Jak poprawnie myśleć o cyberbezpieczeństwie na przykładzie działań zrealizowanych w Otwockim Przedsiębiorstwie Wodociągów i Kanalizacji Sp. z o.o.

W lutym 2021 r. departament cyberbezpieczeństwa Kancelarii Prezesa Rady Ministrów (KPRM)  opublikował dokument pn. Rekomendacje cyberbezpieczeństwa dla sektora wodno-kanalizacyjnego. W dokumencie dokładnie opisano atak hakerski na stację uzdatniania wody w Oldsmar (Floryda, USA). Hakerowi udało się wówczas – na krótko – zmodyfikować skład chemiczny przetwarzanej wody poprzez zwiększenie ilości wodorotlenku sodu do poziomu niebezpiecznego dla spożycia przez ludzi. Dlaczego ten atak się powiódł? Ponieważ zawiódł człowiek.

W przypadku zagrożeń cybernetycznych, najsłabszym ogniwem zabezpieczeń jest czynnik ludzki. Stąd duża popularność na rynku firm oferujących szkolenia z cyberbezpieczeństwa. O ile istnieją rozbieżne opinie nt. tego czy szkolenie online jest równie efektywne jak stacjonarne, to mało osób zastanawia się nad szkoleniem jako właściwą formą przekazywania wiedzy o zagrożeniach w Internecie..

Dobrze zaplanować

Podstawową wadą szkolenia (zarówno stacjonarnego jak i online) jest ustalenie dogodnego terminu. Bowiem termin musi odpowiadać prowadzącemu szkolenie oraz osobom szkolonym, których może być kilka, kilkanaście a nawet kilkadziesiąt. Oczywistym jest, że mimo dochowania należytej staranności w ustalaniu terminu szkolenia to nieprzewidziane okoliczności (choroba, urlop na żądanie itp.) mogą wpłynąć na finalną liczbę uczestników, zwłaszcza jeżeli stanowią oni liczną grupę w danej organizacji. Jeżeli organizacja planuje przeszkolić z cyberbezpieczeństwa 100% pracowników mających dostęp do komputera, to już w momencie rozpoczęcia szkolenia może okazać się, że ten plan jest nie do zrealizowania, bowiem kilka osób jest z różnych przyczyn nieobecnych. Im więcej czasu upływa od szkolenia tym bardziej okazuje się, że szkolenie jako forma przekazywania wiedzy o cyberbezpieczeństwie nie sprawdza się. Naturalna fluktuacja pracowników odbywająca się po terminie takiego szkolenia powoduje bowiem, że coraz mniejszy procent pracowników wie jak bezpiecznie korzystać z sieci komputerowej, zarządzać hasłami, identyfikować próby phishingu itp. Zwiększa się tym samym podatność organizacji na ataki hakerskie. W pewnym momencie organizacja postanawia o przeprowadzeniu kolejnego szkolenia z cyberbezpieczeństwa – cykl się powtarza. To błędne koło wydaje się nie mieć sensu, ale jednak organizowanie szkoleń z cyberbezpieczeństwa raz na jakiś czas, wydaje się schematem ugruntowanym w zarówno w firmach jak i urzędach.  Czy tak musi być?

Rozwiązanie? Internetowa platforma onboardingowa

Prezydent Otwocka, Pan Jarosław Margielski będąc świadomy krótkoterminowej przydatności szkoleń z cyberbezpieczeństwa szukał innego sposobu na zapewnienie podległym sobie instytucjom skutecznej ochrony przed zagrożeniami cybernetycznymi. Zamiast cyklicznego organizowania szkoleń zainicjował więc prace nad internetową platformą onboardingową ze szkoleniem pn. Bezpieczeństwo w Internecie. Idea przyświecająca takiemu rozwiązaniu była prosta. Po uruchomieniu, platforma ze szkoleniem powinna być stale dostępna a każda osoba już zatrudniona w strukturach miasta oraz każda osoba nowo przyjęta do pracy powinna ukończyć szkolenie w ciągu 2 tygodni. Dodatkowo, wszyscy pracownicy mają obowiązek zaliczać szkolenie co 6 m-cy. Taka zmiana myślenia o cyberbezpieczeństwie w organizacji to zupełnie nowa jakość!

Internetową platformę onboardingową i szkolenie Bezpieczeństwo w Internecie dostarczyła firma AMAKE sp. z o.o. we współpracy z kancelarią Legally.Smart.

„Uważam że system onboardingowy z odpowiednio zaprojektowanymi szkoleniami internetowymi to przyszłość. Natychmiastowa dostępność w zależności od potrzeb, dowolność w terminie skorzystania, możliwość wielokrotnego odtwarzania szkolenia i sprawdzania zdobytej wiedzy, a przede wszystkim łatwość we wdrożeniu w organizacji to zalety, których nie ma żadne szkolenie z prowadzącym.” – stwierdza Michał Liżewski, parter Legally.Smart.

