Nowe technologie, nowe obawy. AI nasila niepokoje dotyczące cyberbezpieczeństwa.

– Wraz z pojawiającymi się nowymi zagrożeniami w obszarze cyberbezpieczeństwa i szybką integracją nowych technologii, krajobraz ryzyka w firmach stał się jeszcze bardziej złożony. Aby zabezpieczyć organizację przed obecnymi i przyszłymi zagrożeniami, warto umieścić pracowników w centrum strategii cyberbezpieczeństwa, traktując ich jako obrońców na pierwszej linii frontu. Należy ich uzbroić w wiedzę poprzez regularne szkolenia oraz wyrabiać w nich podejrzliwość wobec wszelkich interakcji cyfrowych, z jakimi się na co dzień stykają. Jednocześnie same szkolenia nie wystarczą. Powinno być one elementem szerszej strategii opartej na odpowiednich systemach bezpieczeństwa. Naprzeciw AI cyberprzestępców można bowiem wystawić wyłącznie własne narzędzia AI – radzi Jakub Teska, Partner w zespole Technology Consulting, EY Polska.

Niepewność młodszych generacji

Młodzi użytkownicy nowych technologii nie tylko mają bardziej rozwinięte umiejętności cyfrowe niż starsze pokolenia, ale również większą świadomość wirtualnych ryzyk. Aż 86% respondentów z pokolenia Z przyznało, że posiada ogólną wiedzę na temat cyberbezpieczeństwa, co stanowi wzrost o 11 punktów procentowych w porównaniu z rokiem 2022. Jednak nie przekłada się to na mniejsze poczucie strachu. Najmłodsi badani przyznali, że tracą zaufanie do swojej zdolności rozpoznawania prób phishingu, jednego z najbardziej powszechnych typów ataku hakerskiego.

Tylko 31% ankietowanych z pokolenia Z potrafi zidentyfikować podejrzane wiadomości, co w porównaniu do wyników sprzed dwóch lat stanowi spadek o 9 pkt. procentowych. Ma to swoje niebezpieczne konsekwencje – niemal trzy na cztery osoby z tej generacji (72%) otworzyły w pracy link nieznanego pochodzenia. To znacznie więcej niż w przypadku milenialsów (51%), pokolenia X (36%) i baby boomers (26%). Z jednej strony tak duża różnica w odpowiedziach poszczególnych generacji może wynikać z większej otwartości młodszych pracowników. Nie można jednak wykluczyć, że starsze pokolenia są bardziej ostrożne lub mniej aktywne w sieci, co skutkuje otrzymywaniem mniejszej liczby powiadomień z różnych źródeł.

Strach przed błędami

Coraz więcej cybernetycznych zagrożeń sprawia, że prawie dwóch na trzech pracowników z pokolenia Z i milenialsów obawia się konsekwencji związanych z naruszeniem zasad cyberbezpieczeństwa. Ankietowani obawiają się, że ich niewłaściwe zachowania, które mogą skutkować atakiem hakerów, mogą doprowadzić do utraty pracy. Taką ewentualność wskazało 64% respondentów z pokolenia Z i 58% milenialsów. Młodsi pracownicy przyznają również, że nie rozumieją w pełni procesu zgłaszania podejrzeń cyberataków, mimo że w ich organizacjach wdrożono odpowiednie regulacje. Twierdzi tak 39% ankietowanych z pokolenia Z i 29% milenialsów, w porównaniu do 19% z pokolenia X i 15% baby boomers.

- Pokolenie Z dorastało z podwyższoną świadomością ryzyka związanego z nowymi technologiami, często doświadczając na własnej skórze konsekwencji cyberataków. Prowadzi to do ostrożniejszego podejścia do ich umiejętności cyfrowych i nielekceważenia potencjalnych zagrożeń. W rezultacie pracownicy z młodszych pokoleń są bardziej skłonni do zgłaszania swoich cyberbłędów, rozumiejąc możliwe konsekwencje lub zdając sobie sprawę, że prędzej czy później błędy wyjdą na jaw. To czyni ich naturalnymi ambasadorami cyberbezpieczeństwa, gotowymi pomóc w budowaniu kultury czujności wobec wszelkiego rodzaju incydentów i proaktywnych w zgłaszaniu niebezpiecznych sytuacji – mówi Artur Miernik, Partner w EY Polska, Lider zespołu People Consulting.

Kultywowanie kultury bezpieczeństwa

Szybko ewoluujący charakter sztucznej inteligencji sprawia, że organizacje muszą regularnie aktualizować swoje programy szkoleniowe i przekazywać pracownikom najnowszą wiedzę dotyczącą cyberzagrożeń. Zdecydowana większość ankietowanych (91%) uważa, że firmy powinny systematycznie organizować szkolenia, aby nadążać za rozwojem sztucznej inteligencji, zwłaszcza w kontekście jej wykorzystywania w cyberatakach. Tymczasem tylko nieco ponad połowa badanych (62%) twierdzi, że ich pracodawca uczynił priorytetem edukowanie pracowników w zakresie odpowiedzialnego korzystania z AI.

Badanie EY wskazuje, że osoby, które nie przeszły szkolenia z zakresu cyberbezpieczeństwa, najbardziej obawiają się korzystania z nowych technologii w pracy. Z drugiej strony, dla 94% respondentów, którzy odbyli takie szkolenie w ciągu ostatniego roku, cyberbezpieczeństwo stało się priorytetem. To jasno pokazuje, że pracownicy chcą poszerzać swoją wiedzę w tym obszarze, gdyż to najprostsza droga do opanowania swoich obaw związanych z rozwojem technologii.

