Koncepcja szkolenia zwiększające świadomość bezpieczeństwa jest tradycyjnie jedną z procedur statycznych, obejmujących szkolenia i testy online, symulacje phishingu oraz elementy fizyczne, takie jak plakaty i wystawy.
Wszystko to jest praktyczne z punktu widzenia zgodności, ale czy ta koncepcja idzie z duchem czasu? Jak w świecie, w którym króluje sztuczna inteligencja, trening świadomości pasuje do tego trendu technologicznego? Przykładowo delegaci o godz PoznajBe4 Podczas ostatniej konferencji użytkowników w Londynie można było dowiedzieć się, jak kształtuje się kierunek firmy w większym stopniu oparty na sztucznej inteligencji.
Wzrost liczby agentów
Dyrektor generalny Bryan Palma przewiduje, że sztuczna inteligencja doprowadzi do wzrostu liczby osób i agentów, którzy twierdzą, że „sztuczna inteligencja czyni nas bardziej produktywnymi”, a dzięki rośnie liczba agentów wdrażanych w obszarze cyberbezpieczeństwa. Może to skutkować zatrudnieniem mniejszej liczby osób; jednakże podejście KnowBe4 polega na szkoleniu siły roboczej niezależnie od tego, czy jest to człowiek, czy maszyna.
„Nas to nie obchodzi, bo ostatecznie przygotujemy Twoją organizację i Twoich pracowników tak, aby zostali odpowiednio przeszkoleni i zapewnili Ci przewagę na rynku” – mówi. „Teraz szkolimy prawdopodobnie w 100% ludzi i zero agentów, jutro może to być 60 ludzi i 65 agentów – nie będziemy się tym przejmować”.
Ten ruch w kierunku agentów i wspieranie ich w takim samym stopniu jak pracowników jest szczególnie przyszłościowy w miarę wzrostu stosowania opcji opartych na sztucznej inteligencji. Palma twierdzi, że przyjęcie wsparcia dla agentów „dotyczy kultury bezpieczeństwa i właśnie taki wynik staramy się zbudować”.
Mówi: “Rzeczywistość jest taka, że agenci będą częścią Twojej kultury bezpieczeństwa, a boty będą częścią Twojego świata. Jeśli przesuniemy zegar o kilka lat do przodu, będziesz mieć wiele botów, które będą dla Ciebie pracować i będziesz im kazał robić różne rzeczy, a oni będą pracować niezależnie i zamiast zarządzać tylko ludźmi, będziesz musiał zarządzać także botami. “
W tym posunięciu chodzi wyłącznie o kulturę, a agenci muszą być częścią tej kultury „tak jak ludzie” – wyjaśnia.
Zarządzanie zaufaniem pracowników
Palma twierdzi, że kierunek firmy zmierza w stronę koncepcji „zarządzania zaufaniem pracowników”, będącej rozwinięciem pierwotnego szkolenia w zakresie świadomości bezpieczeństwa i częściej używanego terminu „zarządzanie ryzykiem ludzkim”.
Wyjaśnia, że zarządzanie zaufaniem pracowników uwzględnia autonomiczne bezpieczeństwo, które zarządza i szkoli zarówno ludzi, jak i agentów sztucznej inteligencji, ponieważ siła robocza będzie zróżnicowana: „Musisz chronić ich wszystkich, ponieważ każdy może stanowić lukę w zabezpieczeniach”.
Oczywistym pytaniem jest, w jaki sposób sztuczna inteligencja i zautomatyzowane funkcje zmieniają zarówno zarządzanie zaufaniem pracowników, jak i podstawową misję uświadamiającą i szkoleniową KnowBe4? Siedząc z Palmą, Computer Weekly miał okazję zapytać go o ten krok w kierunku automatyzacji i czy ma wystarczającą wiedzę na temat wdrażania zautomatyzowanych zadań w sposobie działania technologii KnowBe4.
Palma mówi, że firma o tym myślała i rozwijała się wokół tego, a kiedy dołączył do firmy, zdał sobie sprawę zarówno z wpływu innych rzeczy, które zrobił, jak i z potrzeby przyspieszenia rozwoju.
“Położyłem na tym większy nacisk; przeznaczam na to więcej inwestycji. Chcę przyspieszyć to, co robimy, ale mamy sześciu agentów na rynku – już to robiliśmy i staje się to krytyczne, ponieważ dzięki temu nasz system po prostu działa lepiej”, mówi.
Czy istnieje większe zapotrzebowanie ze strony klientów na tego rodzaju automatyzację w ofercie zarządzania zaufaniem pracowników? Wyjaśnia, że jeden z jego agentów tworzy stronę docelową phishingową, aby zaoszczędzić czas zespołom IT i cyberbezpieczeństwa na ciągłym tworzeniu nowych wersji testów phishingowych.
Donna Huggett, menedżerka ds. edukacji i świadomości w zakresie bezpieczeństwa informacji w firmie Belron – organizacja macierzysta Autoglass i Safelite – mówi Computer Weekly, że używa KnowBe4 do symulacji phishingu. Technologia oparta na sztucznej inteligencji „faktycznie pomaga nam znacznie ograniczyć znaczną ilość pracy”, ponieważ wcześniej czas spędzany był na opracowywaniu szablonów i wybieraniu odpowiedniego do użycia, opcje w AIDA technologia wykona pracę za Ciebie.