Dostęp do szkoleń i ich zawartość

Platformę wraz ze szkoleniem umieszczono na stronie internetowej umotwock-szkolenia.pl. Platforma jest intuicyjna. Po zalogowaniu, użytkownikowi od razu pojawia się szkolenie jakie powinien ukończyć, czyli w tym przypadku Bezpieczeństwo w Internecie. Szkolenie stworzono z myślą o typowych pracownikach biurowych, czyli osobach nie zajmujących się w ogóle kwestami IT. Zdecydowano się odejść od koncepcji „wykładów” nt. zagrożeń w sieci na rzecz czegoś w rodzaju opowieści, ilustrowanej licznymi przykładami cyberataków z Polski i ich analizą bez używania informatycznego żargonu. Wiele osób uznało szkolenie za „wciągające” co jest najlepszą rekomendacją jeżeli mówimy o przekazywaniu wiedzy z cyberbezpieczeństwa. Trwające ok 100 min szkolenie podzielono na moduły tematyczne, w których znajduje się kilka powiązanych ze sobą lekcji: np. phishing, typo-squatting, atak typu BEC (czasami nazywany „atakiem na dyrektora”) itp. Modułowość ma bardzo ważną zaletę. Użytkownik może przerwać szkolenie w dowolnym momencie i wrócić do niego przy pierwszej możliwej sposobności a nawet cofnąć się i jeszcze raz przejrzeć jakąś lekcję. W ten sposób wyeliminowano kolejną wadę typowych, dostępnych szkoleń. Co istotne, każdemu uczestnikowi szkolenia z biegiem czasu wcześniej czy później osłabia się koncentracja. W sytuacji nie zrozumienia jakiejś kwestii, większość osób na szkoleniu nie poprosi prowadzącego o powtórzenie czy ponowne wyjaśnienie problematycznego zagadnienia, co zniechęca z kolei do dalszego słuchania.

Weryfikacja zdobytej wiedzy

Ponieważ sprawdzanie wiedzy jest równie ważne jak jej przekazywanie, to każdy moduł szkolenia kończy się testem cząstkowym. Wyniki testu cząstkowego pozostają tylko do wiadomości użytkownika, co pozwala mu podjąć decyzję o ewentualnym powtórzeniu wybranej lekcji. Do testów cząstkowych można podchodzić wielokrotnie a przez to dokładnie zweryfikować swoją wiedzę. Całość szkolenia kończy się testem końcowym do którego zaliczenia wymagane jest udzielenie 90% poprawnych odpowiedzi. Pytania do testu losowane są z bazy pytań, stąd do pewnego stopnia test końcowy jest unikalny dla każdego użytkownika. Duża część pytań dotyczy praktycznego rozpoznawania prób phishingu, jest to o tyle istotne ponieważ stanowi on największe zagrożenie dla „zwykłych” użytkowników komputera. Użytkownik ma 2 podejścia do testu końcowego, jeżeli mu się nie powiedzie, to zobligowany jest do ponownego przejścia szkolenia. Po pomyślnym zaliczeniu końcowego testu, użytkownik otrzymuje certyfikat ukończenia do przekazania do kadr.

Na każdym etapie, administrator platformy widzi postępy pracowników oraz ilu z nich zaliczyło test końcowy. Raporty z postępów wdrożenia są regularnie przekazywane do organizacji, która może podjąć stosowne działania.

Zweryfikowane w praktyce

Podczas pilotażu szkolenia w w Otwockim Przedsiębiorstwie Wodociągów i Kanalizacji
Sp. z o.o. w Otwocku (OPWiK) obserwowano zachowania użytkowników i poprawiano kwestie sprawiające problemy. W efekcie powstała finalna wersja szkolenia przekazująca w przyjazny sposób fundamenty bycia bezpiecznym w Internecie. Można zaryzykować twierdzenie, że obecnie jest to najlepsze szkolenie z cyberbezpieczeństwa dla osób spoza branży IT dostępne na rynku.

„W OPWiK pracują osoby w różnym wieku i o różnych kwalifikacjach, i niemal wszystkim to szkolenie się podoba. Ja sam pomyślnie je ukończyłem i dowiedziałem się dzięki niemu wielu ciekawych rzeczy.  Wszyscy pracownicy OPWiK, mają teraz ten sam poziom wiedzy o zagrożeniach w Internecie i sądzę, że ta wiedza przyda nam się także w życiu prywatnym” – stwierdza Tomasz Dąbrowski, Prezes OPWiK.

Prezydent Otwocka, Pan Jarosław Margielski dodaje – Pilotaż platformy onboardingowej w OPWiK pomógł udoskonalić szkolenie Bezpieczeństwo w Internecie. We wdrożeniu platformy brali również udział informatycy spółki.  Zaproponowali kilka modyfikacji, które pomyślnie wdrożono. W obecnym kształcie platforma onboardingowa rozwiązuje nam problem ze szkoleniem pracowników z cyberbezpieczeństwa na poziomie nie tylko jednej firmy, ale całej struktury organizacyjnej Miasta Otwocka – przyznaje prezydent Jarosław Margielski.

Nie tylko OPWiK

Po sukcesie pilotażu w OPWiK, platformę wraz ze szkoleniem wdrożono w Urzędzie Miasta  Otwocka i instytucjach podległych. O tym wdrożeniu przeczytają Państwo już niedługo.

„O cyberbezpieczeństwie należy myśleć poważnie” – mówi Paweł Lewandowski, podsekretarz stanu w Kancelarii Prezesa Rady Ministrów. „Doraźne działania nie zdadzą tu egzaminu, dlatego pomysł wdrożenia platformy onboardingowej i stałego szkolenia wszystkich pracowników oceniam jako bardzo dobry i wart naśladowania”.

Platformę i szkolenie dostarczyła firma AMAKE Sp. z o.o., Adam Ryszkowski [email protected], tel. 792311396  bezpieczenstwo-w-internecie.pl