Gdy „ja” sabotuje bezpieczeństwo
Cyberbezpieczeństwo to nie tylko technologia. To przede wszystkim codzienna walka z własnymi nawykami i sposobem podejmowania decyzji. Nawet najlepsze systemy mogą zawieść, gdy działamy automatycznie, bez refleksji. Daniel Kahneman w swojej książce „Pułapki myślenia” pokazuje, że funkcjonujemy w dwóch trybach: szybkim – intuicyjnym i wolnym – analitycznym. W stresie i pod presją zwykle rządzi ten pierwszy. Upraszcza świat, sięga po znane schematy, ignoruje szczegóły. To prosta droga do błędów.
Carol Tavris i Elliot Aronson w „Błądzą wszyscy, ale nie ja” tłumaczą, jak łatwo usprawiedliwiamy własne decyzje. Gdy pojawiają się sygnały ostrzegawcze, potrafimy je zignorować lub racjonalizować na własną korzyść. To mechanizm dysonansu poznawczego, który sprawia, że trwamy przy raz obranych ścieżkach.
Richard Thaler z kolei podkreśla, jak ważne są „impulsy” – czyli to, jak projektujemy środowisko decyzji. Drobne zmiany w otoczeniu mogą wpływać na wielkie zmiany w zachowaniu. Dobrze ustawione bodźce pomagają przełamać rutynę i skłaniają do krytycznego myślenia. To one mogą zmieniać kulturę organizacji na lepszą.
Właśnie te mechanizmy – opisane przez Kahnemana, Tavris, Aronsona i Thalera – nie są tylko teorią psychologiczną. Mają bezpośredni wpływ na codzienne decyzje w cyberbezpieczeństwie. W kolejnych częściach artykułu pokażę, jak te błędy poznawcze wpływają na praktykę – i jak można je skutecznie ograniczać.
Filtry poznawcze i ograniczanie perspektyw
Zespoły bezpieczeństwa często szukają potwierdzenia w tym, co już znają. Wybierają sprawdzone rozwiązania, bo wydają się bezpieczne. To daje złudne poczucie kontroli, ale ogranicza rozwój i czyni firmę mniej odporną na zmiany. Tymczasem RODO nakłada obowiązek cyklicznej oceny adekwatności zabezpieczeń – na przykład w ramach analizy ryzyka czy oceny skutków dla ochrony danych (DPIA).
Wbrew tym wymogom wiele organizacji opiera decyzje na wcześniejszych przekonaniach, nie na aktualnej analizie ryzyka.
Podobne wymagania stawiane są systemom zarządzania zgodnym z ISO/IEC 27001 – tam regularny przegląd zabezpieczeń to obowiązek, nie opcja. A jednak: gdy nowy produkt zostanie pochwalony przez szefa, jego opinia często staje się nieformalnym standardem. Zespół rezygnuje z weryfikacji – nawet jeśli realia się zmieniły.
Dlatego tak ważne jest, by organizacja wspierała kulturę otwartą na krytykę – także wobec decyzji liderów. Uczenie się i adaptacja zaczynają się tam, gdzie kończy się automatyczne potakiwanie.
Efekt ramowania (framing effect) sprawia, że sposób prezentacji rozwiązań wpływa na ich ocenę. „Lider branży” brzmi lepiej niż „nowy gracz”, nawet jeśli ten drugi oferuje świeższe podejście. To właśnie forma, nie treść, często decyduje o tym, które rozwiązanie wybieramy – i bywa, że popełniamy błąd.
Pułapki interpretacji i selektywna pamięć
Dane można zinterpretować na wiele sposobów. Gdy wierzymy w skuteczność narzędzia, każde powodzenie nas utwierdza. Porażki? Zrzucamy na wyjątkowe okoliczności. To blokuje wyciąganie wniosków i utrudnia poprawę procesów.
Często mówi się o bohaterach bezpieczeństwa – tych, którzy wykryli zagrożenie w porę. Warto jednak przyjrzeć się „antybohaterom”: osobom, których drobne przeoczenia lub zaniechania, choć pozornie nieistotne, uruchomiły łańcuch poważnych zdarzeń. Analiza takich przypadków – bez szukania winnych, lecz z nastawieniem na zrozumienie mechanizmów – pomaga zrozumieć, jak rutyna i przekonania mogą uruchomić efekt domina.
Efekt dostępności (availability heuristic) sprawia, że przeceniamy wagę głośnych lub świeżych incydentów, a ignorujemy te mniej spektakularne, choć częstsze. Jedno duże włamanie może przykuć uwagę całego zarządu, podczas gdy kilkanaście przypadków zgubionych pendrive’ów przechodzi bez echa – choć to one mogą być realnie groźniejsze.
