2024 Fortinet Security Awareness and Training Global Research Report

Wg opracowania 2024 Fortinet Security Awareness and Training Global Research – w 70 proc. firm pracownikom brakuje podstawowej świadomości w zakresie cyberbezpieczeństwa. Komentowane badania ukazują związek między wysoką świadomością cybernetyczną w obrębie firmy i zmniejszeniem ryzyka dla całej organizacji

Kluczowe wnioski z raportu dotyczące Europy, Bliskiego Wschodu i Afryki:

    • Cyberprzestępcy coraz chętniej sięgają po sztuczną inteligencję, aby zwiększyć liczbę przeprowadzanych ataków oraz ich skuteczność. Ze względu na to, zdaniem przedstawicieli kadr kierowniczych ankietowanych firm, cyfrowe incydenty staną się znacznie trudniejsze do wykrycia przez ich personel. 61 procent respondentów spodziewa się, że więcej pracowników padnie ofiarą ataków, w których cyberprzestępcy wykorzystują AI. Dobrą wiadomością jest jednak to, że świadomość tego zagrożenia wpłynęła na sposób, w jaki przedsiębiorstwa postrzegają ideę szkoleń z zakresu cyberbezpieczeństwa. 77 procent respondentów uważa, że stosunek do tej praktyki w ich firmach poprawił się.
    • Pracownicy mogą być pierwszą linią obrony firmy. Przedstawiciele kadr kierowniczych coraz bardziej martwią się jednak o to, że ich personel nie posiada wystarczającej świadomości nt. cyfrowych zagrożeń. 67 procent respondentów uważa, że ich pracownikom brakuje podstawowej wiedzy z zakresu cyberbezpieczeństwa. W 2023 roku opinię tę wyraziło 53 proc. ankietowanych.
    • Przedstawiciele kadr kierowniczych są świadomi tego, jak duże znaczenie mają szkolenia w zakresie cyberbezpieczeństwa. Trzy czwarte respondentów planuje rozpocząć kampanie uświadamiające ich personel w zakresie cyfrowego bezpieczeństwa. 26 proc. z nich zamierza prowadzić je poprzez przedstawianie pracownikom treści edukacyjnych raz w miesiącu, podczas gdy 45 proc. planuje robić to co kwartał. Przedstawiciele kadry kierowniczej uważają również, że jakość treści jest kluczowa dla sukcesu lub porażki danego programu szkoleniowego.

Najnowsze zagrożenia, z którymi muszą walczyć pracownicy

Jednym z głównych sposobów cyberprzestępców na wykorzystanie AI jest uczynienie phishingu bardziej wiarygodnym i trudniejszym do wykrycia. Ataki tego typu wymierzane są bezpośrednio w indywidualnych użytkowników. W związku z tym firmy uczą swoich pracowników, jak rozpoznawać tego rodzaju zagrożenie.

    • Użytkownicy końcowi pozostają atrakcyjnym celem. W 2023 roku ponad 80 proc. przedsiębiorstw zmagało się z incydentami z wykorzystaniem złośliwego oprogramowania, phishingiem oraz atakami na hasła. Były one wymierzone bezpośrednio w pracowników.
    • Wraz z ewolucją ataków znaczenia nabiera posiadanie wysokiej świadomości w zakresie cyfrowych zagrożeń. Prawie wszyscy respondenci (96 proc.) twierdzą, że w ich firmach wspierana jest idea szkolenia pracowników w zakresie cyberbezpieczeństwa.
    • Niemal każdy respondent (82 proc.) wskazał, że zapobieganie phishingowi oraz ochrona przed nim jest podstawowym elementem programów i planów szkoleniowych wykorzystywanych w jego przedsiębiorstwie. Priorytet stanowią także takie zagadnienia, jak bezpieczeństwo danych (42 proc.) oraz prywatność (37 proc.)

Personel jako pierwsza linia obrony przeciwko cyberatakom

Chociaż to zespoły IT oraz specjaliści ds. cyberbezpieczeństwa mają kluczowe znaczenie dla ochrony przedsiębiorstwa przed cyfrowymi zagrożeniami, należy pamiętać, że pozostali członkowie personelu również odgrywają w tym procesie istotną rolę.

