Bezpieczny Kod

edukacja pracowników

Opublikowano 

 przez 

Bezpieczny Kod

 w ,

Skuteczne Testy Phishingowe i Edukacja Pracowników

W tym odcinku podcastu gościmy Jakuba Staśkiewicza, doświadczonego specjalistę cyberbezpieczeństwa i twórcę projektu OpenSecurity.pl. Jakub opowiada o swojej długiej drodze w IT, od administracji systemami w ubiegłym stuleciu, aż po specjalizację w cyberbezpieczeństwie, co było w dużej mierze odpowiedzią na potrzeby rynkowe i jego osobiste zamiłowanie do open source’u. Podkreśla również jakie znaczenie ma edukacja pracowników w budowaniu świadomości bezpieczeństwa. Dowiesz się, jak OpenSecurity.pl stało się punktem odniesienia dla wielu początkujących adeptów cyberbezpieczeństwa w Polsce.

Tematy poruszane w odcinku:

  • Rosnące Regulacje i Automatyzacja Zagrożeń: Rozmawiamy o ewolucji potrzeb biznesu w zakresie usług bezpieczeństwa, szczególnie w kontekście rosnącej liczby regulacji (takich jak DORA czy NIS2) i automatyzacji phishingu dzięki modelom LLM.
  • Spersonalizowane Testy Phishingowe i Security Awareness: Jakub dzieli się swoją perspektywą na temat testów phishingowych, podkreślając, że najskuteczniejsze są spersonalizowane kampanie, oparte na głębokim rekonesansie i zrozumieniu kontekstu organizacji. Omawiamy także wartość szkoleń z zakresu security awareness, które powinny być dostarczane w małych dawkach i w różnorodnych formatach, aby skutecznie podnosić świadomość użytkowników.
  • Bezpieczeństwo jako Proces i Mentoring: Jakub, jako mentor i twórca platformy edukacyjnej, dzieli się swoimi doświadczeniami w skalowaniu wiedzy i adaptowaniu jej do zmieniających się potrzeb pracowników. Podkreśla, że bezpieczeństwo to proces, a nie produkt, a jego celem jest minimalizowanie ryzyka, a nie piętrzenie biurokracji, co idealnie rezonuje z ideą Security by Design i Phoenix Project.

Odcinek dostępny na YouTube, Spotify, Apple Podcasts i innych platformach.

Transkrypcja

Andrzej: Dzień dobry. Witam naszych słuchaczy w kolejnym odcinku. Dzisiaj naszym gościem jest Jakub, Jakub Staśkiewicz. Bezpiecznik, którego w zasadzie dużo widać w internecie. Jakubie, ty mi się nie raz, nie dwa przesunąłeś przez różne ściany, czy to na LinkedInie, czy na innych socialach. Wiem, że twoje doświadczenie w cyberbezpieczeństwie już w zasadzie chyba można liczyć w dekadach. Więc trochę już siedzisz w temacie. Ja myślę, że nasi słuchacze będą Jakuba kojarzyli. Przede wszystkim z projektu, który kilka lat temu rozpocząłeś. Opensecurity.pl. Oczywiście wszystko podlinkujemy w referencjach. Ja nie będę dalej rozwijał Jakubie. Oddam Tobie pałeczkę. Opowiedz, przybliż sam siebie naszym słuchaczom. Taki TLDR, żeby mieli background, żeby mieli pogląd na to czym się zajmujesz.

