Instruirea pentru conștientizarea securității nu trebuie să fie plictisitoare – jocurile și poveștile pot ajuta la crearea unor obiceiuri „de durată”, care vor fi utile atunci când apare un pericol.

Exemplu ipotetic: Sarah primește un email vineri, ora 16.00, ce pare să aibă ca expeditor chiar CEO-ul companiei. Subiectul „URGENT: Plată necesară – Acțiune obligatorie” era urgent, iar mesajul era clar și direct:

„Bună, Sarah,
Trebuie să efectuăm această plată astăzi, înainte de închiderea programului, altfel vom suporta costuri juridice suplimentare. Vezi informațiile de plată atașate. Este vorba despre Proiectul Phoenix și fuziunea despre care am menționat în apelul de săptămâna trecută privind rezultatele financiare. Sunt prins în întâlniri consecutive cu echipa juridică și alții, așa că nu am timp să explic mai mult. Te rog să te ocupi de asta cât mai repede.”

Sarah și-a amintit pentru un moment de trainingul de conștientizare a securității cibernetice de anul trecut și pentru o clipă, a avut impresia că mai văzuse un mesaj asemănător. Dar acum, acea instruire era doar un amestec de slide-uri PowerPoint plictisitoare, capturi de ecran ușor de uitat și întrebări alambicate cu variante multiple, pline de termeni și concepte obscure.

În plus, Proiectul Phoenix era real, la fel și fuziunea. Tonul mesajului nu era prea diferit de cel folosit în general pentru notele interne recente. În plus, se întreba: „Cine sunt eu să pun la îndoială sau să contest instrucțiunile CEO-ului?”. Sub presiune și înclinată să asculte ordinele superiorilor, Sarah a alungat orice ezitare, a urmat instrucțiunile și a transferat banii conștiincios.

Luni, înșelătoria era cât se poate de reală: aproximativ 200.000 USD dispăruseră într-un cont offshore controlat de escroci. E-mailul? S-a dovedit a fi falsificat și alcătuit din informații extrase din comunicate de presă și postări de pe LinkedIn, procedeu care în ziua de azi, nu este deloc dificil pentru un escroc priceput. În final, factorii psihologici au învins procedura și politicile de securitate.

Deși această poveste cu rol de avertisment este fictivă, ilustrează un scenariu care se repetă frecvent în cazul fraudei recurente prin compromiterea e-mailului de afaceri (BEC). Asemenea scheme nu se bazează pe trucuri tehnologic sofisticate, ci exploatează anumite aspecte care ne fac oameni, generând în final câștiguri uriașe pentru escroci. Potrivit calculelor FBI, între 2013 și 2023, frauda de tip BEC a costat organizațiile din întreaga lume aproximativ 55,5 miliarde USD. Gândiți-vă bine la această cifră.

Situația din teren

Povestea de mai sus scoate la iveală o problemă majoră: chiar și cei mai conștiincioși angajați sunt predispuși să uite ceea ce „au învățat” la cursurile de securitate cibernetică. Prezentările PowerPoint plictisitoare, testele obligatorii și listele de verificare pentru conformitate sunt adesea monotone și greu de reținut. Multe dintre aceste programe de conștientizare au rezultate mediocre și nu abordează problema principală: comportamentul uman. Angajații le parcurg doar ca să le bifeze, reținând puțin și aplicând în practică și mai puțin.

Situația este alarmantă, deoarece întrebarea nu este dacă angajații vor fi ținta unui atac, ci dacă vor fi pregătiți atunci când presiunea crește. Iar mulți, în mod clar, nu sunt, așa cum reiese, de exemplu, din cel mai recent Raport de Investigații privind Breșele de Date (DBIR) al Verizon, care arată că peste două treimi dintre breșele de securitate sunt cauzate de erori umane. Cineva a cedat. Cineva a accesat linkul malițios. Cineva a făcut o greșeală. Cineva ca Sarah.

Gândiți-vă la un exercițiu de simulare de incendiu în care angajații asistă la o prelegere despre teoria combustiei în loc să iasă efectiv din clădire. În caz de urgență reală, s-ar putea să ardă de vii, cu certificatele de absolvire în mână. Atunci, de ce ai „antrena” oamenii să se apere de atacuri cibernetice cu politici abstracte, în loc de simulări interactive? De ce am supune angajații la instruiri banale, care vor eșua sub presiune?

