W dobie dynamicznego rozwoju cyberbezpieczeństwa rola security managerów staje się kluczowa nie tylko w zakresie wdrażania nowoczesnych narzędzi, lecz także w budowaniu fundamentów trwałego bezpieczeństwa organizacyjnego. Już dawno bezpieczeństwo przestało być domeną technologiczną a stało się zajęciem multidyscyplinarnym wymagającym szerokiego spojrzenia na ten proces z uwzględnieniem wielu elementów. Jednym z najważniejszych filarów tej strategii jest skuteczna komunikacja. Jednocześnie jest to najbardziej niedoceniany, wręcz chciałoby się powiedzieć traktowany „po macoszemu” element, który w olbrzymim stopniu decyduje o odporności organizacji na zagrożenia.

"W centrum procesów bezpieczeństwa jest zawsze człowiek ze swoimi słabościami i ograniczeniami. Lekceważenie tego faktu prowadzi zawsze do porażki."

Budowanie zaufania i poczucia sprawczości

Wdrożenia nowych systemów bezpieczeństwa często spotykają się z oporem pracowników, dla których zmiana oznacza nie tylko nowe procedury, ale także nowe wyzwania. W tym kontekście, rola komunikacji staje się kluczowa. Dział cyberbezpieczeństwa powinien być jak tłumacz, przekonujący pracowników, że nowe rozwiązania są nie tylko konieczne, ale także korzystne. Poprzez otwartą rozmowę i jasny przekaz, można przekonać personel, że nowe systemy są nieodłącznym elementem współczesnej rzeczywistości biznesowej, chroniąc prywatność danych i stabilność organizacji. Warto jednocześnie podkreślić istotną rolę każdego pracownika w łańcuchu bezpieczeństwa oraz budowaniu odporności organizacji na cyberzagrożenia.

"Komunikacja jest traktowana jako narzędzie do przekazania suchych informacji i poleceń a nie jako narzędzie do kształtowania ludzkich postaw i budowania zaangażowania."

Zastanówmy się przez chwilę jak to wygląda na co dzień w większości organizacji. Komunikacja skupia się na prostym przekazywaniu informacji i poleceń. Jest najczęściej realizowana incydentalnie i nie stanowi stałego elementu łączności Działu Cyberbezpieczeństwa z pracownikami firmy. Na domiar złego najczęściej jest to tylko komunikacja jednokierunkowa, co jest bardzo poważnym błędem. 

Skutki niewłaściwej komunikacji

Niewłaściwa komunikacja lub jej brak, może prowadzić do poważnych konsekwencji dla organizacji. Warto zrozumieć, jakie negatywne skutki mogą wyniknąć z braku jasności i efektywności w przekazywaniu informacji pracownikom. Poniżej kilka argumentów:

1. Ignorowanie procedur bezpieczeństwa - Niewłaściwa komunikacja może skutkować brakiem zrozumienia lub akceptacji nowych procedur bezpieczeństwa przez pracowników. Pracownicy, nie rozumiejąc ich znaczenia lub nie dostrzegając korzyści, mogą ignorować określone zasady, co znacznie zwiększa ryzyko naruszeń bezpieczeństwa.
2. Ryzyko większej ilości błędów – To właśnie błędy ludzkie stanowią istotny element naruszeń bezpieczeństwa. Brak jasnych instrukcji i komunikatów może prowadzić do ich znacznego wzrostu. Pracownicy, nie będąc świadomi poprawnych procedur, mogą przypadkowo naruszać zasady bezpieczeństwa, co jeszcze bardziej zwiększa potencjalne ryzyko incydentów.
3. Opór i niechęć pracowników - Niewłaściwa komunikacja może wywoływać opór wśród pracowników, którzy czują się niedostatecznie poinformowani lub niezrozumiani. Opór utrudnia proces wdrożenia, a także może prowadzić do utrzymania złych nawyków, zamiast przystosowania się do nowych wymagań bezpieczeństwa.
4. Zaniedbywanie praktyk bezpieczeństwa - Niejasne komunikaty mogą prowadzić do zaniedbywania praktyk bezpieczeństwa przez pracowników. Jeśli nie będą świadomi konieczności stosowania się do określonych zasad, mogą bagatelizować istotę bezpieczeństwa, co stwarza potencjalne ryzyko dla organizacji.
5. Zła reputacja Działu Cyberbezpieczeństwa - Nieudolna komunikacja może wpływać na reputację działu bezpieczeństwa w oczach pracowników. Jeśli komunikacja jest niejasna lub nieefektywna, mogą tracić zaufanie do działań bezpieczeństwa w organizacji niestosując się do nich świadomie. Spróbujcie wtedy zawnioskować o podwyższenie budżetu do zarządu (zarząd to też ludzie, którzy mogą nie rozumieć tego co robicie).
6. Zwiększenie ryzyka incydentów i naruszeń - Niewłaściwa komunikacja może zwiększać ryzyko wystąpienia incydentów bezpieczeństwa. Pracownicy, nie zdając sobie sprawy z potencjalnych zagrożeń, mogą być bardziej podatni na działania cyberprzestępców.
7. Brak skutecznej reakcji na incydenty - Jeśli pracownicy nie są dostatecznie poinformowani o procedurach reagowania na incydenty, organizacja może doświadczyć opóźnień lub braku reakcji. Brak skutecznej komunikacji w tym obszarze może prowadzić do pogorszenia sytuacji w przypadku wystąpienia zagrożeń. Wyobraźcie sobie zarządzanie poważnym kryzysem w takich warunkach.