Jakub: Cześć, miło mi was powitać, być waszym gościem. W skrócie wielkim, wspomniałeś o tych dekadach, to trochę już dla mnie to jest powód do wstydu, ale do początki. moje z IT to jest ubiegłe stulecie. przełom XX-XXI wieku, to były początki mojej pracy zawodowej, która przez ładnych kilka lat skupiała się na takiej typowej administracji systemami. Ja tak trochę skakałem pomiędzy różnymi specjalizacjami od sieci, poprzez systemy, poprzez storage’e, takie różne tematy wdrożeniowe się mnie i mały i w pewnym momencie gdzieś tam skończyły mi się pomysły na to, czym się zajmować. Pojawiła się też potrzeba, bo to w dużej mierze była kwestia potrzeby, która się w firmie, gdzie pracowałem, pojawiła, żeby iść w kierunku tego cyberbezpieczeństwa, o którym nigdy tak naprawdę nie myślałem. To było takie coś, co mi się wydawało jakąś czarną magią, tematem dla wybrańców, ale okazało się, że ten duży background taki administracyjny, znajomość systemów, protokołów, tego jak wiele rzeczy działa od poczewki, to to się bardzo w cyberbezpieczeństwie przydało. i pojawił się taki pomysł, żeby trochę będąc już znużonym i trochę może wypalonym zawodowo, żeby zacząć z tym tematem trochę działać niezależnie. Pojawił się pomysł na bloga opensecurity.pl, to jest takie połączenie dwóch moich zamiłowań, czyli tego bezpieczeństwa i open source’u, w którym też przez wiele lat pozazawodowo angażując się w różne inicjatywy działałem i Open Security jak taki pomysł na dzielenie się wiedzą z zakresu cyberbezpieczeństwa od etapu gdzie ja tą wiedzę sam nabywałem do takiego etapu gdzie już jej trochę zdobyłem i mogłem się nią podzielić z osobami początkującymi. Główna idea Open Security była taka, że to jest takie miejsce gdzie tą wiedzą się będziemy wspólnie dzielić. Oczywiście później też pojawił się pomysł, żeby trochę to wykorzystać biznesowo, żeby budując jakąś taką markę swoją osobistą, wykorzystać ten fakt do sprzedaży usług, konsultacji. To jest taki.

Andrzej: To ja tutaj mam takie szybkie pytanie, bo użyłeś tego keyworda, no ono nie jest do końca związane z cyberbezpieczeństwem, ale użyłeś keyworda markę osobistą. Czytałeś już nową książkę Krzyśka z Porozmawiajmy o IT? By the way, również poznaniaka.

Jakub: Nie, nie. Przyznam szczerze, że nie czytałem. Chociaż to jest taki temat, który gdzieś tam myślę wszyscy jako twórcy internetowi, ci którzy gdzieś tam trochę działają jako freelancerzy i trochę budują swoje marki. w różnych miejscach, w różnych grupach internetowych trochę przecinamy i spotykam różnych twórców, którzy wiem, że działają z podobnym założeniem, wykorzystują podobne narzędzia. Ja przyznam, że mi jest z tym trochę ciężko, bo ja jestem od zawsze introwertykem, jestem osobą, która ma z aserytywnością problem. Ciężko mi się sprzedawać. Ja nie lubię po prostu się promować jako ekspert, jako specjalista od czegokolwiek. Ale zdaję też sobie sprawę z tych swoich niedoskonałości i gdzieś tam próbuję z tym walczyć. Przyznam też, że ze względu na to, że moje obowiązki czy zlecenia, które wykonują są czasem wynikiem jakiejś nagłej potrzeby, więc też rzadko to jest tak, że ja mogę sobie zaplanować, skupię się teraz na marce osobistej, na jakimś tam rozwoju, na promocji. Często jest tak, że bym chciał coś robić, ale Mam kolejkę po prostu klientów, którzy chcą, żebym robił coś innego. i tak to trochę wygląda. Nie do końca przyznam nad tym panuję, co i kiedy robię, co nie jest może, nie świadczy dobrze o mnie jako organizatorze własnej pracy, ale jakby zawsze stawiam potrzeby klientów przed potrzebami swoimi, co wiem, że częściowo jest błędem.

Krzysztof: Tak, a ja dodam, wracając do Twojego przedstawienia, że Open Security to był jeden z pierwszych blogów, które w ogóle dodałem do zakładek, kiedy zacząłem się interesować cybersecurity w 2017 roku i nawet ostatnio reorganizując i importując zakładki na nowy komputer, to właśnie gdzieś mi mignęło Twoje dzieło, Twoje dziecko.

Andrzej: Czyli osiągasz niejako sukcesy, bo zaszczepiasz tą myśl osób, które chcą iść i nawet wchodzą, przeskakują do cyber.

Jakub: To bardzo mi miło. Ja miałem podobnie z kolegami starszymi, którzy w branży na pewno są bardziej rozpoznawalni. Michał Sajlak, Sekurak. Pamiętam jak Sekurak powstało. jak ja go dodawałem do swoich zakładek, takie miejsce, które spojrzałem i mówię, o tu warto zaglądać. Cieszę się bardzo, że są osoby, które podobnie odbierają moją pracę, bo to 2017 rok, to był chyba początek, gdzie pierwsze jakieś teksty Tworzyłem, więc parę lat minęło i no fajnie, że przynosi to jakiś skutek, że są osoby, które gdzieś tam do tego docierają.

