Straipsniai

Straipsniai

Straipsniai

Kibernetinis saugumas žmogiškuoju kampu: darbuotojų psichologija ir klaidos

Sep 29, 2025

Kibernetinis saugumas žmogiškuoju kampu: darbuotojų psichologija ir klaidos

Kibernetinio saugumo pasaulyje dažnai daugiausiai dėmesio skiriama technologijoms - ugniasienėms, antivirusams, šifravimui, stebėjimo įrankiams. Tačiau realybė paprasta: didžiausias silpnoji grandis lieka žmogus. Net stipriausia sistema gali būti nulaužta vienu neatsargiu paspaudimu.

Lietuvoje, kaip ir visoje Europoje, įmonės ruošiasi TIS2 ir DORA reikalavimams. Tai ne tik dokumentų ir procesų klausimas, bet ir organizacinės kultūros bei psichologijos klausimas. Kodėl darbuotojai vis dar spaudžia ant phishing laiškų? Kodėl slaptažodžiai vis dar laikomi ant „lipniukų“? Ir ką daryti, kad žmogiškos klaidos neštaptų kritiniu incidentu?

Kodėl darbuotojai klysta? Psichologiniai faktoriai

  1. Skubėjimas ir stresas

    • Dauguma phishing laiškų sėkmingi todėl, kad pasirodo „kritiniu momentu“ - kai darbuotojas pavargęs, susikoncentravęs į kitą užduotį ar spaudžiamas terminų.

    • Pvz.: „Jūsų sąskaita užblokuota - prisijunkite per 15 minučių.“

  2. Autoriteto efektas

    • Sukčiai dažnai apsimeta vadovais („CEO fraud“) arba žinomais partneriais.

    • Darbuotojai bijo „nepaklusti“, todėl vykdo nurodymą pervesti pinigus ar atidaryti failą.

  3. Smalsumas ir naivumas

    • Net ir IT specialistai gali spustelėti „patrauklų“ nuorodos tekstą: „Žiūrėkite, kas apie jus rašoma spaudoje!“

    • Žmogus linkęs tikėti, kad „tai negali nutikti jam“.

  4. Kultūros problema

    • Lietuvoje dar dažnai girdime: „čia IT reikalas, ne mano“.

    • TIS2 logika aiški: kibernetinis saugumas yra visos organizacijos atsakomybė, ne tik IT skyriaus.

Lietuviška realybė

  • Phishing testai: pagal įvairių konsultantų atliktus vidinius testus, 20-40 % Lietuvos darbuotojų vis dar paspaudžia ant sukčiavimo nuorodų.

  • Slaptažodžiai: dažniausi variantai - „123456“, „labas123“, „vardas+metai“.

  • Duomenų apsauga: itin dažnai jautri informacija (sąskaitos, sutartys) siunčiama per asmeninius Gmail ar WhatsApp kanalus.

Tai rodo ne technologijų, o elgsenos problemą.

Ką gali padaryti įmonė? Praktiniai patarimai

  1. Sukurti „kibernetinio saugumo kultūrą“

    • Ne tik formaliai atlikti mokymus, bet ir įtraukti juos į kasdienybę.

    • Pvz., kartą per mėnesį išsiųsti „phishing testą“ su iškart rodomu rezultatu („paspaudei? štai kaip atpažinti“).

  2. Įgalinti, o ne bausti

    • Darbuotojas, kuris padarė klaidą, neturi bijoti pranešti.

    • Sukurkite „incidentų be kaltės“ politiką - svarbu, kad praneštų kuo greičiau.

  3. Praktiniai įpročiai

    • Daugfaktorė autentifikacija (MFA) - net jei slaptažodis paviešinamas, papildomas žingsnis išgelbės.

    • „Password manager“ - vietoj „Excel slaptažodžiai.xlsx“.

    • „Zero trust“ principas - kiekvienas prašymas patvirtinamas, net jei atrodo pažįstamas.

  4. Vadovų vaidmuo

    • Jei vadovas pats naudoja „silpną“ slaptažodį ar ignoruoja taisykles, niekas jų rimtai nepriims.

    • Kultūra prasideda nuo viršaus.

Žmogiškoji rizika pagal TIS2

TIS2 direktyvoje aiškiai nurodoma: organizacijos turi:

  • užtikrinti darbuotojų švietimą;

  • sukurti incidentų reagavimo planus;

  • nustatyti atsakomybes (kas atsakingas už pranešimą, kas už veiksmus).

Tai reiškia, kad „žmogiškasis faktorius“ nebėra „minkštas klausimas“ - jis yra teisės aktais reglamentuotas reikalavimas.

Išvada

Kibernetinis saugumas nėra vien apie technologijas - jis apie žmones.
Įmonės, kurios sugeba sukurti saugumo kultūrą, kur darbuotojai:

  • atpažįsta rizikas,

  • jaučiasi drąsūs pranešti apie klaidas,

  • turi aiškius veiksmų planus,

- ne tik atitinka TIS2/DORA reikalavimus, bet ir tampa atsparios realioms grėsmėms.