Rola Działu Cybersecurity w komunikacji

Security managerowie nie tylko są odpowiedzialni za bezpieczeństwo systemów w firmie, ale także pełnią kluczową rolę w budowaniu kultury bezpieczeństwa poprzez efektywną komunikację. Jako liderzy, muszą działać jako most pomiędzy technicznymi aspektami bezpieczeństwa a zrozumieniem pracowników. Otwarta i dwukierunkowa komunikacja jest kluczem do zbudowania zaufania i motywacji pracowników do przestrzegania nowych zasad. Powinniśmy aktywnie słuchać opinii i obaw pracowników, ponieważ odpowiedzi na pytania i rozwiązywanie wątpliwości zawsze wzmacniają zaangażowanie pracowników w proces bezpieczeństwa.

"Dobra komunikacja pozwala na efektywne budowanie pozycji security managera w organizacji, co pozwala na łatwiejsze zdobywanie budżetu na realizację zadań związanych z cyberbezpieczeństwem."

Należy zwrócić uwagę na aspekt prewencyjny komunikacji. Regularne informowanie pracowników o nowych zagrożeniach cybernetycznych, aktualizacjach procedur czy praktycznych wskazówkach stanowi barierę ochronną przed potencjalnymi incydentami. Kampanie informacyjne, regularne szkolenia, czy też cykliczne spotkania to narzędzia, które nie tylko utrzymują pracowników świadomymi zagrożeń, ale także uczą ich praktycznych umiejętności obronnych. 

Jak to zrobić?

Czy dział cyberberzpieczeństwa powinien się zająć realizacją strategii komunikacyjnej? Raczej nie, ponieważ wymaga to posiadania odpowiednich umiejętności, które rzadko znajdziemy w zespole, zorientowanym przecież bardzo mocno na technologię. Wymaga to stworzenia zespołu interdyscyplinarnego w którym koniecznie muszą znaleźć się osoby z działu komunikacji. To nie wszystko. Doskonałym narzędziem do wprowadzenia mocnej i skutecznej komunikacji jest wdrożenie programu Security Awareness. Chodzi o wdrożenie programu, którego rdzeniem jest właśnie budowa skutecznej komunikacji a nie skupienie się tylko na realizacji szkoleń i testów phishingowych.

"Większość specjalistów od cyberbezpieczeństwa świetnie rozumie problem, ale naprawdę źle komunikuje rozwiązanie."

Komunikację należy realizować poprzez różnorodne kanały, takie jak regularne spotkania (live oraz online), wiadomości e-mail, intranet czy komunikatory wewnętrzne. Z perspektywy security managera, komunikacja związana z cyberbepieczeństwem jest najważniejsza i powinna być skonstruowana tak, aby skutecznie wyróżnić się z szumu komunikacyjnego w organizacji i zdobyć uwagę pracowników. Wymaga to spójnej strategii, atrakcyjnej formy i ciekawych treści, a to nie jest zadaniem trywialnym.

