Kako danes graditi učinkovito izobraževanje zaposlenih o kibernetski varnosti – v času, ko je človeški faktor pogosto prva tarča napada?
2. junija 2026 smo na SI-CERT-u izvedli strokovni posvet, namenjen povezovanju strokovnjakov s področij kibernetske varnosti, kadrov in izobraževanja. Cilj posveta je bil izmenjava dobrih praks, predstavitev učinkovitih pristopov k ozaveščanju ter razprava o tem, kako graditi močno varnostno kulturo.
Od ozaveščanja do vedenja: kako okrepiti človeški faktor
Posvet o izobraževanju zaposlenih o kibernetski varnosti se je začel z uvodnim nagovorom Tadeja Hrena iz SI-CERT-a. Ena od zanimivejših ugotovitev je bila sprememba pogleda na uporabnike. Dolga leta smo za številne incidente krivili »nepoučene uporabnike«, danes pa vemo, da lahko napako stori vsak. Sodobni napadi so vse bolj prepričljivi, zato tudi izkušeni strokovnjaki niso imuni nanje. V zadnjem letu je pomembno spremembo prinesel novi Zakon o informacijski varnosti (ZInfV-1), ki od organizacij zahteva tudi izobraževanje zaposlenih o kibernetski varnosti. Ob tem se vse bolj odpira vprašanje, kako zaposlene motivirati za aktivno sodelovanje pri izobraževanjih in ozaveščanju.
Številke kažejo, da je izziv vse večji: SI-CERT je v zadnjem letu obravnaval kar 35 % več incidentov. Povečuje se število phishing napadov, primerov socialnega inženiringa ter drugih kibernetskih groženj, ki postajajo vse bolj sofisticirane in težje prepoznavne. Zgovoren primer je phishing kampanja, pri kateri so napadalci uporabili več kot 50 različnih domen, kar kaže na sredstva, čas in organiziranost, ki jih danes vlagajo v svoje aktivnosti.
Ključno sporočilo uvodnega nagovora: kibernetska varnost ni več predvsem tehnološki izziv, temveč vprašanje ljudi, kulture in nenehnega učenja.
Kako preseči kljukico pri usposabljanju in doseči spremembe?
Uvodno predavanje je izvedla Rosanne Pouw, vodja področja ozaveščanja in usposabljanj pri nizozemski organizaciji SURF, kjer skrbi za razvoj programov in orodij za izobraževanje o kibernetski varnosti. Po podatkih Verizon poročila iz leta 2025 so ljudje vključeni v več kot 60 % kršitev varnosti podatkov. Razlog ni v tem, da bi bili uporabniki »šibki člen«, temveč v tem, da se je tehnična zaščita skozi desetletja močno izboljšala, medtem ko človeški možgani delujejo po enakih principih kot pred tisočletji. Napadalcem je zato pogosto lažje manipulirati s človekom kot napasti dobro zaščiten sistem. Posebej zanimiv je bil premik od tradicionalnega pristopa, ki temelji na skladnosti, dokazovanju izvedenih aktivnosti in odgovornosti zaposlenih, k pristopu, ki temelji na spremembi vedenja, odpornosti organizacije in kulturi sodelovanja. Ključ ni v iskanju krivca, ampak v spodbujanju zaposlenih, da incidente delijo in prijavljajo brez strahu pred obsojanjem.
Tudi phishing simulacije imajo svoje omejitve. Pokažejo nam, koliko ljudi je kliknilo, koliko jih je prijavilo sumljivo sporočilo in koliko jih ga je ignoriralo. Ne povedo pa, zakaj so se ljudje odločili tako, kot so se.
Če želimo doseči spremembo vedenja, morajo biti izpolnjeni trije pogoji:
- zaposleni morajo prepoznati tveganje,
- biti morajo motivirani za ustrezno ravnanje,
- okolje jim mora to omogočati in spodbujati.
Pomembno sporočilo predavanja je bilo tudi, da sama obvezna usposabljanja redko vodijo do trajnih vedenjskih sprememb. Za uspeh je potrebno povezati ljudi, procese in tehnologijo.
