Darbinieku kiberdrošības apmācība — kāpēc tā ir svarīga

Kāpēc darbinieku kiberdrošības apmācība ir obligāta, nevis izvēles iespēja — statistika, metodes, pikšķerēšanas simulācijas un securIT risinājumi.

2025. gada 10. oktobris
securIT

Kiberdrošības tehnoloģijas ir sasniegušas iespaidīgu līmeni — ugunsmūri, EDR sistēmas, SIEM platformas un mākslīgā intelekta darbināti draudu detektori. Tomēr statistika nemainās: aptuveni 82% kiberdrošības incidentu ietver cilvēka faktoru. Darbinieks, kas noklikšķina uz pikšķerēšanas saiti, izmanto vāju paroli vai nejauši nosūta konfidenciālus datus nepareizajam adresātam — tieši cilvēks joprojām ir visievainojamākais posms drošības ķēdē.

Šajā rakstā apskatīsim, kāpēc darbinieku kiberdrošības apmācība ir nevis patīkams papildinājums, bet gan obligāts uzņēmuma drošības elements, un kādas metodes ir visefektīvākās.

Cilvēka faktors skaitļos

Dati runā paši par sevi:

  • 82% datu aizsardzības pārkāpumu ietver cilvēka faktoru (Verizon DBIR 2023).
  • 36% visu datu aizsardzības pārkāpumu sākas ar pikšķerēšanu.
  • 60% mazo uzņēmumu pārtrauc darbību 6 mēnešu laikā pēc nopietna kiberincidenta.
  • Vidējais datu aizsardzības pārkāpuma incidents ES izmaksā 3,5–4,5 miljonus EUR.

Latvijā CERT.LV regulāri ziņo par pikšķerēšanas kampaņām, kas mērķē uz Latvijas uzņēmumiem un iedzīvotājiem. Viltus Swedbank, SEB un DPD e-pasti cirkulē gandrīz nepārtraukti. securIT pieredze rāda, ka Latvijas uzņēmumos pirmās pikšķerēšanas simulācijas laikā vidēji 40% darbinieku noklikšķina uz saiti — tas nozīmē, ka gandrīz katrs otrais darbinieks varētu kļūt par uzbrukuma ieejas punktu.

Kāpēc tradicionālās metodes nedarbojas

Daudziem uzņēmumiem “kiberdrošības apmācība” nozīmē ikgadēju prezentāciju, ko darbinieki noklausās, bet nekad neizmanto praksē. Šādai pieejai ir vairāki trūkumi:

Informācijas pārslodze. Vienas garās sesijas laikā darbinieki saņem pārāk daudz informācijas un atceras maz.

Nav prakses. Lekcijas un slaidi nemāca atpazīt reālu uzbrukumu savā iesūtnē. Zināšanas bez prakses neveido uzvedības maiņu.

Nav atkārtojuma. Viena apmācība gadā nav pietiekama — kiberuzbrukumu metodes mainās ik mēnesi, un cilvēka atmiņa ir ierobežota.

Nav personalizācijas. Grāmatvedei ir citi riski nekā programmētājam. Vispārīgas apmācības nesasniedz katru darbinieku viņa konkrētajā kontekstā.

Efektīvas apmācību metodes

Pētījumi un prakse rāda, ka visefektīvākā pieeja apvieno vairākas metodes:

Pikšķerēšanas simulācijas

Regulāras pikšķerēšanas simulācijas ir visefektīvākais darbinieku apmācības rīks. Kā tas darbojas:

  1. Uzņēmuma darbiniekiem tiek nosūtīts reālistisks pikšķerēšanas e-pasts (kontrolētā vidē).
  2. Ja darbinieks noklikšķina uz saiti vai ievada datus, viņš nekavējoties saņem skaidrojumu — kādas pazīmes bija jāpamana un kā rīkoties pareizi.
  3. Ja darbinieks atpazīst pikšķerēšanu — tas nostiprina viņa modrību.
  4. Uzņēmuma vadība saņem anonimizētu statistiku par rezultātiem.

securIT pikšķerēšanas simulāciju pakalpojums izmanto KnowBe4 platformu — vienu no vadošajām pasaulē. Rezultāti ir pārliecinoši: 12 mēnešu laikā ar ikmēneša simulācijām klikšķu rādītājs samazinās no vidēji 40% līdz 4,6%.