Podsumowanie

Wprowadzanie nowoczesnych rozwiązań bezpieczeństwa to nie tylko kwestia technologii, ale przede wszystkim ludzi i skutecznej komunikacji. Security managerowie, jako kluczowi liderzy w obszarze bezpieczeństwa, powinni zdawać sobie sprawę z roli, jaką pełnią w budowaniu kultury bezpieczeństwa. Poprzez aktywną komunikację, transparentność i stałe monitorowanie, mogą nie tylko zabezpieczyć organizację przed zagrożeniami, ale także przyczynić się do trwałego wzmocnienia kultury bezpieczeństwa w organizacji. W dzisiejszym świecie komunikacja staje się kluczowym narzędziem w rękach security managerów, umożliwiającym skuteczne zarządzanie ryzykiem oraz efektywne zarządzanie budżetem.

Jedną z najlepszych i najprostszych dróg do zbudowania atrakcyjnej i skutecznej komunikacji jest wdrożenie programu Security Awareness nowej generacji. Filarem tego programu jest właśnie skuteczna komunikacja połączona z dostarczaniem wiedzy, testami praktycznymi, komunikowaniem zasad czy dobrych praktyk. To wszystko podane w atrakcyjnej i angażującej formie. Security Awareness nie jest tylko dla pracowników, to program który ma wspierać pracę działu cybersecurity i zapewnić mu najlepszy, wewnętrzny marketing. To korzyść o której często się zapomina.

"Security Awareness to przemyślana strategia, której celem jest zmiana ludzkich zachowań oraz dostosowanie bezpieczeństwa do możliwości i ograniczeń ludzi!"

Chcesz dowiedzieć się więcej? Odezwij się do nas.

Temat zagrożeń związanych ze sztuczną inteligencją (AI) jest niezwykle istotny. Mamy świadomość, że na rynku brakuje jeszcze dobrych materiałów edukacyjnych na ten temat.

Dzisiaj chcielibyśmy podzielić się z Tobą naszym nowym szkoleniem, które adresuje najważniejsze zagadnienia związane z bezpieczeństwem AI. Mamy dla Ciebie materiał e-learningowy, który w prosty i przystępny sposób wyjaśni pracownikom w Twojej organizacji podstawowe zagrożenia związane z AI.

Aby je otrzymać wystarczy, że wypełnisz krótki formularz, wpisując w jego treści "Szkolenie z AI", abyśmy mogli się z Tobą skontaktować i dostarczyć Ci szkolenie

Po krótkiej i szybkiej weryfikacji otrzymasz od nas bezpłatnie szkolenie na nielimitowaną ilość użytkowników. Nie czekaj! Zadbaj o swoich pracowników w Twojej firmie już dzisiaj.

KnowBe4 w raporcie G2 Grid Spring 2023 kolejny raz potwierdza, że jest niekwestionowanym liderem w obszarze narzędzi do realizacji programów Security Awareness.

Raport ten powstaje w oparciu o recenzje użytkowników, uwzględniając ich opinię i satysfakcję z użytkowania produktu. Na podstawie 1083 recenzji klientów G2, KnowBe4 jest najwyżej ocenianą platformą szkoleniową w zakresie świadomości bezpieczeństwa, z 99% użytkowników oceniających 4 lub 5 gwiazdek. Platforma KnowBe4 otrzymała również 95% oceny jakości wsparcia oraz 92% łatwości użytkowania. KnowBe4 ma najwyższy wynik G2 i największą obecność na rynku wśród wszystkich dostawców ocenianych w raporcie.

KnowBe4 to światowej klasy, kompletne rozwiązanie skupiające w jednym miejscu wszystkie potrzebne narzędzia, takie jak: jedna z największych na rynku biblioteka szkoleń e-learningowych, automatyzację i pomiar kampanii szkoleniowych, automatyzację i pomiar testowych kampanii phishingowych, pomiar ryzyka czynnika ludzkiego, pomiar kultury bezpieczeństwa, narzędzia do zgłaszania zagrożeń czy automatyzację procesu analizy zagrożeń zgłaszanych przez użytkowników. KnowBe4 to kompletne rozwiązanie pozwalające na precyzyjne, skuteczne i świadome kształtowanie Kultury Bezpieczeństwa w każdej organizacji.

Nie czekaj do incydentu! Jeżeli chcesz poznać produkty KnowBe4, dowiedzieć się jak skutecznie zaprojektować i wdrożyć program Security Awareness nowej generacji dostosowany do Twojej firmy skontaktuj się z nami już dzisiaj i skorzystaj z bezpłatnej konsultacji.

