Žmogiškasis veiksnys kovoje su kibernetinėmis grėsmėmis: KODĖL TECHNOLOGIJŲ NEPAKANKA?

Vilnius, 2025 m. balandis. Milijardinės investicijos į kibernetinio saugumo technologijas kasmet auga, tačiau statistika negailestinga – net 95% saugumo incidentų vis dar įvyksta dėl paprasčiausios žmogiškos klaidos. Lietuvos kibernetinio saugumo centras praneša, kad vien per praėjusius metus socialinės inžinerijos atakų skaičius šalyje išaugo 72%, o vidutiniai nuostoliai siekė 27,000 eurų vienai nukentėjusiai įmonei.

„Ši statistika turėtų būti skambantis pavojaus varpas kiekvienai organizacijai,” – teigia kibernetinio saugumo tyrimų centro vadovas Tomas Girnius. – „Nors investuojame į modernias ugniasienės, šifravimo algoritmus ir saugumo stebėsenos įrankius, tačiau pamirštame, kad grandinė stipri tiek, kiek stipri jos silpniausia grandis. O ta grandis dažniausiai – žmogus.”

Modernus sukčiavimas: kai technologija susitinka psichologiją

Šiuolaikiniai kibernetiniai nusikaltėliai veikia kaip puikiai organizuotos įmonės. Jie nepasitiki atsitiktinumu – atakos tampa vis labiau personalizuotos ir psichologiškai rafinuotos. Neseniai atliktas eksperimentas – į 300 Lietuvos įmonių išsiųsti personalizuoti apsimestiniai sukčiavimo laiškai. Rezultatas privertė sunerimti: net 43% darbuotojų atidarė kenkėjišką nuorodą, o 27% įvedė savo prisijungimo duomenis.

Psichologė ir kibernetinio saugumo elgsenos ekspertė Agnė Kavaliauskaitė pabrėžia, kad tradiciniai mokymai dažnai neveikia:

„Dažnai pamirštame, kad kibernetinis saugumas – tai ne tik techninis, bet ir psichologinis iššūkis. Socialinės inžinerijos atakos sėkmingos būtent todėl, kad išnaudoja žmogiškuosius instinktus – smalsumą, baimę, norą padėti ar paklusti autoritetui. Galime nesunkiai pakeisti žmonių žinias, bet daug sunkiau – jų elgesį. Tiesiog pasakyti ‘neatidarykite įtartinų laiškų’ yra tas pats, kas pasakyti ‘nevalgykite saldainių’ – vien žinojimas retai keičia įpročius.”

Atvejo analizė: kaip 130,000 eurų iškeliavo per 15 minučių

Lietuvos eksporto įmonės direktorius Marius N. (pavardė redakcijos žinoma) niekada nemanė, kad taps sukčių auka. „Mes investavome į geriausias saugumo sistemas. Turėjome viską – ugniasienę, duomenų šifravimą, VPN, duomenų apsauga sprendimus,” – pasakoja jis.

Viskas prasidėjo nuo skambučio, kurio metu paskambinęs asmuo prisistatė įmonės it priežiūra užsiimančios bendrovės darbuotoju. Jis įtikinamai paaiškino apie kritinį sistemos pažeidžiamumą ir paprašė finansų direktorės prisijungimo prie įmonės banko sąskaitos, kad galėtų „apsaugoti lėšas”. Po 15 minučių įmonės sąskaita buvo tuščia.

„Nepaisant visų technologijų, nepaisant investicijų į saugumo sistemą, vienintelis dalykas, ko mums trūko – tinkamai paruoštų žmonių,” – pripažįsta Marius.

Saugumo kultūra vietoj saugumo taisyklių

Ekspertai sutinka – užuot kūrus vis daugiau taisyklių, organizacijos turėtų formuoti saugumo kultūrą. Neseniai atliktas tyrimas parodė, kad organizacijos, turinčios stiprią saugumo kultūrą, patiria 62% mažiau sėkmingų kibernetinių atakų nei tos, kurios pasikliauja vien technologijomis ir griežtomis procedūromis.

„Kultūra – tai kas yra normalu, ne tik kas yra taisyklėse,” – aiškina organizacijų psichologas Vytautas Butkus. – „Kai saugumas tampa natūralia kasdienybės dalimi, o ne primesta pareiga, darbuotojai pradeda elgtis saugiai net ir tada, kai niekas nemato.”

Įdomu tai, kad darbuotojų neapibrėžtumo tolerancija daro tiesioginę įtaką jų pažeidžiamumui kibernetinėms atakoms. Tyrimai rodo, kad žmonės, kurie sunkiau susitvarko su neapibrėžtumu, dažniau patenka į sukčių pinkles, nes ieško greitų ir paprastų sprendimų neįprastose situacijose.

Revoliucinis požiūris į saugumo mokymus

Tradiciniai prezentacijų pristatymai ir ilgos saugumo politikos jau nebėra efektyvūs. Inovatyviausios organizacijos implementuoja naujus mokymosi metodus:

„Paruošėme realistišką sukčiavimo kampaniją 12-oje Lietuvos įmonių,” – dalinasi patirtimi kibernetinio saugumo konsultantas Darius Mickevičius. – „Pirmą savaitę sukliuvo 47% darbuotojų. Tačiau vietoj tradicinio ‘sugėdinimo’ metodo, pasirinkome kitokį kelią – trumpus, asmeninius praktinius mokymus tiesiog darbo vietoje. Po trijų mėnesių kartotinio testavimo ‘sukliuvusiųjų’ skaičius nukrito iki 12%.”

Virtuali realybė, žaidybiniai elementai, mikro-mokymai – visa tai padeda efektyviau kovoti su žmogiškuoju faktoriumi kibernetiniame saugume. Viena IT įmonė sėkmingai įdiegė „saugumo taškų” sistemą, kai darbuotojai renka taškus už saugų elgesį ir gali juos iškeisti į realias premijas.

„Papasakok, o ne pagąsdink”

Tradicinė saugumo komunikacija dažnai remiasi bauginimo taktika – rodomi statistiniai duomenys apie organizacijų patiriamus nuostolius, pasakojama apie bankrutavusias įmones. Tačiau psichologai teigia, kad baimė retai sukuria ilgalaikius elgesio pokyčius.

„Efektyviausia priemonė – asmeniniai pasakojimai,” – aiškina komunikacijos ekspertė Ieva Žilionienė. – „Kai kolega pasidalina realiu nutikimu apie tai, kaip jis pats vos netapo auka, tai paveikia daug stipriau nei abstrakti statistika.”

Įvertinus naujausius mokslinius tyrimus ir praktinę patirtį, galima teigti, kad efektyviausia strategija prieš kibernetines grėsmes šiandien – tai holistinis požiūris, apjungiantis technologijas, procesus ir žmones, su ypatingu dėmesiu pastarajai grupei.

Kol organizacijos nesugebės paversti savo darbuotojų iš silpniausios grandies į stipriausią saugumo barjerą, net ir pažangiausios technologijos negalės užtikrinti visiško saugumo. Kaip taikliai pastebėjo vienas saugumo ekspertas: „Jei investuojate milijonus į saugumo technologijas, bet tik centus į savo žmones, jūsų milijonai bus išleisti veltui.”