O badaniu

BadanieEY - Human Risk in Cybersecurity - zostało przeprowadzone w dniach od 7 do 15 marca 2024 r. metodą ankiety internetowej. Na pytania odpowiadało 1000 pełnoetatowych i niepełnoetatowych amerykańskich pracowników z sektora prywatnego i publicznego, którzy mają co najmniej 18 lat i korzystają w pracy z laptopa lub komputera służbowego. Próba była zrównoważona pod względem wieku, płci, dochodu gospodarstwa domowego, rasy i pochodzenia etnicznego oraz regionu. Margines błędu dla całej próby wynosi +/- 3 punkty procentowe.

AI przeciw cyberzagrożeniom

Postępy w dziedzinie głębokiego uczenia i sieci neuronowych umożliwiają sztucznej inteligencji analizowanie większych i bardziej zróżnicowanych zbiorów danych w czasie rzeczywistym. Zdolność do samokształcenia przyspiesza automatyzację, pomagając zespołom cybernetycznym w ciągłym monitorowaniu sieci i aplikacji, a także wykrywaniu oraz prognozowaniu zagrożeń w czasie zbliżonym do rzeczywistego. Oznacza to szybsze reagowanie na incydenty. Przeprowadzona przez EY metaanaliza 69 badań pokazuje, że średnia dokładność wykrywania spamu, złośliwego oprogramowania i włamań do sieci przez AI wynosi ponad 92%.

Jedną z kluczowych cech bardziej skutecznego podejścia do cyberbezpieczeństwa firmy jest integracja sztucznej inteligencji z ochroną zapewnianą przez wewnętrzne zespoły. Ponad połowa ankietowanych z firm o wysokim poziomie cyfrowych zabezpieczeń (62%) korzysta z AI lub uczenia maszynowego, ewentualnie jest na późnym etapie wdrażania tych rozwiązań w porównaniu z 45% w pozostałych organizacjach. Nie można jednak zapominać, że nowe technologie są nie tylko domeną biznesu, ale również cyberprzestępców. Stosują oni AI do tworzenia bardziej zaawansowanych ataków, takich jak automatyczne generowanie złośliwego oprogramowania czy zaawansowane phishingowe kampanie. To doprowadza do wirtualnego wyścigu zbrojeń między przestępcami a firmami. 

Wysoka ochrona napędza biznes

Z badania EY wynika, że członkowie C-suite często przeceniają skuteczność podejścia ich organizacji do cyberbezpieczeństwa (48% zadowolonych w porównaniu do 36% CISO). Większa przejrzystość w rozmowach z liderami wyższego szczebla i zrozumienie wszystkich ryzyk są niezbędne do czynienia postępów we wdrażaniu sztucznej inteligencji w innych funkcjach organizacji. Pozwoli to wygenerować wartość dodaną płynącą z wysokiego poziomu ochrony cybernetycznej i wesprze biznes. Liderzy ds. cyberbezpieczeństwa mogą napędzać sprzedaż i zwiększać zyski poprzez budowanie zaufania klientów. 

Dla partnerów biznesowych ważnym aspektem jest przetwarzanie danych i informacji wrażliwych – chcą wiedzieć, w jaki sposób są gromadzone, przechowywane i chronione. Naruszenie kwestii cyberbezpieczeństwa może poważnie wpłynąć na dotychczasową relację. Klienci cenią współpracę z firmami, które demonstrują silne zaangażowanie w ochronę danych i prywatności. Widoczne działania w zakresie cyberbezpieczeństwa, potwierdzone certyfikatami bezpieczeństwa (np. ISO 27001), wzmacniają reputację firmy. 

Innym aspektem, przed którym chroni wysoki poziom obrony cybernetycznej, są przestoje w działalności operacyjnej i straty finansowe w wyniku wirtualnych ataków. Sztuczna inteligencja, która analizuje systemy i zachowania użytkowników w czasie rzeczywistym, minimalizuje ryzyko ich wystąpienia. Mniejsza liczba incydentów oznacza także płynniejszą działalność i lepszą obsługę klientów. 

– Brak inwestycji w cyberbezpieczeństwo może szczególnie dotknąć sektor produkcji przemysłowej. Incydenty bezpieczeństwa na świecie pokazują, że nieplanowane przestoje wynikające z ataków generują straty sięgające setek tysięcy złotych. Konsekwencją ataku może być również ryzyko utraty ważnych kontraktów z powodu opóźnień w realizacji zamówień. Dlatego skuteczna cyberochrona jest jednym z działań niezbędnych dla utrzymania ciągłości produkcji i uniknięcia nieprzewidzianych zakłóceń. Firmy produkcyjne w Polsce mają dużo do nadrobienia pod tym względem i niestety wiele z nich uświadamia to sobie dopiero po poważnym incydencie. Co więcej, bez przemyślanej strategii cybernetycznej trudniej im będzie wdrażać nowe technologie, które są obecnie niezbędne do zachowania konkurencyjności – mówi Leszek Mróz, Partner EY w centrum kompetencji EY dla usług bezpieczeństwa OT/IoT.

O badaniu

Podstawą analiz są pogłębione wywiady jakościowe z liderami ds. cyberbezpieczeństwa przeprowadzone w lutym 2024 roku na obszarze obu Ameryk, Azji i Pacyfiku (APAC) oraz Europy, Bliskiego Wschodu, Indii i Afryki (EMEIA). Respondenci reprezentowali organizacje o rocznych przychodach przekraczających 1 mld USD. Dodatkowo eksperci EY przeanalizowali 18 tys. publikacji naukowych z lat 2017-2022 dotyczących cyberbezpieczeństwa.