Kibernetska varnost v obdobju dela od doma: Človeški faktor kot najšibkejša povezava

Pandemija COVID-19 je povzročila
temeljito spremembo delovnih navad, saj so podjetja p
o
svetu prešla na hibridne ali popolnoma oddaljene modele dela. Ta prehod je prinesel številne prednosti, kot so večja fleksibilnost in zmanjšani stroški, vendar je hkrati povečal tveganje za kibernetske napade. Raziskave kažejo, da je
95% uspešnih kibernetskih napadov posledica človeških napak, kar pomeni, da je človeški faktor najšibkejša povezava v kibernetski varnosti (Alsharif et al., 2022; Klein & Zwilling, 2024). V tem prispevku bomo raziskali, zakaj je človeško vedenje ključni dejavnik pri kibernetskih grožnjah, kako vpliva delo od doma na varnostne prakse in kaj lahko storijo podjetja, da zmanjšajo tveganja.

Človeški faktor: Glavna ranljivost

Najpogostejše grožnje

Raziskave (Alsharif et al., 2022) poudarjajo, da so najpogostejše grožnje, povezane s človeškim faktorjem:

Phishing napadi: Uporaba lažnih elektronskih sporočil ali spletnih strani za krajo podatkov.
Napadi na gesla: Uporaba preprostih gesel (npr. rojstni datumi, imena otrok) ali ponovna uporaba gesel.
Družbeno inženirstvo: Manipulacija uporabnikov, da razkrijejo občutljive podatke.

Pomanjkanje ozaveščenosti

Večina zaposlenih ni ozaveščena o osnovnih kibernetskih grožnjah in ne ve, kako zaščititi svoje osebne podatke. Raziskave so pokazale, da večina udeležencev ne pozna osnovnih varnostnih praks, kot so uporaba kompleksnih gesel ali prepoznavanje phishinga, prav tako pa tudi da IT zaposleni pogosto nimajo ustreznega znanja, kljub visokemu tehnološkem razvoju regije.

Vpliv dela od doma

Delo od doma povečuje tveganje za kibernetske napade, saj so domača omrežja manj zaščitena kot podjetniška. Raziskava Klein & Zwilling (2024) je pokazala, da:

50% IT vodij meni, da je preprečevanje izgube podatkov težje pri oddaljenem delu.
Zaposleni v pisarni pogosto zanašajo na varnostne sisteme podjetja, kar jih spodbudi k tveganejšemu vedenju (npr. deljenje gesel).
Zaposleni, ki delajo od doma, so bolj previdni, če imajo ustrezno znanje, saj je osebna cena napake (npr. kraja podatkov) višja.

Vpliv organizacijske podpore in usposabljanja

Organizacijsko usposabljanje

Raziskave (Klein & Zwilling, 2024) poudarjajo, da organizacijsko usposabljanje pozitivno vpliva na ozaveščenost in znanje o kibernetski varnosti, kar vodi do boljše varnostne prakse. Podjetja morajo:

Redno izvajati usposabljanja o prepoznavanju phishinga, družbenega inženirstva in varnih praks pri geslih.
Uporabljati simulacije napadov (npr. pošiljanje nadzorovanih phishing sporočil) za izboljšanje odzivnosti zaposlenih.
Prilagoditi usposabljanja različnim kulturnim in regionalnim kontekstom.

Tehnični ukrepi

Podjetja morajo naložiti v napredna varnostna orodja, kot so:

Obvezna 2FA/MFA za dostop do občutljivih sistemov.
Avtomatsko blokiranje sumljivih povezav in elektronske pošte.
Nadzor uporabniških aktivnosti (npr. prepoznavanje nenavadnih dostopov).

Organizacijske spremembe

Jasne varnostne politike: Zaposleni morajo vedeti, kaj se od njih pričakuje (npr. kako ravnati z gesli, kako prepoznati sumljive aktivnosti).
Kultura varnosti: Kibernetska varnost mora biti skupna odgovornost vseh zaposlenih, ne le IT oddelka.
Podpora IT zaposlenim: Ker imajo privilegiran dostop, morajo biti redno usposobljeni in nadzorovani.

Priporočila in najboljše prakse za zaščito

Tehnične rešitve

Uporaba VPN (Virtual Private Network): VPN šifrira internetni promet in skriva IP-naslov, kar preprečuje prestrezanje občutljivih podatkov. Uporaba zanesljivega VPN-ja je nujna pri delu zunaj pisarne.
Redne posodobitve: Operacijski sistem, antivirusni programi in aplikacije morajo biti vedno posodobljeni. Posodobitve odpravljajo ranljivosti, ki jih napadalci izkoriščajo.
Antivirusni programi: Zanesljiva varnostna programska oprema lahko zazna in odstrani večino groženj, še preden povzročijo škodo.
Dvofaktorska avtentikacija (2FA): Čeprav napadalec pridobi geslo, mu brez druge stopnje preverjanja (SMS, e-pošta, aplikacija) dostop ne bo omogočen.