Soluția pentru o mai bună implementare

Nu, creierul nostru nu este leneș – de fapt, este extrem de eficient. Zi de zi, fiecare dintre noi procesează sute de mesaje, dând clic, distribuind și răspunzând cu un efort minim. În acest flux constant de informații, am devenit obișnuiți să luăm decizii în fracțiuni de secundă, care adesea prioritizează viteza în detrimentul oricărui alt factor, inclusiv al securității.

Dar, în loc de avertismente mai puternice sau să repetăm aceleași chestionare, soluția constă în „hacking-ul” creierului. Mai exact, să folosim tehnici care reconfigurează modul în care luăm decizii și ne antrenează să ne oprim din reacțiile automate – sau chiar să implementăm obiceiuri noi. Creierul nostru are tendința de a elimina informațiile seci pentru a conserva energie, dar reține cu ușurință experiențele interactive și emoționale.

Aici intervin simulările realiste și gamificarea inteligentă, împrumutând elemente din jocurile video, care stimulează atenția creierului. De fapt, fie că este vorba despre o aplicație de fitness care transformă antrenamentele într-o competiție de statut sau despre rețelele sociale care ne satisfac dorința de validare prin aprecieri, multe dintre aplicațiile pe care le folosim zilnic se bazează deja pe principiile gamificării. Mecanismele de joc sunt și ele folosite cu succes în competițiile de tip Capture the Flag, populare printre profesioniștii IT.

Programați pentru povești

O metodă esențială pentru a crește nivelul de securitate al organizației dvs. este valorificarea puterii storytelling-ului (puterii poveștilor). Poveștile sunt mult mai mult decât o modalitate de a umple timpul – ele ne-au ajutat dintotdeauna să înțelegem lumea și să împărtășim strategii de supraviețuire. Ele activează regiunile creierului responsabile de plăcere și emoții, reușind, în cele din urmă, să schimbe atitudini și comportamente.

Așadar, este firesc ca puterea acestui instrument de supraviețuire să fie tot mai des folosită pentru a face față provocărilor din jungla digitală a zilelor noastre, mai ales prin gamificare. Atunci când provocările de securitate sunt integrate într-o poveste captivantă, în care amenințările devin personaje, măsurile de securitate – unelte, iar angajații – eroi, formarea și reamintirea informațiilor pot fi îmbunătățite semnificativ.

Între timp, simulările realiste de phishing oferă o învățare practică și ajută la formarea unui reflex. Ele nu doar educă, ci testează și consolidează comportamentele corecte, în context și într-un mediu sigur. Învățarea bazată pe scenarii și simulările realiste plasează angajații în situații cu amenințări reale, dând viață conceptelor de securitate și creând ancore emoționale care persistă mult timp după finalizarea trainingului. Extinderea schemelor care implică deepfake-uri și alte trucuri asistate de inteligența artificială face ca această problemă să fie și mai urgentă – gândiți-vă doar la cazul recent, când un angajat din domeniul financiar a transferat 25 de milioane USD după un apel video cu imaginie de tip deepfake ale superiorilor.

De la un simplu checklist la șah mat

Acum, imaginați-vă că Sarah, primind acel e-mail urgent, nu intră în panică, ci se oprește o clipă. Recunoaște semnalele de avertizare, pentru că a întâlnit scenarii similare în trainingul de securitate, care a fost interactiv și captivant. Și-a dezvoltat reflexul de a se opri, de a gândi și de a verifica înainte de a acționa.

În cele din urmă, în loc să transfere fonduri către un infractor cibernetic, Sarah alertează echipa de securitate cu privire la o tentativă sofisticată de atac, transformând un posibil incident jenant (urmat de o mediatizare negativă a unui atac reușit) într-o lecție valoroasă pentru ea și întreaga companie.

Obiectivul final nu este doar conformitatea, ci de a înrădăcina comportamentele de apărare, care să devină la fel de instinctive ca retragerea (din reflex) din calea oricărui pericol.