Cyberhigiena nie powinna kojarzyć się z lękiem czy technicznymi nakazami, ale ze zdrowym rozsądkiem i zrozumieniem. Jak przekonuje Kamil Dembowski z Centrum Cyberbezpieczeństwa WSIiZ, kluczem do budowania bezpiecznych nawyków jest równowaga między świadomością zagrożeń a spokojem. Wtedy ostrożność staje się codziennym odruchem, a nie źródłem stresu. O tym, jak kultura organizacyjna, sposób komunikacji i otwartość na błędy wpływają na bezpieczeństwo cyfrowe, opowiada ekspert w ramach cyklu edukacyjnego „CyberPaździernik we WSIiZ”.
Jak uniknąć „wypalenia” albo paranoi związanej z nadmierną ostrożnością w sieci?
Kamil Dembowski: Kluczem jest znalezienie równowagi między świadomością zagrożeń a zdrowym rozsądkiem. Paranoja często pojawia się, kiedy pracownicy czują że wszystko w sieci to potencjalne zagrożenie, zamiast zrozumieć, dlaczego pewne zasady istnieją. Dlatego ucząc w tym zakresie powinniśmy opierać się nie na straszeniu, ale na zrozumieniu mechanizmów np. jak działa phishing i po czym go rozpoznać.
Ostrożność możemy wtedy przekształcić w naturalne nawyki, a nie źródło stresu i paniki. Warto też pomyśleć o odciążeniu naszych głów – automatyzacja prostych zadań bezpieczeństwa (np. menedżery haseł) pomaga skupić się na pracy, zamiast na paraliżującym lęku przed popełnieniem błędu. Zachowanie dobrej cyberhigieny to nie nieufność wobec wszystkiego cyfrowego, a świadomość ryzyka i umiejętność zachowania spokoju.
Warto też pamiętać, że bezpieczeństwo to gra zespołowa. Jeśli organizacja dba o to, by komunikaty o zagrożeniach były zrozumiałe i nie przepełnione technicznym żargonem, (to samo zresztą tyczy się polityk bezpieczeństwa) ludzie reagować będą spokojniej i bardziej racjonalnie.
Pomaga też stworzenie środowiska, w którym każdy może otwarcie przyznać się do pomyłki, bez obawy o konsekwencje. W takim środowisku pracownikowi o wiele łatwiej jest się otworzyć oraz, co bardzo ważne, zrozumieć przyczyny i implikacje swoich czynów. Kultura otwartości i wsparcia, a nie strachu buduje zdrowe nawyki i chroni przed obawą wobec nowoczesnego, cyfrowego świata.
Jakie są mentalne bariery, które utrudniają konsekwentne stosowanie zasad cyberhigieny, i jak je przezwyciężyć?
K.D.: Największą barierą jest przekonanie, że mnie to nie dotyczy. Wielu pracowników nie widzi siebie jako potencjalnego celu, więc lekceważy szkolenia czy ostrzeżenia. Drugim problemem jest rutyna. Gdy coś zawsze działało, albo innym działa to przestajemy kwestionować swoje nawyki. Aby to przełamać, trzeba budować kulturę rozmowy i otwartości: pozwolić pytać, popełniać drobne błędy i uczyć się na nich. Krótkie, praktyczne przykłady z życia organizacji działają lepiej, niż teoretyczne zasady i regulaminy. Dopiero, gdy pracownik zrozumie, że jego działanie może otworzyć drzwi do danych całej infrastruktury, zaczyna zastanawiać się nad cyberhigieną z przekonania, a nie z obowiązku.
Dodatkową barierą jest technologiczne wycofanie. Część osób, zwłaszcza mniej świadomych na temat problematyki cyberbezpieczeństwa, po prostu boi się cyfrowych narzędzi i reaguje ignorancją. Zasady bezpieczeństwa traktowane są wtedy jak coś obcego, a nie jak naturalny element codziennej pracy. Konieczne jest zastosowanie języka prostoty, pokazanie, że cyberhigiena to tak naprawdę rozszerzenie zdrowego rozsądku. Jeśli potrafimy dbać o klucze do domu, to potrafimy też dbać o hasła i dostęp. Im mniej abstrakcyjna wydaje się cyberhigiena, tym szybciej staje się częścią codziennych decyzji.
W jaki sposób kultura organizacyjna uczelni, a później firmy, w której podejmuje się pierwszą pracę, może wspierać lub hamować rozwój dobrych praktyk cyberhigieny u młodych specjalistów?
K.D.: Kultura organizacyjna to fundament. Jeśli uczelnia lub firma traktuje bezpieczeństwo jako obowiązek partii trzecich, a nie wspólną odpowiedzialność, to młodzi specjaliści budują złe nawyki. Właściwa kultura to taka, w której pytania o bezpieczeństwo są oznaką dojrzałości i odpowiedzialności. Warto promować otwartą komunikację i reagować bez strachu. Pracownik, który boi się zgłosić incydent, może stać się większym zagrożeniem, niż sam atak. Równie ważny jest przykład z góry. Jeśli kadra kierownicza sama stosuje zasady cyberhigieny, reszta zespołu naturalnie to naśladuje. Krótko mówiąc, kultura bezpieczeństwa jest sposobem myślenia całej organizacji.
Z drugiej strony, toksyczna kultura, w której dominuje presja i brak czasu, sprzyja zaniedbaniom. W takich środowiskach ludzie działają szybciej, bo gonią nas terminy, nie zostawiając sobie wystarczająco dużo czasu na zastanowienie się nad tym, co robią, albo mają tendencję do tworzenia prostych i mało skomplikowanych metod logowania aby uniknąć większego stresu związanego z koniecznością zarządzania hasłami. Cyberhigiena wymaga uważności, którą można utrzymać tylko tam, gdzie organizacja daje przestrzeń na refleksję i edukację. Firmy nagradzające odpowiedzialność zamiast prędkości, paradoksalnie działają szybciej, bo unikają przestojów spowodowanych błędami ludzkimi.