Mikroapmācības (microlearning)

Īsas (3–5 minūšu) apmācību sesijas, kas fokusējas uz vienu konkrētu tēmu — piemēram, kā atpazīt viltus URL, ko darīt ar aizdomīgu pielikumu, kā droši izmantot publisko Wi-Fi. Šādas sesijas tiek nosūtītas regulāri (piemēram, reizi mēnesī) un nodrošina pastāvīgu zināšanu atsvaidzināšanu.

Uz lomām balstītas apmācības

Dažādām darbinieku grupām — dažāds saturs. Grāmatvedei — par BEC (biznesa e-pasta kompromitēšanu) un viltus rēķiniem. IT administratoram — par privilēģiju eskalāciju un laterālo kustību. Vadībai — par mērķētu pikšķerēšanu (spear phishing) un izpildvaras krāpšanu.

Gamifikācija

Sacensību elementi, punktu sistēmas un komandu izaicinājumi palielina iesaisti. Darbinieki, kas sacenšas par labākajiem rezultātiem pikšķerēšanas atpazīšanā, ir ievērojami motivētāki nekā tie, kas klausās lekciju.

Ko ietvert apmācību programmā

Efektīva kiberdrošības apmācību programma aptver šādas tēmas:

  • Pikšķerēšanas atpazīšana — e-pasta, SMS un telefona pikšķerēšanas pazīmes. Konkrētu piemēru analīze. Lasiet vairāk mūsu rakstā Kā atpazīt pikšķerēšanas e-pastu.
  • Paroļu higiēna — kāpēc unikālas, garas paroles un MFA ir svarīgi. Paroļu pārvaldnieku izmantošana. Skatiet mūsu paroļu politikas ceļvedi.
  • Droša attālinātā darba prakse — VPN, mājas tīkla drošība, iekārtu šifrēšana.
  • Sociālā inženierija — ne tikai pikšķerēšana, bet arī pretextēšana, baiting, tailgating.
  • Incidentu ziņošana — kam un kā ziņot par aizdomīgām aktivitātēm. Pozitīva ziņošanas kultūra bez sodiem.
  • Datu apstrādes drošība — GDPR prasības, konfidenciālu dokumentu aprite, droša failu koplietošana.
  • Fiziskā drošība — tīra galda politika, ekrāna bloķēšana, viesu piekļuves kontrole.

NIS2 un apmācību prasības

NIS2 direktīva tieši uzliek pienākumu nodrošināt kiberdrošības apmācības organizācijā, ieskaitot vadības līmeni. Tas nozīmē, ka uzņēmumiem, kas ir NIS2 subjekti, apmācības nav izvēles iespēja — tā ir regulatīva prasība.

Konkrēti NIS2 pieprasa:

  • Regulāras kiberdrošības apmācības visiem darbiniekiem
  • Vadības apmācību par kiberdrošības riskiem un pienākumiem
  • Incidentu reaģēšanas apmācību un vingrinājumus
  • Dokumentētu apmācību programmu ar rezultātu uzskaiti

Vairāk par NIS2 prasībām lasiet mūsu rakstā NIS2 direktīva Latvijā — kas jāzina uzņēmumiem.