Powiedziała również, że określa to poziom wiadomości phishingowej wysyłanej do pracownika w przypadku tych, którym należy stawić czoła większym wyzwaniom i którzy będą otrzymywać nieco trudniejsze e-maile. „Teraz wszystko jest zautomatyzowane, więc jest to ogromna pomoc” – mówi.
Paul Maxwell, inżynier ds. bezpieczeństwa cybernetycznego w sklepie detalicznym Poundlandtwierdzi, że używa głównie KnowBe4 do symulacji phishingu i użył 115 szablonów, ale stwierdził, że niektóre już nie działają. Wymagało to zbudowania nowych szablonów, a w miarę zwiększania się wiedzy użytkowników „dodawało 35 godzin miesięcznie” do jego obciążenia pracą, w związku z czym musiał tworzyć nowe e-maile.
„Spędziłem w nocy dobre kilka godzin, myśląc: «To dobry pomysł, przyciągnie ludzi». W przypadku takich rzeczy nie można po prostu iść na półśrodki, naprawdę trzeba spróbować ich przyłapać” – mówi. „Bo jeśli ich nie złapiesz, nie pomożesz im w nauce.”
Wyjaśnia, że najskuteczniejsze były te opcje, które wydawały się pochodzić z działu HR, takie jak kliknięcie w celu ubiegania się o coroczny urlop oraz kwestie finansowe i informatyczne, łącznie z aktualizacją do Windows 11. Jednakże zaangażowanie personelu wzrosło zgłosiło ataki phishingowe. Choć Maxwell przyznaje, że zbadanie każdego alertu wymaga czasu, przyznaje, że platforma okazała się naprawdę pomocna.
„Właśnie tego potrzebuję: po pierwsze, aby pomóc mi w rozwoju bezpieczeństwa w firmie, ale także abym mógł cofnąć się o krok i spojrzeć na inne obszary, na których muszę się skupić” – dodaje.
Zautomatyzowani agenci
Jeśli chodzi o agentów automatycznych, „Computer Weekly” zapytał firmę Palma, czy zamiarem było dodanie uczenia maszynowego w celu umożliwienia realizacji powyższych przykładów i czy mogłoby to osiągnąć poziom, na którym mogłoby zastąpić potrzebę przeprowadzania przez praktyka szkoleń uświadamiających poprzez określenie odpowiedniej kampanii dla pracowników?
Palma wyjaśnia, że ludzie przeoczają to powiązanie i przechodzą bezpośrednio do sztucznej inteligencji, podczas gdy połączenie ludzkie jest niezbędne; w grę wchodzi uczenie maszynowe. „Każdy chce myśleć o GenAI, każdy chce myśleć o następnej generacji: od długiego czasu mamy dużo uczenia maszynowego i zwykłej sztucznej inteligencji, co wciąż ma duże znaczenie i wciąż wymaga dużo pracy, ale koncepcyjnie będzie to absolutnie wyglądać i mówić: „Hej, to są błędy, które popełniasz” lub „To są błędy, które popełnia system” i jak je rozwiązać”.
Palma twierdzi, że w ciągu ostatniego roku nastąpił większy rozwój agentów i widzi przyszłość, w której „nasza poczta e-mail, nasze szkolenia i nasza zgodność będą znajdować się na jednej platformie”, co umożliwi KnowBe4 dodawanie komponentów i możliwości w miarę rozwoju systemu.
Firmy różnej wielkości
Palma omówiła również, czy małe i średnie przedsiębiorstwa (MŚP) łatwiej przystosowują się do zmieniającej się koncepcji technologicznej w porównaniu z dużą organizacją, która od lat 90. XX wieku zajmuje się budowaniem bezpieczeństwa z mocą wsteczną.
„Myślę, że większe organizacje zatrudniają więcej ludzi, mają więcej procesów i zwykle działają wolniej” – mówi. „Mniejsze organizacje będą bardzo wydajne – wśród wielu naszych MŚP nie mają one CISO ani działu bezpieczeństwa informacji.
“Teraz, jeśli mają trzech lub czterech agentów, którzy mogą im pomóc w zakresie zaufania do pracowników, będą z tego powodu naprawdę szczęśliwi. Myślę więc, że adopcja w tej części rynku będzie coraz szybsza.”
Firma może iść z duchem czasu w kierunku oferowania zautomatyzowanych technologii, ale pytanie brzmi, w jakim stopniu praktycy przystosowują się do tej nowej formy technologii, aby wykonać to proste zadanie? Tworzenie szablonów phishingu jest czasochłonne, a tworzenie nowych e-maili wymaga czasu i wysiłku, a tak naprawdę nie zaczęliśmy jeszcze zastanawiać się, ile energii potrzeba do filtrowania wyników symulacji phishingu.
Interesujące jest obserwowanie przyjęcia nowszych sposobów pracy i być może następnym krokiem będzie przyjęcie przez praktyków podejścia agentycznego. Możliwość odciążenia uciążliwych zadań i zobaczenia wyników bez godzin dodatkowej pracy z pewnością byłaby warta wysiłku.