Krzysztof: A powiedz Jakojo, bo wspomniałeś też o aspekcie biznesowym tego projektu Open Security. Jak widzisz, jak zmieniały się potrzeby biznesu na usługi security na przestrzeni tych lat, kiedy działasz z tym projektem?

Jakub: Znaczy trochę trudno mi to ocenić, czy to jest kwestia tego, że zmieniały się potrzeby, czy to jest kwestia tego, że nastąpił jakiś pewien taki moment, gdzie tych treści ja już miałem na tyle dużo, że one zaczęły przyciągać nowych odbiorców. Nie skupiałem się gdzieś nigdy na tym, żeby za wszelką cenę jakoś tam te treści pozycjonować, żeby konkretne słowa kluczowe na przykład pozycjonować. Czasem trochę przez przypadek się okazywało, że jakiś tekst stawał się bardziej poczytny i rodził pytania ze strony klientów, że jeżeli tam piszesz o tym, to może jesteś skłonny, chętny dostarczyć nam taką i taką usługę. I to bardziej było w tą stronę. Ja nigdy nie tworzyłem jakiegoś produktu z myślą o tym, że go tam zapromuję i sprzedam, ale pojawiały się pytania. Mówię, no to może to jest dobra okazja, żeby taki produkt albo taką usługę opisać trochę szerzej i dać tam jakieś krótkie info, że jestem w stanie ją zrealizować. I z podczep takich trend, na przykład, który ostatnio zauważam, który też nie jest jakimś efektem tego, że ja to próbuję bardziej sprzedać, nawet szczerze mówiąc to jest usługa, która jakoś tam specjalnie nie leży mi na sercu, ale jest dużo zapytań, to są testy phishingowe, kampanie takie stacjotechniczne. Wydaje mi się, że wzrosło gdzieś zainteresowanie na przestrzeni ostatniego roku. Ale nie wiem, tak jak mówię, nie wiem, czy to jest rzeczywiście trend taki ogólny, rynkowy, czy to jest może efekt, jakiś przypadek tego, że jakiś tam gdzieś tekst na blogu bardziej trafił w algorytmy google’owe i więcej zapytań takich z wyszukiwarki trafia do mnie.

Andrzej: Ja tutaj mam taką myśl, że być może trafia więcej takich zapytań, bo w tych ostatnich latach gdzieś widzimy coraz więcej różnych norm, które cedują się na nas jako państwo z Unii Europejskiej, takich jak DORA, NIS2, ACRA. I wokół tych norm też organizacje są niejako zobligowane do wykonywania pewnych akcji. No i potem ludzie trafiają na Twojego bloga albo gdzieś kojarzą Ciebie z internetu i odzywają się do Twojej firmy. Myślę, że tu oczywiście relacja nie oznacza implikacji. To niekoniecznie jest tak, że to z tego wynika, ale być może.

Jakub: Może tak być.

Krzysztof: Tak, zwróćcie też uwagę, że to co Andrzej mówisz, z jednej strony mamy regulacje, które wymagają na organizacjach, aby te testy security awarenessowe się, te kampanie security awarenessowe się pojawiały w tych firmach, a z drugiej strony phishing stał się łatwy jak nigdy. przez między innymi duże modele językowe, które po prostu automatyzują cały proces, a przynajmniej proces tworzenia treści phishingowej, dostosowanej naprawdę w punkt do organizacji, które będą atakowane.

Andrzej: To mam pytanie, czy jak realizowałeś usługę takich testów phishingowych, Jakubie, to czy korzystałeś, już miałeś okazję korzystać z LLM-ów? Czy to własnych, czy GPT, to nie ma znaczenia, ale…