Organizacijske prakse

Izobraževanje zaposlenih: Redna usposabljanja o prepoznavanju phishinga, varnem ravnanju s podatki in ukrepanju ob sumljivih aktivnostih so ključna.
Ločene naprave za delo in zabavo: Uporaba iste naprave za delo, spletno bančništvo in ogled videov povečuje tveganje za vdore. Idealno je imeti ločene naprave – če to ni mogoče, pa vsaj različne uporabniške račune.
Varnostne kopije (backup): Redno varnostno kopiranje datotek na zunanji disk ali oblačno storitev lahko reši poslovanje, če pride do izgube podatkov.
Jasna politika dela na daljavo: Podjetja morajo pripraviti pisne smernice za delo na daljavo, ki vključujejo minimalne varnostne zahteve, postopke v primeru incidentov in priporočila za varno rabo tehnologije.

Vedenjske navade

Premisli, preden klikneš: Izogibaj se klikanju na neznane povezave v e-pošti. Če si negotov, preveri s pošiljatelja.
Varuj svoje naprave: Če delaš zunaj doma, nikoli ne puščaj naprav brez nadzora. Izogibaj se vnašanju gesel in obdelovanju podatkov, kjer ti lahko ljudje prosto gledajo čez ramo.
Povezuj se samo na zaupanja vredna omrežja: Javna Wi-Fi omrežja pogosto niso varna in lahko ogrozijo gesla, e-pošto in delo.
Ustvarjaj močna gesla: Gesla morajo vsebovati mešanico velikih in malih črk, številk in simbolov. Izogibaj se enostavnim geslom, kot so rojstni datumi, imena otrok, ljubljenčkov…
Ne deli gesel prek spleta: Če moraš geslo posredovati sodelavcu, uporabi klic namesto e-pošte, sporočil ali klepeta.

Priporočila za podjetja

Redna usposabljanja o kibernetski varnosti za vse zaposlene, zlasti za tiste, ki delajo od doma.
Uporaba naprednih varnostnih orodij, kot so 2FA, avtomatsko blokiranje sumljivih povezav in nadzor uporabniških aktivnosti.
Razvoj kulture varnosti, kjer je kibernetska varnost skupna odgovornost vseh zaposlenih.
Prilagoditev varnostnih praks različnim kulturnim okoljem.

Kibernetska varnost ni več zgolj tehnični izziv, temveč kulturna in organizacijska naloga. Podjetja, ki uspejo integrirati varnostne prakse v vsakdanjo delovno kulturo, bodo bolj uspešno preprečevala kibernetske grožnje in zaščitila svoje podatke in zaposlene.

Avtorica prispevka: Lea Bogosavljević

O nas

Zavod Rhea se posveča izboljšanju dostopa do storitev in povečanju ozaveščenosti o digitalni pismenosti, zlasti pri ranljivih skupinah. S spodbujanjem digitalne pismenosti ljudem omogočamo boljšo uporabo digitalnih orodij in izboljšamo kakovost življenja. Prav tako se trudimo povečati dostopnost odprtokodne in pregledne programske opreme za trenutne in potencialne uporabnike. Več o nas in naših programih lahko izveste na https://www.rhea.si/.

Viri:

Alsharif, M., Mishra, S., & Al Shehri, M. (2022). Impact of Human Vulnerabilities on Cybersecurity. Computer Systems Science & Engineering. https://www.techscience.com/csse/v40n3/44582/pdf
Klein, G., & Zwilling, M. (2024). The Weakest Link: Employee Cyber-Defense Behaviors While Working from Home. Journal of Computer Information Systems. https://www.tandfonline.com/doi/epdf/10.1080/08874417.2023.2221200?needAccess=true
Kavya, P.,Dr. Shenbhagavadivu, T.,Vinitha,V. (januar 2025). Cybersecurity Consciousness in Hybrid Work: The Dominant Role of Organizational and Technological Support. Anusandhanvallari Vol 2025, No.1, January 2025. https://psvmkendra.com/index.php/journal/article/view/49/28
Ivarnost. (2. 6. 2025) Kibernetska varnost pri delu od doma – kako se zaščititi? https://ivarnost.si/kibernetska-varnost-pri-delu-od-doma/
North Carolina Department of Infomation Technology. (n. d.) Cybersecurity While Working Remotely. https://it.nc.gov/resources/online-safety-privacy/tips-guidance/cybersecurity-while-working-remotely

Piškotek	Trajanje	Opis
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.