Więcej informacji oraz dostęp do szczegółowych danych z raportu znajduje się pod adresem: https://blog.knowbe4.com/spring-2023-g2-grid-report-security-awareness-training

Wykorzystane grafiki są własnością KnowBe4^® oraz G2^®

BlueVoyant, firma zajmująca się cyberbezpieczeństwem, a w szczególności phishingiem, donosi, że cyberprzestępcy coraz częściej wykorzystują techniki przekierowania w celu “oszukania” systemów zabezpieczeń. Z badania wynika, że liczba nowych stron phishingowych wykorzystujących przekierowania w celu zmylenia producentów zabezpieczeń wzrosła o 240%.

Przekierowanie to jedna z form uniknięcia wykrycia przez systemy techniczne!

Raport BlueVoyant wyjaśnia, w jaki sposób przestępcy wykorzystują przekierowanie, aby oszukać systemy zabezpieczeń lub analityków cyberbezpieczeństwa. Podczas, gdy potencjalne ofiary otwierają „bezpieczne linki”, przechodzą proces obejmujący wiele ścieżek przekierowań. Celem takiego działania jest ukrycie treści phishingowych i docelowych adresów stron przed wcześniej umieszczonymi na czarnej liście adresami IP, a także robotami indeksującymi. Można się zastanawiać, w jaki sposób cyberprzestępcy radzą sobie z realizacją takich operacji. Dużą pomocą okazują się dostawcy usług dynamicznych DNS.

Usługą, która zyskała na popularności wśród cyberprzestępców, jest działalność dostawców hostingu dynamicznego DNS. Według BlueVoyant nawet 67% ataków phishingowych w 2022 roku wykorzystywało dynamiczny hosting DNS jako wygodną bazę dla różnych stron phishingowych bez zarejestrowanej domeny.

Z danych z raportu BlueVoyant wynika, że dostawcy usług dynamicznego DNS są coraz częściej wykorzystywani przez przestępców do szybkiego, taniego, a w niektórych przypadkach nawet bezpłatnego tworzenia stron phishingowych. Wielu dostawców usług DDNS jak DuckDNS czy ChangeIP umożliwia tworzenie subdomen przez użytkowników co stanowi otwartą furtkę do nadużyć.

Jak widać przestępcy wykazują się pomysłowością i sprytem, aby ominąć systemy zabezpieczeń. Techniczne systemy zabezpieczeń są bardzo istotnym elementem obrony, lecz pokładanie w nich całej nadziei na ochronę nie jest rozsądnym wyborem. Trzeba zawsze pamiętać, że głównym wektorem ataków jest człowiek, a wykorzystywaną bronią jest socjotechnika. Dlatego trzeba spojrzeć na bezpieczeństwo kompleksowo, uwzględniając w nim technologie, procesy i ludzi, ponieważ każdy z tych elementów jest tak samo istotny. 

Pomaga w tym wdrożenie programu Security Awareness, który skupiony jest na zarządzaniu ryzykiem ludzkim, a nie tylko dostarczaniu wiedzy. To przemyślana strategia zawierająca wiele elementów, których celem jest zmiana ludzkich zachowań. Security Awareness to proces, który kształtuje kulturę bezpieczeństwa w organizacji i zwiększa jej odporność na cyberzagrożenia.

Nie czekaj do incydentu! Jeżeli chcesz dowiedzieć się jak skutecznie zaprojektować i wdrożyć program Security Awareness nowej generacji dostosowany do Twojej firmy skontaktuj się z nami już dzisiaj i skorzystaj z bezpłatnej konsultacji.

Źródło: https://www.bluevoyant.com/resources/emerging-external-cyber-defense-trends

Firma TrustRadius ogłosiła niedawno zwycięzców dorocznych nagród Winter Best Of Awards. W 2023 roku KnowBe4 zostało zwycięzcą w czterech kategoriach:

• Best Of - za całokształt rozwiązania
• Best Feature Set - za najlepszy zestaw funkcjonalności
• Best Value for Price – za najlepszy stosunek wartości do ceny
• Best Relationship

w grupie rozwiązań Security Awareness Training Software.