Največji učinek imajo pogosto tehnične rešitve, kot so močna gesla in večfaktorska avtentikacija. Sledijo tehnološke spodbude za varnejše vedenje uporabnikov, šele nato kampanje za spreminjanje vedenja. Vse skupaj pa zahteva čas, vztrajnost in dolgoročen pristop.
Med konkretnimi priporočili so izstopali:
- začnite pri upravljanju tveganj,
- k izobraževanju vključite različne strokovne profile,
- zagotovite podporo celotne organizacije,
- pri načrtovanju uporabljajte aktualne raziskave in vpoglede,
- ne podcenjujte moči majhnih korakov.
Kultura kibernetske varnosti se ne zgradi z enim izobraževanjem. Gradi se postopoma, skozi številne majhne spremembe, ki sčasoma postanejo del vsakodnevnega dela.
Predstavitev Rosanne Pouw Beyond the e-learning: towards a more sustainable approach to cybersecurity awareness
Kibernetska varnost danes ni več zgolj vprašanje tehnologije
Je vprašanje vodenja, organizacijske kulture in dokazljive skrbnosti.To je bilo osrednje sporočilo predavanja Jureta Planinška, vodjo skladnosti in pravne službe v podjetju NIL, ki je osvetlil tematiko kibernetskih incidentov in odgovornosti poslovodstva v luči sodne prakse.
Čeprav organizacije vlagajo vse več v tehnične varnostne ukrepe, se napadalci še naprej uspešno zanašajo na najstarejšo ranljivost – človeško zaupanje. Med aktualnimi trendi izstopajo napadi s pomočjo umetne inteligence, socialni inženiring, zlorabe identitet in pojav t. i. »shadow AI«.
Ob tem se postavlja pomembno vprašanje: kaj predstavlja večje tveganje za organizacijo?
• zlonamerni zaposleni,
• neskrbni zaposleni,
• ali zunanji izvajalci?
Predavanje je skozi primere iz sodne prakse pokazalo, da po incidentu pogosto ni najpomembnejše vprašanje, kdo je naredil napako, temveč ali je organizacija vzpostavila ustrezna pravila, postopke in nadzor ter ali lahko to tudi dokaže. Posebej nazoren je bil primer računovodkinje, ki je zaradi direktorske prevare napačno nakazala 90.000 evrov. Delodajalec je škodo poskušal izterjati od nje, vendar je sodišče odgovornost primarno pripisalo podjetju. Organizacija namreč ni uspela dokazati, da je zaposlena ravnala z veliko malomarnostjo, prav tako niso imeli ustrezno vzpostavljenih in dokazljivih varnostnih postopkov.
Preventiva je zato bistveno pomembnejša od ugotavljanja krivde po incidentu. Vloga vodstva pri kibernetski varnosti ni zgolj odobravanje proračuna. Vodstvo mora postavljati pravila, zagotavljati vire, podpirati redna usposabljanja ter ustvarjati okolje, v katerem zaposleni napake in sumljive dogodke prijavljajo brez strahu pred stigmatizacijo.
Organizacijska odpornost se ne začne pri tehnologiji. Začne se pri jasnih pravilih, doslednem izvajanju in kulturi, kjer je varnost odgovornost vseh.
Predstavitev Jureta Planinška Kibernetski incidenti in odgovornost poslovodstva v luči sodne prakse
Ali so obremenjeni zaposleni dovzetnejši za spletne prevare?
Na to vprašanje je na posvetu o izobraževanju zaposlenih o kibernetski varnosti odgovarjala psihologinja Nadja Škafar iz podjetja Gecko HRM. Ena ključnih ugotovitev predavanja je bila, da se pri kibernetski varnosti pogosto preveč osredotočamo na znanje in premalo na okoliščine, v katerih zaposleni sprejemajo odločitve.
Večina raziskav se tradicionalno ukvarja z demografskimi dejavniki, praksa pa kaže nekaj drugega: tudi strokovnjaki za informacijsko varnost lahko postanejo žrtve phishing napadov.
Zato morda ni pravo vprašanje, kdo je najšibkejši člen varnostne verige, ampak: kdaj lahko vsak izmed nas postane najšibkejši člen?
Na naše odločitve ne vpliva zgolj znanje, temveč tudi vrsta situacijskih dejavnikov:
• delovne obremenitve,
• stres,
• utrujenost,
• čustvena stanja,
• fizično okolje,
• socialni pritiski in pričakovanja.