    • Pracownicy są otwarci na możliwości szkoleń i chętni do podnoszenia poziomu swojej świadomości w zakresie cyberbezpieczeństwa. Większość przedstawicieli kadry kierowniczej (84 proc.) twierdzi, że ich personel w sposób pozytywny reaguje na perspektywę wdrożenia programów edukacyjnych poświęconych cyberbezpieczeństwu.
    • Przedsiębiorstwa obserwują pozytywne wyniki, gdy wdrażają programy szkoleniowe w zakresie cyfrowych zagrożeń. Zdecydowana większość przedstawicieli kadry kierowniczej (85 proc.) twierdzi, że ich firma przynajmniej w pewnym stopniu odnotowała wzrost ogólnego poziomu cyberbezpieczeństwa po wdrożeniu programów szkoleniowych. Ani jeden respondent nie stwierdził braku pozytywnych zmian po rozpoczęciu treningów poświęconych cyfrowej ochronie.

Szkolenia w zakresie cyberbezpieczeństwa są niezbędne, ale nie wszystkie programy są sobie równe

Większość firm wyraża chęć do przygotowania szkoleń z zakresu cyberbezpieczeństwa, które bazowałyby na ich doświadczeniach z incydentami lub wiedzy na temat zagrożeń występujących w ich konkretnych branżach.

Według tegorocznej ankiety 96 proc., przedstawicieli kadry kierowniczej uważa, że zwiększenie poziomu świadomości pracowników w zakresie cyfrowego bezpieczeństwa wzmocniłoby odporność całego przedsiębiorstwa w tym zakresie. Respondenci są także zgodni w kwestii oceny programów edukacyjnych. Uważają, że istnieją pewne kluczowe atrybuty, które czynią materiały szkoleniowe mniej lub bardziej skutecznymi.

    • Treści muszą być angażujące. Podczas gdy 82 proc. przedstawicieli kadr kierowniczych jest zadowolonych z obecnego rozwiązania w zakresie rozwijania wiedzy nt. cyfrowych zagrożeń, największym zarzutem wśród osób niezadowolonych są niewystarczająco angażujące treści.
    • Nieadekwatna długość szkolenia. Należy unikać zbyt rozległych szkoleń, ponieważ mogą one przeciążyć pracowników. Ich zalecany czas wynosi o 1 do 2 godzin, natomiast średnia to 3 godziny.

Rozwój świadomości personelu z zakresu cyberbezpieczeństwa dzięki usłudze Fortinet Security Awareness and Training Service 

Nawet pojedynczy incydent naruszenia bezpieczeństwa może mieć poważne konsekwencje dla firmy. Niezbędne jest więc zbudowanie trójstronnej strategii obronnej, która obejmuje rozwój świadomości nt. cyfrowych zagrożeń w jej obrębie; doskonalenie technicznych umiejętności personelu IT i cyberbezpieczeństwa oraz inwestycje w zaawansowane rozwiązania ochrony sieci.

Szkolenia stanowią podstawę do stworzenia kultury cyberbezpieczeństwa w obrębie całego przedsiębiorstwa. Te z nich, które są zainteresowane rozwijaniem świadomości swoich pracowników w zakresie cyfrowych zagrożeń, mogą skorzystać z usługi Fortinet Security Awareness and Training Service. Zaprojektowany przez światowej klasy ekspertów z Fortinet Training Institute, program ten obejmuje szeroki zakres tematów powiązanych z cyberbezpieczeństwem. Wspomaga także proces nauczania za pośrednictwem okresowych przypomnień i kontroli. Przedsiębiorstwa korzystające z usługi posiadają również dostęp do pulpitów nawigacyjnych służących do śledzenia postępów kursantów. Firmy te zyskują także wsparcie w zakresie raportowania, dzięki czemu łatwiej jest im sprostać wymaganiom dotyczącym uzyskania ubezpieczenia od odpowiedzialności cybernetycznej oraz zmianom w przepisach.

Informacje na temat ankiety Fortinet Cyber Awareness

W badaniu udział wzięło 500 specjalistów szczebla wykonawczego oraz kierowniczego z Europy, Bliskiego Wschodu i Afryki, w firmach, w których przeprowadzane są szkolenia w zakresie cyberbezpieczeństwa. Ankietowani są przedstawicielami różnych branż, w tym produkcyjnej (15 proc.), usług finansowych (14 proc.) oraz technologii i usług profesjonalnych (10 proc.).