Jakub: Nie, nie. Przyznam szczerze, że ja w ogóle jestem sceptycznie nastawiony do jakichkolwiek narzędzi, takich narzędzi, które to w jakiś sposób automatyzują i dostarczają gotowe schematy, czy szablony, czy scenariusze. Próbowałem i z takich płatnych i z takich open source’owych typu Goofish np. narzędzi korzystać, natomiast jakoś bardziej, jak oceniam później skuteczność takich kampanii, to zawsze najskuteczniej wychodzą takie kampanie, które ja sobie sam… wymyślę jakiś scenariusz dostosowany, bo to jest też istotne, żeby to był scenariusz dostosowany do konkretnego klienta i nie korzystam z gotowych narzędzi czy szablonów do tego, żeby tę kampanię realizować. Na razie jestem to w stanie ogarniać tak powiedzmy własnymi siłami, za pomocą własnych jakichś tam skryptów, narzędzi i doświadczenia, które nabyłem. Wydaje mi się, że to jest i dla mnie i dla klienta okej, bo miałem też gdzieś tam takie rozmowy z klientami, którzy korzystali z jakichś większych komercyjnych, nie chcę wymieniać nazw, żeby nie było, że może zarzucam coś, znaczy jakoś czarny PR uprawiam, ale są narzędzia popularne na rynku, kosztowne bardzo, które to teoretycznie realizują, ale się okazuje, że gdzieś tam jak się temu przyjrzy, to Te efekty, które się uzyskuje nie do końca odpowiadają realnym efektom takiego potencjalnego ataku. Tu nam może wyjść z narzędzia, że my jesteśmy w niewielkim stopniu zagrożeni, ale jakby ktoś taką kampanię, realny intruz przygotował, celowaną w danego klienta czy firmę, to by się okazało, że on uzyska dużo lepsze rezultaty niż pokazuje to takie narzędzie, gdzie tam ktoś sobie wyklika jakąś kampanię Bo ona będzie nie osadzona w kontekście jego organizacji, nie będzie poprzedzona jakimś rekonesansem, co często ma miejsce w przypadku ataków.

Krzysztof: Czyli taki typowy spear phishing, konkretnie w punkt, jak snajper, tam jako puderza.

Jakub: Tak, tak, jakby to jest moim celem. Chcę pokazać i klient zresztą też zamawiając takie testy liczy na to, że pokażemy, że zagrożenie jest realne, bo główną ideą, która stoi za testami jest nie to, żeby komuś dokopać, żeby pokazać, że jest bezmyślność, że coś kliknął, że się nie zastanowił, tylko pokazać, że jest zagrożenie, z którym musimy się liczyć i zastanowić nad tym, jak to zagrożenie możemy zminimalizować, a no nic tak nie zachęca do edukacji użytkowników jak pokazanie im, że okej tutaj to były testy i nic się nie stało, ale gdybyś trafił na taki przypadek nawet prywatnie, bo to nie jest kwestia tam czy to jest konto służbowe i systemy służbowe, ale ty byś mógł się złapać w domu odbierając skrzynkę tam prywatnego maila i stracić w ten sposób np. oszczędności życia. Także to jest chyba ideą główną testów i ta skuteczność, która moim zdaniem jest wyższa, jeżeli one są przemyślane, wycelowane i przygotowane indywidualnie, daje lepsze rezultaty i bardziej zachęca do nauki później.

Andrzej: Ja nie przeprowadzałem nigdy takich testów, znaczy brałem udział tak z doskoku, ale wiele lat temu, natomiast nie było to moim głównym, głównym zadaniem, ale jestem w stanie bez, bez cienia wątpliwości wziąć to, co mówisz na, na wiarę w stu procentach, bo to się przewija w zasadzie w każdej ścieżce związanej z security, czyli kontekst jest tutaj tak naprawdę najważniejszy. i jeśli weźmiemy po prostu narzędzie, jakiekolwiek, jakiś automat, który tak naprawdę nie jest w stanie narzucić kontekstu, zrozumieć kontekstu, sprofilować różnych rzeczy pod kontekst, no to wyniki będą generyczne, będą generyczne i przede wszystkim nie osiągniemy tej wartości, którą chcemy, no bo jeśli właśnie takie narzędzie powie mi, że w zasadzie problemu nie ma, A małym nakładem pracy ja jestem w stanie sprofilować i pokazać, że problem jest, no to tak naprawdę nie tylko nie otrzymuję wartości, a w zasadzie otrzymuję wartość negatywną, bo żyję w nieświadomości.

Jakub: Czy my mamy fałszywe wyniki, tak? Bo możemy mieć taki, na przykład też z życia. możemy mieć scenariusz typu dostarczenie jakiejś tam faktury, próba wyłudzenia. ale okazuje się, że w firmie jest jakaś procedura, która już tam ktoś przemyślał pewne scenariusze i która mówi, że np. płatność wymaga jakiejś tam, czy zapytanie np. od kontrahenta, czy wysłanie faktury wymaga jakiejś konkretnej procedurki. i taka kampania puszczona gdzieś tam jakiś gotowy scenariusz z automatu na pewno nie przyniesie rezultatu, a my przygotowując taki scenariusz dedykowany, czyli wiemy, że tam macie jakąś procedurkę i spróbujemy teraz zobaczyć na ile użytkownicy będą ostrożni, jeżeli tam wystąpi jakiś mały wyjątek, że my niby zgodnie z tą procedurą, ale jednak coś tam będzie inaczej, żeby taką Wrażliwość i czułość użytkowników na te drobiazgi, bo to często jest kwestia drobiazgów. Jakieś tam kropki innego znaku, literówki w domenie, no to znane myślę wszystkim, którzy się tym interesują. Te szczegóły robią różnicę.

