanju sigurnosnog ponašanja?
Najveće prepreke su navike, osjećaj da “meni se to neće dogoditi”, te kompleksnost sigurnosnih pravila. Ako je nešto teško, ljudi će to izbjegavati. Zato edukacija mora biti jednostavna, relevantna i motivirajuća. Također, važno je stvarati pozitivnu sigurnosnu kulturu – gdje se greške ne kažnjavaju, već se iz njih uči.
Span je prepoznao sve ove izazove i potrebe – kako ste odgovorili na njih?
Upravo zato što smo u praksi vidjeli koliko je zahtjevno postići stvarnu promjenu ponašanja, odlučili smo razviti vlastite edukacijske sadržaje za samoučenje iz područja kibernetičke sigurnosti. Naš cilj bio je ponuditi rješenje koje će stvarno smanjiti ljudski rizik u organizacijama – dakle, ne samo podići svijest, nego potaknuti konkretne promjene u svakodnevnom ponašanju zaposlenika. Osim toga, svjesni smo da sve više organizacija u Hrvatskoj ima zakonsku obvezu redovite edukacije zaposlenika iz područja kibernetičke sigurnosti, pa smo naše materijale osmislili tako da olakšaju i usklađivanje sa Zakonom o kibernetičkoj sigurnosti i drugim regulatornim zahtjevima. Ukratko, željeli smo ponuditi edukaciju koja je istovremeno učinkovita, praktična i usklađena s potrebama modernih organizacija.
Kako vaši edukacijski moduli konkretno potiču promjenu ponašanja kod zaposlenika?
Naši moduli su osmišljeni tako da polaznici ne mogu biti pasivni promatrači. Kroz cijeli proces stalno ih uključujemo – bilo kroz rješavanje zadataka, sudjelovanje u simulacijama napada ili odgovaranje na pitanja iz stvarnog života. Svaka tema je povezana s realnim primjerima iz poslovnog okruženja, tako da ljudi odmah mogu prepoznati situacije iz vlastite prakse. Povratna informacija je trenutna, što znači da polaznici odmah saznaju gdje su pogriješili i kako mogu bolje reagirati sljedeći put. Na taj način, edukacija nije samo “odrađena”, nego stvarno mijenja svakodnevne navike i način razmišljanja zaposlenika.
Što biste izdvojili kao najveće metodičke prednosti vaših edukacijskih sadržaja?
Rekao bih da je najveća prednost to što je svaki modul pažljivo strukturiran – počinjemo s jasnim ciljevima, a gradivo je podijeljeno u kratke, lako savladive cjeline. Kroz cijeli program koristimo razne formate (tekst, animacije, infografike, interaktivne zadatke), što dodatno olakšava učenje. Posebno pazimo da su svi primjeri i zadaci prilagođeni različitim profilima zaposlenika. Svaki modul završava kvizom, a završni ispit izvlači pitanja iz velike baze, tako da se znanje provjerava temeljito i objektivno. Uz to, polaznici dobivaju motivacijske elemente i vizualne pokazatelje napretka, što dodatno potiče angažman i osjećaj uspjeha.
Koje teme pokrivaju vaši moduli i kako su strukturirani?
Pokrivamo sve ključne domene kibernetičke sigurnosti: prijetnje i napadi, phishing, zaštita korisničkih računa, zlonamjerni softver, mjere opreza na internetu, socijalni inženjering, fizička sigurnost, sigurno rukovanje dokumentima, rad na daljinu, sigurnost na društvenim mrežama, izvješćivanje o incidentima i drugo. Svaki modul traje desetak minuta, a cjelokupni program je modularan i prilagodljiv potrebama organizacije.
Kako se online učenje uklapa u cjelovitu isporuku edukacija u Span Centru kibernetičke sigurnosti i kako izgleda vaš pristup edukaciji?
Online učenje predstavlja ključni dio sveobuhvatnog pristupa edukaciji u Span Centru kibernetičke sigurnosti (SCKS) jer omogućuje fleksibilnost, dostupnost i prilagodbu korisnicima. U SCKS-u se edukacija ne promatra kao jednokratna informativna aktivnost, već kao kontinuirani proces koji kombinira različite metode i formate kako bi se postigla stvarna promjena ponašanja. Kroz online tečajeve polaznici mogu učiti vlastitim tempom, uz sadržaje koji su prilagođeni njihovoj razini znanja. Pored treninga kojima je cilj podizanje svijesti o sigurnosnim prijetnjama i namijenjenih svim zaposlenicima, usmjereni smo na izvođenje treninga za menadžment i specijalističke treninge. Specijalistički treninzi fokusirani su na napredne teme iz kibernetičke sigurnosti, a namijenjeni su IT-profesionalcima i kibernetičkim stručnjacima. Treninzi osmišljeni za menadžment i donositelje poslovnih odluka pružaju im strateško razumijevanje kibernetičkih prijetnji i upravljanja rizicima.
Kako zainteresirani mogu isprobati ili saznati više o vašim edukacijskim sadržajima koji su namijenjeni svim zaposlenicima?
Na našoj web stranici omogućili smo pristup demo verziji koja sadrži isječke iz nekih od naših modula, no pozivamo sve zainteresirane da nas direktno kontaktiraju – vrlo rado ćemo i uživo predstaviti naše materijale.