Co roku TrustRadius ocenia produkty na podstawie recenzji i opinii publikowanych przez klientów. Nagrody mają na celu pomoc kupującym w podjęciu świadomej decyzji dotyczącej wyboru technologii na podstawie zaufanych informacji. Na podstawie recenzji od użytkowników, TrustRadius przeprowadza również dodatkową weryfikację na podstawie analizy ich treści. Pod uwagę brane są takie czynniki jak:

• Kluczowe dane analityczne dotyczące ponownego zakupu
• Oczekiwania wdrożeniowe
• Obietnice sprzedażowe i marketingowe

Podsumowanie uzyskanych wyników umożliwia wyłonienie trzech zwycięzców w każdej kategorii.

KnowBe4 ma ponad 50 000 zadowolonych klientów, którzy korzystają na co dzień z produktów KnowBe4. Wielu ze zweryfikowanych użytkowników wyraziło swoje uznanie dla działań firmy w postaci pozytywnych recenzji, co przyczyniło się niewątpliwie do zwycięstwa w kilku kategoriach. 

Będąc od kilku lat partnerem o najwyższym statusie KnowBe4 Premier Partner mamy ogromną satysfakcję, że mogliśmy dołożyć swoją „cegiełkę” do ich sukcesu.

Każdego dnia staramy się pomagać swoim klientom w podejmowaniu rozsądnych decyzji dotyczących bezpieczeństwa i wspólnie wzmacniać ich organizację w ochronie przed cyberzagrożeniami.

Bardzo chętnie zaprezentujemy Ci produkty KnowBe4 oraz doradzimy jak skutecznie je zaimplementować. 

Aby dowiedzieć się jak mogą Ci pomóc wzmocnić odporność na cyberzagrożenia w Twojej organizacji, skorzystaj z bezpłatnej konsultacji.

Źródło: https://blog.knowbe4.com/knowbe4-wins-2023-trustradius-best-software-awards

Dzisiaj streszczenie ciekawego artykułu opublikowanego w Dark Reading, który dotyczy wpływu krytycznego myślenia pracowników na bezpieczeństwo.

Zrozumienie wartości danych, podejmowanie właściwych działań i przestrzeganie najlepszych praktyk w zakresie bezpieczeństwa danych to trzy najważniejsze zmiany w sposobie myślenia, jakie muszą przejść pracownicy, aby zapewnić firmom większe bezpieczeństwo. 

Unikanie ataków socjotechnicznych nie powinno być wysiłkiem, ale naturalnym zachowaniemwynikającym z budowania odpowiednich nawyków. W swoim artykule dla Dark Reading Jonathan Watson podkreśla znaczenie przestrzegania najlepszych praktyk bezpieczeństwa nie tylko w pracy, ale także w życiu osobistym pracowników.

Zmiana sposobu myślenia przy poruszaniu się w Internecie jest kluczem do zapewnienia odpowiedniej czujności na potencjalne wewnętrzne i zewnętrzne cyberzagrożenia. Pierwszym krokiem do bardziej nawykowego podejścia jest edukowanie i poszerzanie wiedzy na temat wartości danych, które mogą zostać ujawnione podczas interakcji online. Większa świadomość będzie skłaniać do krytycznego myślenia, nie tylko w obliczu zagrożeń, ale przede wszystkim przed ich wystąpieniem.

Kolejnym ważnym krokiem jest zachęcanie do odpowiedniego działania w przypadku napotkania podejrzanej aktywności. Zgłaszanie otrzymania e-maili,SMS-ów phishingowych lub podejrzanych telefonów jest działaniem naturalnym, wynikającym ze świadomości, jak ważne są dane. Jednak dopiero ustalenie procedury standardu działania w organizacjach daje pracownikom narzędzia do podjęcia odpowiednich kroków w przypadku wystąpienia nieprawidłowości.

Wreszcie, najlepsze praktyki w zakresie danych są tworzone nie poprzez badanie każdego możliwego scenariusza, ale poprzez zachęcanie do tzw. „zdrowej podejrzliwości”. Zrozumienie codziennych zachowań to początek ugruntowania dobrych nawyków w nawet najdrobniejszych czynnościach. Może to być, na przykład, włączenie tylko wybranych plików cookie na większości witryn lub przeczytanie informacji o ochronie prywatności przed zainstalowaniem nowych aplikacji.

W sytuacji dynamicznego rozwoju i dostępności technologii opartych o sztuczną inteligencję (AI) coraz bardziej istotne będzie właśnie krytyczne myślenie, które będzie często jedyną bronią człowieka dającą szanse rozpoznania ataku cyberprzestępców.