Andrzej: Tak, łapanie przypadków krańcowych.

Krzysztof: Dokładnie, dokładnie. Tu mi się przypomina historia, tak wejdę troszeczkę z lotem, gdzie po prostu została podesłana faktura za dreamlinery. Od teraz płacicie ratę leasingu na to konto. Faktura wygląda dosłownie identycznie jak ta oryginalna. No i księgowość wykonała, więc któraś tam rata za dreamlinery poleciała do przestępców.

Jakub: To nie był odosobniony przypadek, bo to i LOT i Polska Grupa Zbrojeniowa i to z takich głośnych, bo to instytucje dobrze znane, a takich przypadków w firmach mniejszych, większych to są tysiące. Jak ktoś się tym nie interesuje, to może nie wie, ale jak gdzieś tam się w branży obraca, no to nie ma tygodnia, żeby ktoś tam się nie zwrócił z zapytaniem, co robić, bo tam wysłaliśmy gdzieś pieniądze albo wysłaliśmy gdzieś jakieś połówne dane, bo ktoś tam czegoś nie zauważył, także trzeba być na to przygotowanym niestety.

Andrzej: Jasne. I Jakubie, bo zajmujesz się właśnie między innymi takimi testami, nazwijmy to po prostu testami bezpieczeństwa, to jest pewna odmiana, te testy socjotechniczne, ale zajmujesz się też szkoleniem. I to już nie tak od roku czy dwóch, tylko już trochę masz doświadczenia w tym szkoleniu.

Jakub: Tak naprawdę to pierwsze kroki mojej bezpieczeństwy. to były właśnie szkolenia, bo pojawiły się wśród klientów, których wtedy jeszcze pracując na etacie obsługiwałem od takiej strony powiedzmy administracyjno-zarządczej, jeśli chodzi o IT, o infrastrukturę, pojawiły się potrzeby takie. to też wynikało trochę z tego, że były to lata, gdzie tam zbliżało się wielkimi krokami RODO, czyli tam 2015 rok. już zaczęto o tym dużo mówić i pierwsze moje w zasadzie szkolenia to były firmy, które się do mnie zgłosiły, to były firmy zajmujące się wdrożeniami RODO, które chciały przygotować swoich klientów na wejście w życie nowych przepisów i analiza ryzyka, która się pojawiła, takie no głośne, głośne hasło, które było przy okazji RODO nowością, która wymagała, żeby różne zagrożenia przewidzieć i związane z nimi ryzyka zminimalizować, no to spowodowało, że ci ludzie od RODO chcieli gdzieś tam przeszkolić tych swoich klientów z zagrożeń takich związanych właśnie z wyłudzeniem hasła, z jakimś phishingiem, ale nie bardzo się na tym znali i parę takich propozycji dostałem od firm szkoleniowych, żeby coś takiego poprowadzić. Przyznam, że niechętnie na początku do tego podchodziłem, bo tak jak mówiłem, ja jako introwertyk zawsze miałem problem taki z kontaktem z jakąś grupą, z prowadzeniem czegokolwiek, no ale takimi małymi krokami od małych grupek do coraz większych gdzieś tam oswoiłem się z tym i okazało się, że dobrze się dosyć w tym odnalazłem. Jest to, jest to, jest to rzecz, która jeśli chodzi o moją agendę, czy, czy harmonogram pracy mój, to, to jest jedno z częstszych tych zajęć. To są właśnie szkolenia, czy to online, czy on-site. W sumie w zasadzie od, od czasów covidu praktycznie się skończyły. Jakoś tak przyzwyczaili się wszyscy do tych Teamsów, Zoomów i, i nie ukrywam, jest mi to na rękę, bo tam nie trzeba jeździć, nie trzeba pokonywać kilometrów. Łatwiej też mi jest jako introwertykowi ten kontakt mieć z kamerą niż z jakąś tam salą, gdzie siedzi tłum ludzi.

Andrzej: No właśnie i jak masz kontakt z kamerą, bo chciałbym też poruszyć ten wątek, że trochę wspomniałeś o tym, ale chciałbym go uwypuklić, że też masz produkty, takie szkolenia online, które ktoś może po prostu kupić i przejść jakąś tam ścieżkę, to może opowiedz dwa, trzy słowa o tym, bo mamy różnych słuchaczy i na pewno jakiś podzbiór tych słuchaczy będzie tym zainteresowany.

