V sredo, 4. junija 2025, je v Ljubljani potekal posvet o izobraževanju zaposlenih o kibernetski varnosti, organiziran pod okriljem Nacionalnega odzivnega centra za kibernetsko varnost SI-CERT. Dogodek je pod naslovom »Novi pristopi za nove grožnje« združil strokovnjake s področja kibernetske varnosti, kadrovskih služb ter izobraževanja. Namen posveta je bil izmenjati dobre prakse, predstaviti učinkovite pristope k izobraževanju zaposlenih ter razpravljati o vlogi človeškega dejavnika pri grajenju varnostne kulture v organizacijah.
V luči vse večjih kibernetskih groženj in naprednih napadov, ki pogosto ciljajo na človeški dejavnik, je postalo jasno, da varnost ni le tehnična naloga, temveč predvsem odnos in kultura. Zaposleni niso le uporabniki sistemov, temveč ključni partnerji v zagotavljanju informacijske varnosti. Posvet je ponudil številne vpoglede, raziskave in primere dobrih praks, ki kažejo, kako lahko z inovativnimi pristopi in vključevanjem zaposlenih zgradimo močno varnostno kulturo.
Varnost ni naloga IT-ja, temveč odgovornost vseh
Posvet je otvoril vodja SI-CERT Gorazd Božič, ki je izpostavil pogosto zmotno predstavo, da je za varnost odgovoren zgolj IT-oddelek. V resnici je kibernetska varnost danes temeljna komponenta digitalne pismenosti, ki se tiče vseh – od tajništva do vodstva. V okolju, kjer je vsak sistem povezan, vsak dokument digitaliziran in vsaka organizacija odvisna od stabilnosti svojega omrežja, ni več prostora za pasivno opazovanje. Grožnje so vse bolj sofisticirane, vendar ne ciljajo le na ranljivosti sistemov, temveč predvsem na napake, rutino in nepozornost ljudi.
Phishing: preprost, a izjemno učinkovit napad
Izkušeni strokovnjak za kibernetsko varnost Tadej Hren je v nadaljevanju podrobneje predstavil phishing kot eno najbolj razširjenih metod napada. Ta se ne zanaša na tehnično genialnost, temveč na človeško neprevidnost. Sodobni phishing napadi so personalizirani, prepričljivi in pogosto tako dobro izvedeni, da jih tudi izkušeni uporabniki težko ločijo od legitimnih sporočil. Zato je ključno, da se zaposleni učijo ne le enkrat letno na seminarju, temveč skozi stalen, ponavljajoč in prilagojen proces. Ključna zaščita ostajata znanje in ozaveščenost.
Varnost kot stalna praksa, ne enkraten dogodek
Doc. dr. Samo Tomažič, vodja Sektorja za upravljanje in kibernetsko varnost na Upravi RS za jedrsko varnost je izpostavil, da napadalci ne mirujejo. Taktike se spreminjajo, zato se mora spreminjati tudi pristop organizacij. Uprava za jedrsko varnost je eden tistih primerov, kjer se zavedajo pomena stalnega ozaveščanja – od rednih izobraževanj in specializiranih usposabljanj do bolj ustvarjalnih metod, kot so plakati, križanke in naloge. Varnost mora postati del vsakdanje delovne rutine, ne nekaj, na kar pomislimo šele, ko pride do incidenta.
Človek kot najšibkejši člen – ali kot najmočnejša obramba?
Zanimiv vpogled v psihološke vidike kibernetske varnosti je podala dr. Špela Orehek s Fakultete za družbene vede. Po podatkih podjetja Verizon je leta 2023 je kar 68 odstotkov napadov izviralo iz človeškega dejavnika – najpogosteje zaradi nevednosti, nepazljivosti ali neodzivanja ob incidentih. Varnost pa ni zgolj skupek pravil, temveč predvsem kultura. K njeni vzpostavitvi vplivajo stališča, družbene norme, digitalna pismenost, organizacijska pripadnost, poklicna identifikacija in zadovoljstvo pri delu.
V predstavitvi se je osredotočila na dve opravljeni raziskavi. Raziskava med zaposlenimi na UL je pokazala nizko raven digitalne pismenosti, močan vpliv subjektivnih norm, strah pred sankcijami ter zadržanost pri komunikaciji z nadrejenimi. Tudi nacionalna raziskava KREPKI, izvedena decembra 2024 med izvajalci bistvenih storitev, je potrdila podobne trende: splošna raven informacijsko-varnostne kulture je nizka (53/100), prav tako ocena varnostnega ravnanja (59) in zadovoljstva z upravljanjem varnosti (55). Kljub temu zaposleni izražajo visoko samoučinkovitost (80) in pozitivna stališča do varnosti (84), vendar pa komunikacija večinoma poteka enosmerno – od vodstva navzdol.
Učinkovita obramba pred kibernetskimi grožnjami tako ostaja odvisna od odnosov, zaupanja in vključujoče komunikacije – ne le od tehnologije. Ključno je, da se vsebine usmerjeno prilagodijo različnim ciljnim skupinam zaposlenih glede na njihovo vlogo in predznanje. Komunikacija o informacijski varnosti mora teči v vse smeri, ne le od vrha navzdol, in biti pogosta, kratka ter praktična – na primer prek kratkih videov, kvizov ali mesečnih nasvetov. Inovativne oblike, kot so igrifikacija ali celo preprosta »meme tabla«, lahko pomagajo približati vsebino in jo zasidrati v vsakdanjik. Bistveno je, da zaposleni razumejo, zakaj je njihovo ravnanje pomembno – in da se čutijo kot del rešitve, ne kot šibki člen.