Szkolenia nie mogą uwzględniać wszystkich przykładów istniejących zagrożeń cyfrowych dlatego rozwijanie ostrożnego sposobu myślenia będzie proaktywnie zachęcać do unikania podejmowania niepotrzebnego ryzyka. Docelowo liczba incydentów naruszenia bezpieczeństwa danych w Twojej organizacji spadnie, a poziom bezpieczeństwa danych wzrośnie. Odpowiednie kształtowanie procesu, który prowadzi do zmiany zachowań oraz ćwiczenia praktyczne, które są częścią programu Security Awareness Nowej Generacji, to narzędzia, które pozwalają zbudować pożądane nawyki bezpieczeństwa wśród Twoich pracowników i wzmocnić kulturę bezpieczeństwa.

Umów się na bezpłatną konsultację by dowiedzieć się jak możesz poprawić poziom bezpieczeństwa w swojej organizacji.

Źródło: https://www.darkreading.com/operations/are-your-employees-thinking-critically-about-their-online-behaviors

Firma Darktrace, producent zaawansowanych rozwiązań cyberbezpieczeństwa opartych na AI, opublikowała niedawno interesujący raport. Jego wyniki pokazują, że od stycznia do lutego 2023 zanotowano 135% wzrost ataków socjotechnicznych przy użyciu zaawansowanych technik lingwistycznych, bez linków i załączników. Wzrost tego typu aktywności cyberprzestępczych dość mocno pokrywa się z publicznym udostępnieniem ChatGPT.

Pozostałe wyniki badania:

• 82% osób obawia się, że hakerzy mogą wykorzystywać generatywną sztuczną inteligencję* do tworzenia fałszywych wiadomości e-mail, które są nie do odróżnienia od prawdziwej komunikacji.
• 70% respondentów zauważyło wzrost częstotliwości e-maili i SMS-ów phishingowych w ciągu ostatnich 6 miesięcy.
• 87% pracowników na całym świecie jest zaniepokojonych ilością danych osobowych dostępnych w Internecie, które mogłyby zostać wykorzystane w phishingu i innych oszustwach e-mailowych.
• 79% firmowych filtrów antyspamowych błędnie zatrzymuje ważne, biznesowe wiadomości e-mail.
• 35% osób wypróbowała ChatGPT lub inne chatboty Gen AI.

Większość szkoleń podwyższających świadomość cyberzagrożeń opiera się na trzech najważniejszych cechach komunikacji, które mają wskazywać na atak typu phishing. Są to najczęściej: 

• zaproszenie do kliknięcia łącza lub otwarcia załącznika
• nieznany nadawca lub nieoczekiwana treść
• niewłaściwa pisownia i gramatyka

W obliczu wykorzystania generatywnej sztucznej inteligencji to bardzo ubogi zestaw narzędzi, które w krótkim okresie mogą okazać się dość zawodne. 

Obecnie Twoi pracownicy są stale narażeni na najbardziej wyrafinowane ataki typu phishing, które są często nośnikiem ransomware. Częścią dobrej strategii ochrony bezpieczeństwa Twojej firmy jest wsparcie pracowników w poznaniu wszystkich najnowszych cyberzagrożeń oraz kompleksowe podejście do tematu ryzyka czynnika ludzkiego. Bez względu na to, czy przestępcy wykorzystują sztuczną inteligencję, czy też nie, ataki phishingowe opierają się głównie na socjotechnice, która silnie oddziałuje na ludzi. Ludzi można do tego przygotować bez względu czy treść przygotował człowiek czy AI.

Program Security Awareness to przede wszystkim zarządzanie ryzykiem ludzkim a nie tylko dostarczanie wiedzy. To przemyślana strategia zawierająca wiele elementów, których celem jest zmiana ludzkich zachowań. Security Awareness to proces, który kształtuje kulturę bezpieczeństwa w organizacji i zwiększa jej odporność na cyberzagrożenia.

Nie czekaj do incydentu! Jeżeli chcesz dowiedzieć się jak skutecznie zaprojektować i wdrożyć program Security Awareness nowej generacji dostosowany do Twojej firmy skontaktuj się z nami już dzisiaj i skorzystaj z bezpłatnej konsultacji.