Jakub: Bardzo chętnie, to było też znowu, jakoś tak się złożyło, że dużo jakby tematów, którymi się zajmuję, dużo rzeczy w moim życiu stało się trochę przez przypadek i tutaj takim przypadkiem, który to zainicjował był COVID, bo te szkolenia, tak jak mówiłem, od czasów gdzieś tam 2000 osiemnastego roku. Często realizowałem stacjonarnie pojawił się w dwa tysiące dwudziesty tak to był chyba pojawił się kovid i wszystkie szkolenia, które gdzieś tam mieliśmy zaplanowane czasem jakiś harmonogram szkoleń w dużej firmie miesiącami wcześniej planowaliśmy. No okazało się, że jest lockdown wszyscy siedzą w domu szkoleń nie można zrealizować. no i pojawiły się takie zapytania od klientów. to może byśmy coś zrobili na Teamsach, ale na tych Teamsach też tak oderwać tam kilkuset pracowników jednocześnie na przykład jest ciężko zmobilizować ich albo trzeba zrobić tych grup odpowiednio dużo. Pojawiły się pytania, czy może coś takiego jestem w stanie nagrać albo dostarczyć w formie nagranej, żeby to wysłać użytkownikom i żeby oni się z takim materiałem zapoznali. Nie miałem czegoś takiego, ale stwierdziłem, skoro jest potrzeba, trzeba na tą potrzebę odpowiedzieć i jakieś takie pierwsze materiały zacząłem tworzyć. Później w momencie jak się pojawiały kolejne zapytania i wątpliwości ze strony klientów, no bo ok, mamy materiał, wyślemy komuś link, no ale teraz jak my mamy jako firma zbadać czy ten pracownik to obejrzał czy nie obejrzał, no to ok, pojawił się pomysł, to zróbmy to nie na zasadzie linku tam do wideo, tylko zróbmy jakąś platformę. Zróbmy to. dużo powiedziane. Są takie platformy LMSowe na rynku, które są dostępne i można zaimplementować. I tak małymi krokami ten produkt się rozbudowywał. W tej chwili jest to taka platforma która umożliwia zaimportowanie dużej ilości pracowników, śledzenie ich postępów, czyli mamy jakieś raportowanie gdzie widzimy kto na jakim etapie, mamy jakieś możliwości weryfikowania tej wiedzy, czyli budowania quizów odpornych, takich też trochę na ściąganie, bo to też cały czas się uczymy na błędach. Znamy firmy, gdzie się okazało, że jeden sprytniejszy pracownik coś przeszedł kurs, rozwiązał wszystkie quizy i wysłał maile do całej reszty, żeby sobie te quizy tam przeklikali. No to pojawiły się w platformie opcje mieszania pytań, żeby to już nie było, że ktoś ma gotowe tam, że w trzecim ma zaznaczyć B, a w czwartym A. Jak tak zrobił, no to się zdziwił. I tak w miarę potrzeb i problemów pojawiających się gdzieś u klientów nowe opcje dochodziły. To, co ja podkreślam często, jeżeli ktoś pyta o szkolenia i o trudno, trudno powiedzieć, co jest lepsze, tak, czy szkolenie on site, czy szkolenie na żywo online, czy czy platforma, wszystko ma swoje plusy i minusy i uważam, że jedną z zalet platformy jest to, że my tą wiedzę, którą tam mamy, a ja tego materiału mam tam trochę sporo, bo tak jest ponad 90 takich krótkich bo krótkich, ale ponad 90 lekcji, to jest 8 godzin materiał. Jeśli chodzi o szkolenie awarenessowe, to jest bardzo dużo. Nikt takich szkoleń nie robi, ale zostało to pomyślane w taki sposób, że jeżeli tego materiału jest dużo i my go będziemy w małych dawkach przez długi okres udostępniać, to ten poziom świadomości Będzie powoli tak. Chodzi o to, żeby poziom świadomości był wysoki, nie tylko żeby to był taki pik, że mieliśmy szkolenie i przez parę dni wszyscy pamiętają, tylko my na przykład wrzucamy tym użytkownikom raz na tydzień zaproszenie do kolejnego tematu, kolejnego modułu. Dzisiaj rozmawiamy o hasłach, dzisiaj o phishingu, dzisiaj o tym. Jeżeli to przez kilkanaście tygodni dostarczamy, to przez te kilkanaście tygodni mamy stały wysoki poziom wiadomości. Ludzie o tym pamiętają, tak? O szkoleniu, które było trzy miesiące temu już nikt nie będzie pamiętał. A tu nawet jeżeli temat co tydzień jest jakiś nowy, się pojawia, ale cały czas jak mówimy o czymś, to odnosimy się do poprzednich tematów zagrożeń i ludzie jednak… Wydaje mi się, że ta świadomość jest wtedy dłużej na tym wysokim poziomie. Pozytywne jest też, bo problem zawsze jeśli chodzi o pracodawców jest taki, że oni kupią, dadzą to szkolenie pracownikom, ale czy to nie są zmarnowane pieniądze. Ja też tak starałem się to jakoś zbadać, czy ustalić na ile rzeczywiście pracownicy z tego korzystają, no bo może być tak, że ktoś usiądzie, tam włączy sobie to szkolenie i tam raz po raz kliknie dalej, dalej, okej, quiz może mu się uda rozwiązać, ale no takim elementem, którym nie przekonuję do tego, że ludzie jednak to słuchają z zainteresowaniem, bo to jest wiedza, która im się też w znacznej mierze praktycznie prywatnie przyda. Jest to, że ja widzę w statystykach, że ludzie często w dni wolne, w soboty, w niedzielę potrafią się zalogować do kursu i przejść sobie parę modułów. Nie sądzę, żeby wymuszał to pracodawca, albo żeby za to płacił. Podejrzewam, że to jest bardziej efekt tego, że ktoś gdzieś tam w życiu prywatnym spotkał się z jakąś sytuacją, że ktoś chciał od niego numer dowodu, jakiś skan, chciał, żeby coś kliknął, żeby coś wysłał i on sobie wtedy przypomniał, no a dali mi w firmie takie szkolenie, to może ja tam zajrze. tak i to to myślą jest taką dużą dużą przewagą platformy w stosunku do szkoleń na żywo, on-site czy online. Natomiast trudno mi przesądzać. Ja sam nie powiem, że zdecydowanie jedno czy drugie podejście jest lepsze. To jest też kwestia często indywidualna. Jeden woli przyjść na żywo posłuchać coś, inny woli sobie w spokoju, w zaciszu domowym, czy jak będzie miał czas, to obejrzeć materiał, który ktoś mu udostępnił. Także nie narzucam. Nie mówię nigdy, jak ktoś mi przyjdzie i zapyta, w jaki sposób ja mam przeszkolić pracowników, to ja nie mówię. tutaj masz platformę, to jest najlepsze rozwiązanie, kup dostęp i jest okej. Mówię o plusach i minusach jednego i drugiego podejścia i klient często sam wie, co mu bardziej leży albo na co sobie może pozwolić, bo nieraz to jest kwestia tego, że nie da się inaczej po prostu niż przez platformę, bo mamy parę tysięcy pracowników, zebrać ich nawet tam w pięciu, dziesięciu grupach się nie da logistycznie, a jak się ich zbierze na siłę, no to co drugi tam przyjdzie na spotkanie, ale będzie robił co innego, więc Może lepiej dać im ten dostęp, żeby oni sobie sami, kiedy mogą i chcą, korzystali.