Kā mērīt apmācību efektivitāti

Apmācību programma bez mērāmiem rezultātiem ir tikai izdevumu postenis. Galvenie rādītāji, kas jāseko:

  • Pikšķerēšanas simulāciju klikšķu rādītājs — procentuālais darbinieku skaits, kas noklikšķina. Mērķis — zem 5%.
  • Ziņošanas rādītājs — cik darbinieku ziņo par aizdomīgu e-pastu (ne tikai neklišķina, bet aktīvi ziņo). Mērķis — virs 60%.
  • Laiks līdz ziņošanai — cik ātri darbinieki ziņo par pikšķerēšanu pēc saņemšanas.
  • Atkārtoti pārkāpēji — cik darbinieku atkārtoti noklikšķina uz simulācijām. Šiem darbiniekiem nepieciešama papildu individuāla apmācība.
  • Incidentu skaita dinamika — vai reālo kiberincidentu skaits samazinās laika gaitā.

securIT apmācību pakalpojumi

securIT piedāvā visaptverošu darbinieku kiberdrošības apmācību programmu:

  • Ikmēneša pikšķerēšanas simulācijas ar KnowBe4 platformu — dažādi scenāriji, tostarp latviešu valodā un ar Latvijas kontekstu.
  • Detalizēta vadības paneļa statistika — klikšķu rādītāji, ziņošanas rādītāji, progresa dinamika pa nodaļām.
  • Automātiskās mikroapmācības — darbiniekiem, kas noklikšķina, tiek automātiski piedāvāts apmācību modulis.
  • Pielāgotas apmācību sesijas — klātienes vai attālinātas sesijas par konkrētām tēmām.
  • NIS2 atbilstības dokumentācija — apmācību žurnāli un atskaites, kas pierāda atbilstību regulatīvajām prasībām.

Sāciet ar bezmaksas pikšķerēšanas simulācijas testu, lai novērtētu sava uzņēmuma pašreizējo gatavības līmeni.

Biežāk uzdotie jautājumi (BUJ)

Cik bieži jāveic kiberdrošības apmācības? Optimālais modelis ir kombinācija: ikmēneša pikšķerēšanas simulācijas + ceturkšņa mikroapmācības + ikgadēja padziļināta sesija. Šāda pieeja nodrošina pastāvīgu modrību bez pārslodzes. Pētījumi rāda, ka efekts strauji samazinās, ja starp apmācībām paiet vairāk nekā 3 mēneši.

Vai apmācības tiešām samazina kiberincidentu skaitu? Jā. KnowBe4 pētījuma dati rāda, ka organizācijas, kas regulāri veic pikšķerēšanas simulācijas, samazina klikšķu rādītāju no vidēji 34% līdz 4,6% 12 mēnešu laikā. securIT klientu pieredze Latvijā apstiprina līdzīgu dinamiku — no 40% līdz 5% un zem tā.

Kā pārliecināt vadību ieguldīt kiberdrošības apmācībās? Runājiet vadības valodā — skaitļos. Vidējais datu aizsardzības pārkāpuma incidents ES izmaksā miljonus. Pikšķerēšanas simulāciju programma izmaksā dažus simtus eiro mēnesī. ROI ir nesamērojams. Turklāt NIS2 uzliek personīgu atbildību vadībai par kiberdrošības pasākumiem — tostarp apmācībām.

Vai pietiek ar vienu apmācību gadā? Nē. Viena ikgadēja apmācība ir labāk nekā nekas, bet tā nav efektīva ilgtermiņā. Cilvēka atmiņa ir ierobežota, un kiberuzbrukumu metodes mainās ik mēnesi. Regulāras praktiskas apmācības (simulācijas) ir daudzkārt efektīvākas par retām lekcijām.

Ko darīt ar darbiniekiem, kas atkārtoti noklikšķina uz simulācijām? Sodīšana ir kontraproduktīva — tā veicina incidentu slēpšanu. Tā vietā piedāvājiet papildu individuālu apmācību un pielāgotus simulāciju scenārijus. Ja problēma saglabājas, apsveriet šo darbinieku piekļuves tiesību ierobežošanu kritiskām sistēmām.

Vai vēlaties uzlabot sava uzņēmuma kiberdrošību? Sazinieties ar securIT[email protected] vai +371 27555221.