Vsi ti dejavniki vplivajo na to, kako interpretiramo elektronsko pošto in kako presojamo tveganje. Sporočilo, ki bi ga v običajnih okoliščinah prepoznali kot prevaro, lahko v trenutku utrujenosti ali preobremenjenosti deluje povsem legitimno.
Posebej zanimiva je bila ugotovitev, da ima utrujenost pomembno vlogo pri dovzetnosti za phishing napade. Prepoznavanje prevar zahteva koncentracijo, pozornost in kognitivni napor. Ko smo utrujeni, pogosteje sprejemamo odločitve na podlagi pričakovanj, rutin in preteklih izkušenj, elektronsko pošto pa pregledujemo manj natančno.
Ni naključje, da napadalci pogosto ciljajo na trenutke, ko so zaposleni najbolj obremenjeni – na primer ob koncu delovnega dne ali ob zaključku leta.
Predavanje je ponudilo tudi nekaj praktičnih usmeritev:
- zaposlene je treba učiti prepoznavati lastne znake stresa in utrujenosti,
- pomembno je razvijati strategije za soočanje z visokimi delovnimi obremenitvami,
- varnostne prakse morajo biti smiselno vključene v vsakodnevno delo,
- zaposleni morajo razumeti, zakaj so določeni ukrepi pomembni,
- usposabljanja je treba prilagoditi posameznim oddelkom in jih časovno ustrezno razporediti.
Pomembno opozorilo predavanja je bilo tudi, da lahko dodatna izobraževanja in varnostne zahteve zaposleni doživijo kot novo obremenitev. Če niso dobro zasnovana, lahko povzročijo odpor in dodatno povečajo stres.
Morda je zato ena najpomembnejših ugotovitev dneva prav ta: kibernetska varnost ni le vprašanje tehnologije ali znanja. Je tudi vprašanje človekovega počutja, delovnega okolja in sposobnosti organizacije, da najde pravo ravnovesje med varnostjo in produktivnostjo.
Najšibkejši člen varnostne verige postanemo takrat, ko pozabimo na pomen človeškega faktorja.
Zakaj znanje ne postane vedno tudi vedenje?
Na to vprašanje je na posvetu o kibernetski varnosti zaposlenih odgovarjal Smail Jušič, strokovnjak za kibernetsko varnost iz podjetja T-2. V praksi se pogosto preveč osredotočamo na vsebino izobraževanj, premalo pa na ljudi, ki jim je izobraževanje namenjeno. Ključno je razumevanje njihovega delovnega konteksta, tveganj in načina odločanja.
Vedenje zaposlenih nastaja na presečišču treh dejavnikov:
- psihologije
- organizacije
- delovnega okolja
Zato ni dovolj vprašanje “ali smo izobraževanje izvedli”, temveč “ali se je vedenje spremenilo”.
Pomembnejše od klasičnih metrik so vedenjski kazalniki:
- prepoznavanje tveganj
- prijavljanje incidentov
- hitrost odziva
Učinkovit pristop vključuje:
- prilagoditev vsebine zaposlenim
- praktične scenarije in ponavljanje
- igrifikacijo
- merjenje dejanskega vedenja, ne le udeležbe
Ključno sporočilo: orodja in izobraževanja sama po sebi niso cilj, cilj je sprememba vedenja. In zakaj to pogosto ne uspe? Ker zaposleni ne vidijo povezave z delom, so preobremenjeni ali pa ne vedo, kako pravilno ukrepati.
Predstavitev Smaila Jušiča Vloga vedenjskih dejavnikov pri učinkovitosti kibernetskega izobraževanja zaposlenih: vpogledi iz prakse
Kaj se zgodi, ko kibernetski incident postane realnost?
Na posvetu je Izidor Golob, vodja Računalniškega centra Univerze v Mariboru, predstavil izkušnje izvajanja programa varnostnega osveščanja ter komuniciranja z deležniki ob dejanskem kibernetskem incidentu. Ena ključnih ugotovitev: e-pošta ostaja glavni vstopni kanal za napade, organizacije pa ves čas iščejo ravnovesje med varnostjo in uporabniško priročnostjo.