Krzysztof: Mi się bardzo podobało to, co spowiedziałeś o tym, że ta wiedza z tego kursu securitywarenessowego, ona nie jest tak punktowo, jako taka kobyła ośmiogodzinna rzucana pracownikowi w jednym momencie, tylko dawkujecie tą wiedzę i podtrzymujecie ten poziom, podtrzymujecie W zasadzie wzrastacie w tej świadomości użytkowników.

Jakub: To jest, ja to też, bo to 8 godzin, no to w ogóle, no nawet nie można sobie tego wyobrazić, żeby ktoś robił takie szkolenie, ale nawet po takich, bo dużo robię i robiłem takich szkoleń, gdzie ktoś mówi, okej, możemy zwołać pracowników, przeznaczyć na to 2 godziny tak, albo 3 godziny. Dwie, trzy godziny to jest taki najczęstszy wariant. I nawet po tych dwóch godzinach ludzie wychodzą i trzymają się za głowę. Tak mówiąc, kurczę, ja teraz nie wiem co ja mam najpierw robić. Lecieć, zmieniać hasła, instalować menadżera, weryfikować maile. Trochę przerażeni tą ilością, no bo te szkolenia polegają na tym, że się pokazuje różne techniki, pokazuje się zagrożenia i ludzie trochę wychodzą przerażeni, tak? Oni, oni albo wręcz wychodzą zrezygnowani i mówią, to ja nie mam szans żadnych się tam przed niczym obronić, to ja to krzanię wszystko, nie? Albo, albo utnę kabel od internetu i w ogóle nic nie będę robił.

