Uczestnictwo w konferencjach i innych wydarzeniach skupionych na tematyce cyberbezpieczeństwa branży morskiej pokazuje dosyć powtarzalny trend, który polega na tym, że prędzej czy później musi się pojawić temat ludzi.
Takie spotkania zazwyczaj rozpoczynają tematy skupione na aktualnych rozporządzeniach związanych z cyberbezpieczeństwem, eksperci wskazują nowe narzędzia, które mogą chronić organizacje. Jeśli czasu jest trochę więcej i prowadzący wydarzenie jest wystarczająco dociekliwy, zazwyczaj szybko padnie kluczowa wypowiedź: Możemy tutaj godzinami rozmawiać o drogim oprogramowaniu i regułach postępowania, ale i tak najważniejsi są ludzie w naszej organizacji. Także Ci na niskich stanowiskach, którzy teoretycznie nie mogą nam zagrozić.
W jaki konkretnie sposób zagrożą? Praktyka ekspertów ds. cyberbezpieczeństwa pokazuje, że mimo regularnie powtarzanych szkoleń i rozmów pracownicy organizacji wyjątkowo łatwo mogą na przykład podłączyć nieznane urządzenie USB do służbowego komputera, jeśli tylko zaciekawi ich napis na nim „lista płac”, a sama pamięć zostanie podrzucona w zakładowej stołówce lub pokoju socjalnym. Podobnie łatwe okazuje się telefoniczne zdobycie hasła do kluczowego sprzętu, jeśli na przykład haker zadzwoni do osoby z organizacji tuż przed nadejściem weekendu, gdy pracownik myślami jest już poza firmą i zapomni upewnić się, że rzeczywiście ma do czynienia z uprawnionym do otrzymania takich danych kolegą z pracy. Opisane wyżej sytuacje rzeczywiście miały miejsce w polskich firmach z branży morskiej, gdzie hakerzy w całkiem banalny sposób wykorzystywali ludzką ciekawość czy też roztrzepanie.
Całkiem rozsądny wniosek z takich smutnych obserwacji polegać więc może na skupieniu się na szkoleniach albo nawet udawanych włamaniach do firmy, a inwestycje sprzętowe należałoby umieścić na drugim miejscu priorytetów organizacji.