Selektywna pamięć utrwala status quo. Po incydencie łatwo powiedzieć „można było to przewidzieć” – to efekt retrospektywy (hindsight bias). Daje to złudzenie kontroli, ale nie sprzyja refleksji.
Pułapka kosztów utopionych (sunk cost fallacy) sprawia, że trwamy przy nieskutecznych rozwiązaniach, bo „już tyle w nie zainwestowaliśmy”. Zmiana wydaje się zbyt kosztowna i może być odebrana jako przyznanie się do błędu. Przykład? Firma przez lata inwestuje w rozbudowę własnego systemu monitoringu, mimo że na rynku pojawiły się tańsze i skuteczniejsze narzędzia. Decyzję o zmianie odwleka się, nawet jeśli oznacza to narastające ryzyko.
Automatyzacja i echo własnych przekonań
Automatyzacja nie rozwiązuje problemu błędów poznawczych. Algorytmy uczą się na podstawie danych, które mogą być stronnicze. Jeśli dane są wadliwe, system powiela i wzmacnia błędne schematy. To prowadzi do fałszywych alarmów lub przeoczenia realnych zagrożeń. Bez nadzoru człowieka automatyzacja może utrwalać uprzedzenia zamiast zwiększać bezpieczeństwo.
Jednym z mechanizmów zabezpieczających, znanym z RODO, jest prawo do sprzeciwu wobec decyzji podjętej wyłącznie przez system – czyli obowiązek „udziału człowieka”. Ale to nie tylko kwestia zgodności z przepisami. To przypomnienie, że odpowiedzialność nie może być delegowana na maszynę – szczególnie w warunkach niepewności lub konfliktu wartości.
ISO/IEC 27001 również wskazuje na potrzebę manualnej weryfikacji i okresowego przeglądu skuteczności technicznych zabezpieczeń – bo skuteczność techniczna nie oznacza automatycznie adekwatności decyzyjnej.
Zespoły o jednolitej kulturze wpadają w pułapkę „komory echa”. Alternatywne opinie są ignorowane, jednomyślność staje się wartością, a krytyka – zagrożeniem. Efekt fałszywej jednomyślności (false consensus effect) sprawia, że członkowie zespołu są przekonani, że wszyscy myślą tak samo. To wycisza sygnały ostrzegawcze i prowadzi do grupowego myślenia (groupthink), szczególnie groźnego w kryzysie.
W praktyce bezpieczeństwa oznacza to np. brak reakcji na anomalię, która nie pasuje do obowiązującego wzorca, albo zignorowanie ostrzeżenia, które nie wpisuje się w narrację zespołu. Dotyczy to nie tylko kodu czy alertów, ale też sposobu podejmowania decyzji i projektowania procesów.
Różnorodność poznawcza jest dziś równie ważna jak różnorodność danych w modelu.
Narzędzia zmian: audyty, szkolenia, wdrożenia i testy bezpieczeństwa
Przełamanie pułapek myślenia wymaga konkretnych działań. Audyty prowadzone przez zewnętrznych specjalistów pozwalają spojrzeć na organizację z dystansu. Ujawniają luki i zagrożenia, których pracownicy na co dzień nie dostrzegają. Porównanie własnych praktyk z najlepszymi standardami rynkowymi otwiera drogę do realnych zmian.
Szkolenia pomagają rozpoznawać błędy myślenia i zachęcają do zadawania pytań oraz kwestionowania utartych założeń. Podczas naszych szkoleń stosujemy ćwiczenia inspirowane Thalerem – takie, które wytrącają z automatyzmów i uczą elastyczności.
Wdrożenie nowych rozwiązań technologicznych to nie tylko kwestia narzędzi – to także okazja do zmiany nawyków i poprawy świadomości zespołu. Nowa technologia powinna iść w parze z edukacją, praktyką i kontrolą.
Szczególnie ważne są także audyty socjotechniczne – testujące nie infrastrukturę, lecz czujność samych pracowników. Najczęściej przybierają formę symulowanych ataków phishingowych: zespół otrzymuje realistyczne, nieoczywiste wiadomości e-mail, które wymagają krytycznego podejścia i uważności. To jedne z najskuteczniejszych form nauki – bo osadzone w kontekście codziennej pracy.
Warto pójść o krok dalej i testować nie tylko odporność na konkretne typy ataków, ale także na presję, chaos i dezinformację. Symulacje, w których zespół musi działać pod presją czasu, w warunkach niepełnych danych lub sprzecznych komunikatów, pokazują prawdziwe granice odporności psychicznej. Takie ćwiczenia ujawniają naturalnych liderów, a także miejsca, gdzie procedury zawodzą w starciu z ludzką naturą i są niezbędny elementem dobrze działających planów ciągłości działania.
Organizacje, które regularnie korzystają z tych narzędzi, często szybciej wykrywają zagrożenia i są przygotowane na właściwe zarządzanie nimi. Praktyka pokazuje, że rozwój świadomości i kompetencji zespołu to najskuteczniejsza forma inwestycji w bezpieczeństwo.