Żródło: https://darktrace.com/resources/generative-ai-impact-on-email-cyber-attacks

* Generatywna sztuczna inteligencja to systemy, których można używać do tworzenia nowych treści, w tym audio, kodu, obrazów, tekstu, symulacji i filmów oparte na sztucznej inteligencji (AI).

Niedawno opublikowany raport firmy Mimecast, The State of Email Security 2023, pokazuje bardzo ciekawe i alarmujące wyniki:

• 97% wszystkich organizacji na świecie było celem ataku phishingowego. 
• 59% twierdzi, że cyberataki stają się coraz bardziej wyrafinowane.
• 67% zostało poszkodowanych w wyniku ataku ransomware.
• 75% odnotowało wzrost zagrożeń związanych z pocztą elektroniczną.
• 99% zapewnia swoim pracownikom jakąś formę szkoleń w zakresie świadomości o cyberzagrożeniach.

Co więcej, 8 na 10 firm uważa, że wykorzystanie poczty e-mail w codziennej pracy systematycznie rośnie, co znacząco utrudnia rozpoznanie pracownikom wiadomości e-mail stanowiących zagrożenie. Nie widać, aby te tendencje w najbliższym czasie miały się zmienić, zwłaszcza po pojawieniu się publicznego dostępu do ChatGTP i innych, podobnych rozwiązań opartych na sztucznej inteligencji.

Podczas gdy organizacje próbują wzmocnić swoją odporność skupiając się na wdrażaniu nowych technologii raport Mimecast State of Email Security pokazuje, że ataki stają się coraz bardziej wyrafinowane i nadal są bardzo skuteczne. 

W raporcie znajdziemy kilka zaskakujących informacji, między innymi według niektórych szacunków 97% użytkowników nie jest w stanie rozpoznać nawet prymitywnej wiadomości phishingowej, gdy ją otrzyma. 

Warto zwrócić uwagę, że 99% z tych firm zapewnia swoim pracownikom jakąś formę szkoleń na temat cyberzagrożeń. To bardzo istotna informacja, ponieważ pokazuje, że same szkolenia nie działają a w większości przedsiębiorstw to właśnie dostarczanie wiedzy (szkolenia) są jedyną aktywnością w tym zakresie. 

Jeśli mieścisz się w tych 99% (a jest to oczywiście bardzo prawdopodobne) zachęcamy Cię do przemyślenia swojej taktyki, która jest nieskuteczna. Nie warto dalej trwonić czasu i uwagi pracowników na kolejne szkolenia, ponieważ samo dostarczenie wiedzy jest dalece niewystarczające, zwłaszcza przy wykorzystaniu socjotechniki.

Takie wyniki prowadzą do oczywistego wniosku: najważniejszym krokiem, jaki każda organizacja może podjąć w celu poprawy swojego bezpieczeństwa, jest budowanie kultury cyberbezpieczeństwa. Pracownicy na wszystkich poziomach muszą zdawać sobie sprawę, że za cyberbezpieczeństwo nie odpowiada tylko Dział IT, ale każdy pracownik jest za nie odpowiedzialny.

Program Security Awareness to przede wszystkim zarządzanie ryzykiem ludzkim a nie tylko dostarczanie wiedzy. To przemyślana strategia zawierająca wiele elementów, których celem jest zmiana ludzkich zachowań. Security Awareness to proces, który kształtuje kulturę bezpieczeństwa w organizacji i zwiększa jej odporność na cyberzagrożenia.

Dzięki wdrożeniu programu Security Awareness nowej generacji:

• Obniżysz liczbę błędów popełnianych przez pracowników nawet 6-8 krotnie.
• Nawet 10 krotnie zredukujesz ilość incydentów bezpieczeństwa.
• O 50% obniżysz ryzyko strat finansowych swojej organizacji.

Nie czekaj do incydentu! Jeżeli chcesz dowiedzieć się jak skutecznie zaprojektować i wdrożyć program Security Awareness nowej generacji dostosowany do Twojej firmy skontaktuj się z nami już dzisiaj i skorzystaj z bezpłatnej konsultacji.

Źródło: https://www.mimecast.com/state-of-email-security/

Raport

Firma Cybersecurity Ventures opublikowała raport z predykcją na 2023 rok, z którego wynika, że cyberprzestępczość będzie kosztowała cały świat aż 8 bilionów dolarów. 

