„Nie” to najdroższe i najbardziej niebezpieczne słowo w cyberbezpieczeństwie. Użytkownicy słyszą je prawie codziennie, gdy mowa o bezpieczeństwie. „Nie możesz” – tu można wstawić dowolną funkcjonalność – bo bezpieczeństwo! Paradoksalnie, […]
Zbyt restrykcyjne procedury bezpieczeństwa potrafią zwiększać ryzyko zamiast je ograniczać. W artykule Dariusza Czerniawskiego, eksperta KIGC, przeczytasz, jak projektować cyberbezpieczeństwo, które wspiera pracowników w działaniu, zamiast ich blokować.
„Nie” to najdroższe i najbardziej niebezpieczne słowo w cyberbezpieczeństwie. Użytkownicy słyszą je prawie codziennie, gdy mowa o bezpieczeństwie. „Nie możesz” – tu można wstawić dowolną funkcjonalność – bo bezpieczeństwo! Paradoksalnie, za każdym takim „nie” kryje się czasem znacznie większe ryzyko.Niektóre kwestie są tak jasne pod względem ryzyka i możliwych konsekwencji, że większość osób, kierując się rozsądkiem i doświadczeniem, zaakceptuje wymagane ograniczenia. To tytułowe „nie” dotyczy sytuacji, w których organizację można porównać do kierowcy ciągle jeżdżącego z zaciągniętym hamulcem ręcznym.
Wyobraźmy sobie specjalistę z działu sprzedaży, który pilnie potrzebuje wysłać ofertę klientowi pod rygorem upłynięcia terminu składania ofert. System blokuje mu możliwość wysłania oferty, ponieważ ze względu na słowa-klucze podnosi alarm – wymaga ręcznego przejrzenia przez eksperta ochrony danych i sprawdzenia czy nie dochodzi właśnie do ich wycieku. Użytkownik dostaje taki komunikat systemowy, a z doświadczenia już wie, że taki przegląd to co najmniej jeden dzień. Jeśli nie podpisze kontraktu w terminie, premia ucieknie mu spod nosa! Co wtedy robi? Fotografuje ekran telefonem, przygotowuje dokumenty na prywatnym sprzęcie i wysyła ofertę z prywatnego maila. No i mamy tutaj sytuację dużo bardziej niebezpieczną niż ta, przed którą chcieliśmy się właśnie uchronić.To nie jest historia o ludzkiej głupocie – to opowieść o „nie” w niewłaściwym miejscu i czasie, czyli o źle zaprojektowanym bezpieczeństwie. Prawdziwe bezpieczeństwo nie polega na budowaniu coraz wyższych murów, coraz mocniejszego „nie”, ale na zrozumieniu, jak pracują ludzie i jaka jest ich motywacja.
Nowoczesne cyberbezpieczeństwo musi zadawać sobie inne pytania. Nie „jak zablokować”, ale „jak umożliwić bezpiecznie”. Nie „co zakazać”, ale „czego ludzie potrzebują i jak im to dać w bezpieczny sposób”.
Użytkownicy systemów nie są wrogami – chcą po prostu dobrze wykonywać swoją pracę. Jeśli zabezpieczenia stają im na drodze, będą szukać obejścia. I wtedy prawdziwe bezpieczeństwo maleje, niekiedy do zera. Czy Twoja organizacja mierzy liczbę odmów zgłoszeń „potrzebuję dostępu do…” lub „nie mogę zainstalować…”? Jeśli nie – być może nawet nie wiesz, ile niezabezpieczonych obejść funkcjonuje już w Twojej firmie. Każde zablokowane działanie, które nie ma bezpiecznej alternatywy, to tykająca bomba zegarowa.
Cyberbezpieczeństwo nie może być hamulcem biznesu, który ma wszystko spowalniać. Dobrze zaprojektowane – to system wsparcia, który pomaga ludziom pracować efektywnie i bezpiecznie poprzez unikanie zagrożeń.
Autor:Dariusz Czerniawski,Ekspert ds. Cyberbezpieczeństwa i Governance w KIGC
W październiku 2025 r. świat IT wstrzymał oddech, gdy dwaj giganci chmury obliczeniowej – Amazon ...
Atak prorosyjskich haktywistów na oczyszczalnię ścieków w Chodaczowie pokazał, jak łatwo słabe za...
Bieżący rok zbliża się powoli do końca. Początek jesieni pozwala już na wypracowanie perspektywy....