Andrzej: Tak, jest, jest cognitive overload, po prostu jest przeładowanie informacjami i odbiorca czuje się nieporadny, a przez to już po prostu zaczyna to ignorować, bo, bo już od razu sądzi, że problem go przerośnie. Mi też się właśnie podoba ta metoda takiego kropelkowania.

Jakub: I to jest takie też trochę budowanie, bo no to się też często pojawia, że bezpieczeństwo to nie jest produkt, to musi być proces, tak? I my kupując tam komuś dostęp, dając, gdyby to był taki kurs, że on wchodzi na godzinę, obejrzy tam sobie jakiś materiał i koniec, no to jednak to byłby bardziej produkt. Natomiast to założenie moje jest takie, że ja i platformy i usługami wchodni, bo to platforma platformą, tam są materiały, natomiast są też aktualizacje, jeżeli pojawia się jakieś nowe zagrożenie, są jakieś nowe rzeczy, o których trzeba wspomnieć, tak? Zniknęła teraz parę tygodni temu kłódeczka w Google Chrome. i co to znaczy, nie? Jak na wszystkich szkoleniach wszyscy mówią, że ty musisz patrzeć czy jest kłódeczka, jak się logujesz do banku, a teraz wchodzisz w Chrome i nie ma kłódeczki, nie? Więc to jest też istotne, żeby tą wiedzę aktualizować, żeby dostarczać, nawet takie małe, niewielkie, czy to w formie jakiegoś kolejnego krótkiego nagrania, czy jakiegoś newslettera, które puścimy. To też miałem taki pomysł i trochę go zacząłem realizować, trochę stanąłem w miejscu, ale na pewno do tego wrócę, żeby dostarczać też różne treści, bo różni ludzie różnie się lubią uczyć. Niektórzy są wzrokowcami, inni ze słuchu. Więc był też taki pomysł i zacząłem gdzieś tam trochę w formie podcastu te lekcje awarenessowe wypuszczać, żeby to był i artykuł na blogu i wideo i podcast i każdy jak nie przed komputerem, no to może gdzieś tam w słuchawkach jadąc na rowerze sobie coś posłuchać. Czyli takie bombardowanie trochę tych użytkowników, pracowników różnymi kanałami, żeby dotrzeć do każdego.

Andrzej: Tak, to jest bardzo dobra taktyka, bo to jest to, co powiedziałeś, że różni ludzie lubią w różny sposób pochłaniać informacje. Jeden woli posłuchać, drugi woli przeczytać, a trzeci woli obejrzeć wideo. i żadna z tych opcji nie jest lepsza. Ona po prostu bardziej pasuje w danym kontekście odbiorcy.

Jakub: Jeden zapamięta slajd, inny coś, co mu tam wpadło w ucho i to też musimy jako dostawcy treści edukacyjnych brać pod uwagę.

Andrzej: Dobrze, ja w zasadzie wystrzelałem się z pytań.

Krzysztof: Ja już też w zasadzie pytań do ciebie, Jakubie, nie mam. Także bardzo ci dziękuję za twój czas. No i mam nadzieję, że do zobaczenia na jakąś dogrywkę.

Andrzej: Tak, ja również mam taką nadzieję, że dogramy rundę drugą. A naszym widzom polecamy popatrzeć na zasoby od Jakuba. Linki będą w referencjach do i podcastów, i wideo.

Jakub: Dziękuję wam bardzo, miło było też u was gościć, tym bardziej, że to wy przyjechaliście do Poznania i nie musiałem daleko się udawać. Dziękuję wam bardzo, do zobaczenia.

Krzysztof: Dzięki wielkie, hej.

Andrzej: Dzięki, na razie.

Sprawdź pozostałe odcinki →

Obszary

Tagi

Assessment Podcast

Zobacz naszą ofertę

Zaciekawiła Cię tematyka tego artykułu? Oferujemy szkolenia i specjalistyczne usługi doradcze w zakresie cyberbezpieczeństwa. Zobacz, jak możemy pomóc Tobie i Twojemu zespołowi rozwinąć te umiejętności w praktyce!

Zobacz ofertę →