Top 5 psühholoogilist elementi küberhügieeni koolituste puhul

Psühholoogiline väljakutse küberturvalisuses

Küberhügieeni koolitused on viimastel aastatel muutunud organisatsioonide igapäevaseks vajaduseks. Kui tehnilisi turvameetmeid on võimalik kehtestada suhteliselt standardiseeritult, siis inimkäitumine on alati kõige olulisem ja ettearvamatum lüli. Just seetõttu on küberhügieeni koolituste puhul oluline arvestada psühholoogiliste teguritega, mis määravad ära, kuidas inimesed infot tajuvad, kuidas nad uusi harjumusi kujundavad ja kuidas nad riske hindavad. Allpool vaatame viit peamist psühholoogilist elementi, millega tuleb arvestada küberhügieeni koolituste planeerimisel ja läbiviimisel.

1. Riskitaju vs tegelik risk – “Mul ei ole midagi varjata”

Paljud töötajad ja isegi juhid kipuvad mõtlema, et küberohud neid isiklikult ei puuduta. Levinud mõtteviis on: “Mul ei ole midagi varjata, seega ei saa mind rünnata.” Tegelikkuses on iga inimene potentsiaalne sihtmärk, olgu see läbi paroolide, ligipääsuõiguste või lihtsalt ettevõtte süsteemides liikumise kaudu. Siin tekib vastuolu tajutud riski ja tegeliku riski vahel. Kui inimene usub, et ohud on kauged või ei puuduta teda, siis väheneb motivatsioon ettevaatusabinõusid järgida. Küberhügieeni koolituste ülesanne on näidata praktiliste näidetega, kuidas ka väike hooletus võib kaasa tuua suuremaid tagajärgi, sealhulgas andmelekked, rahaline- või mainekahju.

Efektiivne on kasutada narratiive ja õpikaasuseid, mis toovad riski inimeste igapäevaellu lähemale. Näiteks võib välja tuua, kuidas ühe töötaja e-maili kaudu alguse saanud õngitsusrünne halvab kogu organisatsiooni töö. Kui riskitaju tuuakse realistlikule tasemele, suureneb ka tõenäosus, et inimesed hakkavad soovitatud käitumismustreid järgima.

2. Liigne enesekindlus

Teine oluline psühholoogiline nähtus on liigne enesekindlus. Paljud inimesed usuvad, et nad ei lange küberrünnete ohvriks, sest nad on “piisavalt targad”. Tegelikkuses on enesekindlad inimesed sageli need, kes jätavad tähelepanuta kõige elementaarsemad ohumärgid. Liigne enesekindlus võib viia selleni, et inimesed ei pea koolitusi vajalikuks või suhtuvad sellesse pealiskaudselt.

Koolituste planeerimisel on oluline tuua esile realistlikke teststsenaariume, mis näitavad, et isegi kogenud töötaja võib eksida. Näiteks saab korraldada õngitsuskampaaniaid, kus tulemuste analüüs toob esile, kui lihtne on tegelikult langeda näiliselt süütu e-kirja lõksu. Samuti tuleks rõhutada, et küberohud arenevad pidevalt ning see, mis eile tundus ilmne, ei pruugi homme enam kehtida. 

3. Kognitiivne ülekoormus

Tänapäeva töömaailmas on infomüra suur ning töötajatel võib olla keeruline eristada olulist ebaolulisest. Kui küberhügieeni koolitused annavad liiga palju infot korraga, siis ei pruugi see töötajale meelde jääda. Kognitiivne ülekoormus vähendab õppimise efektiivsust ning tekitab trotsi, st. inimesed võivad hakata turvameetmeid nägema tülikate ja tarbetutena.

Koolituste ülesehitus peab olema järk-järguline. Selle asemel, et anda korraga terve loetelu reegleid ja tehnilisi juhiseid, võiks keskenduda väikestele ja praktilistele sammudele. Näiteks alustuseks keskenduda paroolihaldusele, seejärel e-posti turvalisusele ning alles hiljem keerukamatele teemadele. Samuti on lihtsam infot omandada, kui see on esitatud visuaalselt ja interaktiivselt (näiteks lühivideod, ülesanded või elulised näited), kus kasutaja tunneb ära varasemalt tuttava olukorra.

4. Harjumuste kujundamine

Psühholoogia näitab, et kõige tõhusam viis käitumise muutmiseks on uute harjumuste kujundamine. Küberhügieen ei saa piirduda ühe koolituspäeva või testiga, vaid peab muutuma pidevaks praktikaks. Harjumuste kujunemine võtab aega, kuid korduv kokkupuude ja positiivne kindlustunne aitavad kaasa. Samuti on abiks organisatsiooni tasandil loodud kultuur, kus küberturvalisust väärtustatakse, positiivset käitumist tunnustatakse ning turvalisi praktikaid peetakse osaks igapäevasest töökultuurist.

5. Põlvkondlikud erinevused riskikäitumises

Viimaseks on erinevate põlvkondade riskikäitumise eripärad. Nooremad töötajad, kes on tehnoloogiaga üles kasvanud, võivad olla osavamad digitaalsete tööriistade kasutamisel, kuid samas kipuvad nad võtma suuremaid riske, näiteks paigaldades teadmata päritoluga rakendusi või jagades infot sotsiaalmeedias. Vanemad põlvkonnad võivad seevastu olla ettevaatlikumad, kuid neil võib puududa sügavam arusaam uutest ründevektoritest.

Treeningud peaksid arvestama erinevate õppimisstiilide ja riskitaju tasemetega. Näiteks vanemate töötajate puhul võib olla kasulik rohkem praktilisi ja samm-sammult juhendeid esitleda, samas kui noorematele võib sobida interaktiivsete elementidega õpe. Oluline on, et ükski grupp ei tunneks, et neid alahinnatakse või teistest eraldi koheldakse, st. treening peab olema kaasav ja kohandatud organisatsiooni profiilile.