Preizkušanje odpornosti – a s spoštovanjem in občutkom
Jernej Porenta iz podjetja 3fs je v predavanju odprl pomembno vprašanje: Ali s phishing testiranji kdaj prestopimo mejo in nehote škodujemo zaupanju v organizaciji?
Simulacije napadov so učinkovito orodje za ozaveščanje – a le, če jih izvajamo premišljeno, z občutkom za ljudi in kontekst.
Dobro izvedene phishing simulacije:
- se izvajajo največ 4x letno, ob pravem času (ne med dopusti, krizami ali obremenjenimi obdobji)
- so segmentirane po vlogah – visoko rizične skupine (HR, finance) zahtevajo drugačen pristop
- ne kaznujejo neuspeha – ampak krepijo zaupanje, razumevanje in odprto komunikacijo
- merijo napredek in povratne informacije, ne le “kdo je kliknil”
Postopno uvajanje (od enostavnega k zahtevnejšemu) + pozitivna spodbuda (pohvala, ne graja) sta veliko bolj učinkovita kot prefinjene “zasede”, ki rušijo zaupanje. Cilj ni ustvariti paranoje – ampak pomagati zaposlenim, da prepoznajo nevarnosti in se odzovejo samozavestno. Naj bo napaka priložnost za učenje, ne za sram.
Manj je več. Kultura brez obtoževanja in redno, smiselno testiranje sta najboljša recepta za dolgoročno odpornost.Dobro izvedene simulacije so lahko koristno orodje – a le, če jih izvajamo premišljeno. Ključ je v postopnem uvajanju, pozitivni spodbudi in poudarku na učenju, ne kaznovanju. Cilj ni ustvariti paranojo, temveč samozavestne uporabnike, ki prepoznajo nevarnosti in se nanje ustrezno odzovejo. Napaka mora postati priložnost za učenje, ne razlog za sram.
GEN-I Shield: kako zaposlenim približati varnost
Martin Vončina iz GEN-I je predstavil primer dobre prakse z internim projektom GEN-I Shield – izobraževalno platformo, ki vključuje kratke videe, interaktivne izzive, nagradne igre in podcaste. Vsebine so kratke, razumljive in povezane z vsakdanjimi situacijami. Projekt temelji na sodobnih, uporabniku prijaznih pristopih, ki so suhoparna in tehnična predavanja zamenjali z igrivim, vključujočim pristopom. Pomemben del ozaveščanja so tudi dobro oblikovana sporočila in plakati na vidnih mestih.
Pogosto zapostavljeno področje so zaposlenim želeli približati na zanimiv, razumljiv in dostopen način. Izobraževanje razumejo kot svojo dolžnost, projekt pa kot nenehen dialog z zaposlenimi.
Ali so pri tem uspešni? Merijo obisk in odzive, vsebine so med zaposlenimi dobro sprejete, mnogi že pričakujejo nove objave. Ustvarili so celo prepoznaven lik – Cyber Frank – ki dodatno prispeva k vidnosti in sproščenosti. Zaposleni so postali bolj pozorni na varnostne dogodke (sumljiva e-pošta, pozabljen kovček v preddverju, zavrnjena pošiljka), predvsem pa se je okrepilo zaupanje: sodelavci se zdaj pogosteje obrnejo na ekipo za nasvet ali pomoč, kar je eden najzanesljivejših pokazateljev uspešno vzpostavljene varnostne kulture.
Zaposleni kot partnerji
Posvet se je zaključil z okroglo mizo, na kateri so Peter Krkoč, vodja informacijske varnosti v Zavarovalnici Triglav, doc. dr. Lili Nemec Zlatolas iz FERI in Ajda Marn, svetovalka na področju upravljanja zaposlenih in kulture v podjetjih razpravljali o tem, da kultura kibernetske varnosti ni tehnična naloga, temveč odnos. Zaposleni morajo biti obravnavani kot partnerji, ne kot breme. Ko izobraževanja potekajo v delovnem času, ko vodstvo z lastnim zgledom pokaže, da nihče ni varen pred napakami, in ko zaposleni vedo, da jih ob napaki ne čakajo kazni, temveč podpora, se začne ustvarjati zaupanje. Prav ta občutek varnosti – ne tehnične, temveč psihološke – je osnova varnostne kulture. Gre za kulturo, ki ne temelji na pravilnikih in prisili, ampak na dialogu, odprtosti in skupni skrbi za dobro organizacije. Zaposleni, ki razumejo svoj pomen in vlogo pri zaščiti informacij, niso breme – so največja naložba v odpornost podjetja.
Zakon določa minimum, kultura določa odpornost
Sklep posveta je bil enoten: zakonodaja postavlja minimalne zahteve, a resnično odpornost gradimo z varnostno kulturo. Kultura pa nastaja iz vsakodnevnih odločitev, komunikacije in tudi zglednega vedenja vodstva. Tehnologija se bo še naprej razvijala, a prava moč organizacije bo vedno v ljudeh – če jih slišimo, opolnomočimo in vključimo.