Suche liczby nie dają wyobrażenia o skali zjawiska bez zestawienia ich z innym punktem odniesienia. Porównajmy tę liczbę z wielkością największych gospodarek świata, co pozwoli wyobrazić sobie ogrom tego zjawiska.

Cyberprzestępczość jest trzecią „gospodarką” świata, zaraz po USA i Chinach i znacznie większą niż gospodarka Japonii. Roczne PKB Polski w porównaniu z Cyberprzestępczością jest prawie 12 razy mniejsze! Cyberprzestępczość to już teraz ponad 7% światowego PKB!

Warto zwrócić uwagę na dynamikę wzrostu poszczególnych gospodarek, gdzie większość z nich nie przekracza 3% a cyberprzestępczość wykazuje 15% wzrost w skali roku co oznacza, że w 2025 roku świat otrzyma „rachunek” o wartości przekraczającej 10 bilionów dolarów. 

„Koszty cyberprzestępczości obejmują uszkodzenie i zniszczenie danych, kradzież pieniędzy, utratę produktywności, kradzież własności intelektualnej, kradzież danych osobowych i finansowych, defraudację, oszustwo, zakłócenie normalnego toku działalności po ataku, dochodzenie kryminalistyczne, przywrócenie i usunięcie zhakowanych danych i systemów oraz uszczerbek na reputacji”.

Więcej znajdziesz w raporcie o cyberprzestępczości 2022, opublikowanym przez Cybersecurity Ventures, który zawiera fakty, liczby, prognozy i statystyki dotyczące cyberekonomii, które pokazują skalę cyberzagrożenia, przed którym stoimy, oraz dane rynkowe, które pomagają zrozumieć, co można z tym zrobić. Link do artykułu, z którego można pobrać raport i obejrzeć WIDEO:
https://cybersecurityventures.com/cybercrime-to-cost-the-world-8-trillion-annually-in-2023/

Wnioski

Jak z tym walczyć? To oczywiście dość złożone i wielowymiarowe zagadnienie, na które nie ma jednej, prostej odpowiedzi. W większości przypadków jest jednak jeden wspólny mianownik – człowiek. 

Czy wiesz, że ponad 90% scenariuszy ataków wykorzystuje na jakimś etapie komunikację z człowiekiem? Dla przestępców to człowiek jest kluczem do wysokiej stopy zwrotu z tej intratnej „działalności”. 

Czy można to zmienić? Można, a nawet trzeba! Sama technologia jest bardzo istotna, ale już dawno nie wystarczy (czemu dowodzą również powyższe liczby). Czynnik ludzki jest najbardziej zaniedbanym elementem cyberbezpieczeństwa w większości firm, a jednocześnie obszarem umożliwiającym największy wzrost ich odporności. Jest to jednocześnie największa szansa (podejmując działanie) i największe zagrożenie (nie robiąc nic), Jest to również inwestycja znacznie tańsza niż zakup kolejnej technologii, która w ogólnym rozrachunku niewiele zmieni. 

Warto jednak zaznaczyć, że samo dostarczenie wiedzy (czyli najczęściej kupienie szkoleń) nie działa. Dopiero wdrożenie programu Security Awareness Nowej Generacji pozwoli na 8 krotne zwiększenie odporności Twojej organizacji na cyberzagrożenia.

Nie czekaj, skorzystaj z bezpłatnej konsultacji

W dniu 9 grudnia 2022 (piątek) o godzinie 14:00 zapraszamy na webinar na którym dowiesz się jak skutecznie zaplanować, przygotować i zrealizować kampanię phishingową w Twojej firmie. 

Spotkanie realizowane jest w konwencji "PIGUŁKA WIEDZY", czyli formule: zero marketingu - maksimum wiedzy. Szanujemy Twój czas, dlatego wybraliśmy zwięzłą formę skupioną na wiedzy praktycznej.

Odpowiemy na pytania takie, jak:

• Po co realizować testy (a to wcale nie takie oczywiste)?
• Jak często powinno się je robić?
• Jak uzyskać wiarygodne wyniki i jak je interpretować?
• Jakie są najważniejsze aspekty prawne testów phishingowych?
• Jak efektywnie korzystać z narzędzi?
• Prezentacja konfiguracji testu phishingowego w 3 minuty

Zarejestruj się już teraz!

events.oversec.pl

Serdecznie zapraszamy!