Jakie nietypowe konsekwencje może mieć zaniedbanie cyberhigieny w kontekście współczesnych technologii?
K.D.: Zaniedbanie cyberhigieny nie kończy się dziś tylko na utracie danych, ale może mieć bardzo subtelne i długofalowe skutki. Przykładem są wycieki, które latami „żyją” w internecie, a później wracają jako element socjotechniki, deepfake’ów czy manipulacji reputacją. W środowisku korporacyjnym jedna nieuważna osoba może nie tylko narazić dane, ale też podważyć zaufanie klientów i partnerów.
Coraz częściej konsekwencją jest też utrata wiarygodności zespołu IT, bo winę zwala się na technologię lub specjalistę, mimo że winny był, przykładowo pracownik nieuważnie publikujący dane. W epoce sztucznej inteligencji i automatyzacji każde niedopatrzenie człowieka może być błyskawicznie wykorzystane przez algorytmy atakujące setki celów jednocześnie.
Przykład: w 2017 roku doszło do ogromnego wycieku danych „Equifax”, w którym ujawniono dane milionów konsumentów: imiona, adresy, numery Social Secuirty (odpowiedniki PESEL). Choć sam wyciek nastąpił lata temu, informacje te ciągle pojawiały się w bazach sprzedaży danych, były wykorzystywane w atakach phishingowych i kradzieżach tożsamości przez lata po zdarzeniu. (To klasyczny przykład, jak dane mogą mieć długi „termin ważności” w rękach przestępców.)
Nietypową konsekwencją może być również cyfrowy szum informacyjny, sytuacja, w której przez brak higieny informacyjnej organizacja zaczyna tracić kontrolę nad własną cyfrową reputacją. Wyciek wewnętrznych prezentacji czy szkiców prototypów potrafi dziś napędzić fałszywe narracje, które rozchodzą się szybciej niż sprostowania. To pokazuje, że cyberhigiena to również wizerunkowa i strategiczna. Brak dbałości o dane to nie tylko ryzyko finansowe, ale jest też ryzykiem utraty wiarygodności i zaufania dla organizacji.
Dobrym przykładem jest sytuacja, która dotknęła koncern Sony Pictures w 2014 roku. Wyciekło wtedy kilkaset gigabajtów wewnętrznych maili i dokumentów, które nie tylko ujawniły dane pracowników, ale też prywatne rozmowy kadry kierowniczej. Media natychmiast podchwyciły wyrwane z kontekstu fragmenty, tworząc własne narracje i konflikty personalne. Efekt? Firma przez wiele miesięcy zmagała się z kryzysem wizerunkowym, mimo że część informacji była błędnie interpretowana. To klasyczny przykład, jak brak higieny informacyjnej i chaotyczne zarządzanie komunikacją mogą być receptą na wizerunkową katastrofę.
Istnieją też manipulacje deepfake. W ostatnich latach zdarza się, że nagrania audio lub video fałszywie przedstawiające np. dyrektora firmy są rozsyłane do mediów lub partnerów, by wywołać zamieszanie, podważyć decyzje lub szantażować firmę. Taki zabieg, powiązany z uprzednim wyciekiem danych, umożliwiaj kreowanie wiarygodnej narracji (ton głosu, kontekst rozmowy, cechy charakterystyczne).
Jak rozwinąć umiejętność krytycznego oceniania informacji o zagrożeniach i uniknąć efektu „fałszywych alarmów”?
K.D.: Najpierw warto zrozumieć, że nie każda sensacyjna informacja o cyberatakach ma zastosowanie w naszym kontekście. Krytyczne myślenie zaczyna się od pytania: czy to źródło jest wiarygodne i czy to nas dotyczy? Regularne śledzenie kilku sprawdzonych kanałów (np. CERT, NASK, Niebiezpiecznik, Zaufana Trzecia Strona i inne blogi branżowe) pozwala oddzielić realne alerty od medialnego szumu.
Ważne jest też, by w zespołach pojawiali się ambasadorzy ds. bezpieczeństwa albo wewnętrzni specjaliści jako osoby, które potrafią tłumaczyć informacje techniczne w sposób zrozumiały dla reszty. Wtedy cyberhigiena polegać będzie na świadomym filtrowaniu danych. Podejście minimalizujące emocje, a maksymalizujące racjonalistyczne podejście jest najlepszym sposobem, by nie dać się ani atakom, ani dezinformacji.
Drugim krokiem jest uczenie się świadomej weryfikacji informacji, sprawdzania źródeł zachowując zdrowy dystans wobec newsów, zamiast popadania w natychmiastową panikę. W praktyce oznacza to, że zanim przekażemy wiadomość dalej, bądź opublikujemy na social mediach, warto poczekać na potwierdzenie od kilku niezależnych źródeł. Organizacje mogą też wdrażać krótkie „alert review meetings”, czyli spotkania, na których zespół wspólnie ocenia realność zagrożeń. Takie praktyki uczą spokoju i analitycznego podejścia, które są najskuteczniejszym antidotum na panikę i fake newsy w świecie cyberbezpieczeństwa.
Z Kamilem Dembowskim rozmawiała Joanna Gościńska z Biura Prasowego i PR WSIiZ
Tekst powstał w ramach cyklu edukacyjno-informacyjnego „CyberPaździernik we WSIiZ”.