V phishing testiranju, ki so ga na Univerzi izvedli 2024, se je “ujelo” manj kot 3 % uporabnikov. A pomembnejše od številk so razlogi za vedenje:
- “vedel sem, da je sumljivo, pa sem vseeno kliknil”
- “nisem razumel, kaj se od mene pričakuje”
- “mudilo se mi je in nisem preveril”.
To jasno pokaže, da klasične metrike niso več dovolj. Phishing testi so predvsem diagnostično orodje, ne pa neposredna meritev varnosti. Pri kompleksnih okoljih je hitrost sprememb visoka, kar zmanjšuje čas za presojo in povečuje tveganje napak. Zelo poučna je bila tudi kronologija incidenta. V praksi se je pokazalo, kako hitro komunikacija postane ključen izziv – še posebej, ko odpovejo komunikacijski kanali.
Med incidentom so se pojavile tudi nepredvidene prioritete (npr. izplačilo plač), kar dodatno pokaže kompleksnost kriznega odločanja.
Ključni nauki:
- komunikacijski načrt za incidente je nujen
- jasno morajo biti določene vloge in odgovornost
- jasno mora biti, kdo vodi incident in komunikacijo
- komunikacija mora biti ločena (interno, ožja ekipa, javnost)
Največji poudarek ostaja: v krizi ni odločilna le tehnična pripravljenost, temveč predvsem komunikacija. In prav takrat se pokaže, kako dobro je organizacija dejansko pripravljena.
Predstavitev Izidorja Goloba Izkušnja izvajanja programa varnostnega osveščanja uporabnikov ter komuniciranja z deležniki med varnostnim incidentom
Pogled iz prakse: pogovor s ponudnikoma platform za izobraževanje zaposlenih
Na posvetu sta v moderiranem pogovoru sodelovala tudi Matjaž Kosem (Carbonsec) in Boštjan Špehonja (GO-LIX), ki sta delila pogled iz prakse o učinkovitosti izobraževanj zaposlenih. Osrednje sporočilo: tehnologija sama po sebi ni dovolj, če ljudje ne prepoznajo tveganj in ne spremenijo vedenja.
Nekateri ključni podatki:
- 3 mesecih izobraževanj lahko click rate pade tudi do 80 %,
- pred 10 leti je na phishing kliknilo ~70 % uporabnikov, danes približno 30-35 %,
- približno 15 % uporabnikov še vedno vpiše občutljive podatke.
Izpostavljeno je bilo, da se napadi razvijajo; vse več je AI podprtih, zelo ciljnih in jezikovno dovršenih prevar. Pomemben poudarek je bil tudi na organizacijski kulturi:
- vodstvo mora aktivno podpreti izobraževanja,
- cilj ni “kljukica”, ampak vedenjska sprememba,
- ključna je kultura prijavljanja in ne kaznovanja napak.
Ali so phishing simulacije test zaposlenih ali test kulture?
Odgovor: oboje; odvisno od cilja. Lahko merijo varnostno zrelost organizacije, hkrati pa služijo kot izobraževalno orodje v realnem času. Zanimiva praksa je kontinuiran pristop:
- mesečna testiranja z mikro izobraževanji,
- personalizacija glede na vlogo in znanje zaposlenih,
- sprotno učenje iz rezultatov.
Pomemben del razprave je bil tudi premik od “enkratnih izobraževanj” k stalnemu programu, ki meri vedenje, ne zgolj udeležbe. Kot ključni izzivi prihodnosti so bili izpostavljeni:
- razumevanje osnov (npr. kaj sploh je domena),
- preobremenjenost z informacijami,
- nemogoče pokrivanje vseh scenarijev.
Zato se fokus premika: ne učimo več vseh možnih napadov, ampak ključne odločitvene trenutke, kjer lahko uporabnik prepreči škodo. Med najbolj slikovitimi napovedmi prihodnosti je bil “deepfake kot zlom verodostojnosti digitalne komunikacije”, kjer vprašanje ne bo več, ali je nekaj tehnično možno, ampak ali znamo še zaupati temu, kar vidimo ali preberemo. Ključno sporočilo: cilj ni popolna odpornost na napade, ampak sprememba vedenja v ključnih trenutkih odločanja.