Kultura organizacyjna – środowisko zmian
Połączenie audytów, szkoleń, wdrożeń i testów bezpieczeństwa buduje kulturę otwartości i rozwoju. Tam, gdzie kwestionowanie schematów jest normą, łatwiej o innowacje i adaptację. Zarządzanie ryzykiem to nie unikanie błędów, lecz ich rozpoznawanie i nauka na nich. Liderzy powinni nagradzać konstruktywną krytykę, a nie tylko potakiwanie.
Wskaźnikiem dojrzałości kultury bezpieczeństwa nie jest wyłącznie liczba incydentów czy szkoleń, ale też to, ile razy pracownicy zgłaszają wątpliwości, jak często pojawiają się głosy sprzeciwu wobec dominujących narracji, czy ktoś odważył się zakwestionować rutynę. To te „miękkie” sygnały, często pomijane w raportach, świadczą o prawdziwej sile organizacji w radzeniu sobie z nieoczywistymi zagrożeniami.
Rzadko zwracamy uwagę na to, jak sama konstrukcja organizacji wpływa na odporność na zagrożenia. W silnie zhierarchizowanych strukturach sygnały ostrzegawcze potrafią utknąć w biurokratycznym łańcuchu decyzyjnym. Tymczasem to często pracownicy niższego szczebla jako pierwsi zauważają niepokojące symptomy – ale czy mają przestrzeń, by je zgłosić? Czasem to nie formalne procedury, lecz nieformalne sieci współpracy, szybki przepływ informacji i możliwość zgłaszania wątpliwości poza oficjalnym obiegiem decydują o tym, czy organizacja zareaguje na czas. Warto zadać sobie pytanie: czy nasza struktura sprzyja szybkiemu wyłapywaniu niepokojących faktów, czy raczej tłumi sygnały ostrzegawcze w gąszczu hierarchii?
Ten klimat można wzmacniać drobnymi impulsami, które kierują codziennymi wyborami pracowników – Richard Thaler nazwał je nudge’ami. To subtelne bodźce środowiskowe, które wpływają na decyzje, nie odbierając wolności wyboru – jak np. domyślnie zaznaczone pole „włącz szyfrowanie” czy pytanie „czy na pewno chcesz wysłać te dane publicznie?”. Inne przykłady to domyślnie włączone zabezpieczenia: szyfrowanie wiadomości, wygasanie sesji po bezczynności, komunikaty typu „czy na pewno chcesz udostępnić te dane?”. Nie zmuszają, ale podpowiadają właściwe zachowania. Takie rozwiązania wpisują się w zasadę privacy by default – ochrony danych ustawionej jako domyślna. Razem z privacy by design – czyli projektowaniem systemów z myślą o prywatności od samego początku – tworzą środowisko, w którym bezpieczeństwo nie zależy tylko od czujności, lecz jest naturalnym efektem działania dobrze zaprojektowanych procesów.
Świadomość jako klucz
Bez pracy nad własnym myśleniem nie ma bezpieczeństwa. Pułapki poznawcze są wszędzie, ale można je ograniczać. Refleksja, otwartość na krytykę i gotowość do zmiany to cechy organizacji, które są naprawdę odporne na zagrożenia.
Wnioski z książek Tavris i Aronsona, Kahnemana czy Thalera to nie teoria. To konkretne narzędzia pomagające budować środowisko, w którym myślenie krytyczne, uczenie się na błędach i szukanie nowych rozwiązań są normą. Kahneman ostrzega przed iluzją zrozumienia i nadmierną pewnością siebie. Thaler pokazuje, że drobne zmiany otoczenia mogą przynieść ogromny efekt. Tavris i Aronson uczą, jak radzić sobie z dysonansem bez wypierania faktów.
Organizacje, które akceptują niepewność i złożoność, nie tylko lepiej zarządzają ryzykiem – one po prostu widzą więcej. Reszta żyje w iluzji bezpieczeństwa.
Właśnie takim podejściem kierujemy się podczas naszych audytów, szkoleń, wdrożeń i testów bezpieczeństwa. Nie zatrzymujemy się na checklistach. Pracujemy z zespołami, ich kulturą i sposobem podejmowania decyzji. Pomagamy dostrzec nie tylko „co” działa, ale też „dlaczego” działa – i co może przestać działać w chwili kryzysu.
Technologia – nawet najbardziej zaawansowana – jest tylko narzędziem. To katalizator zmian, który może przyspieszyć dobre praktyki, ale nigdy nie zastąpi otwartości na krytykę, odwagi do zadawania pytań i gotowości do uczenia się na błędach. Prawdziwa odporność organizacji rodzi się tam, gdzie technologia wspiera ludzi, a nie maskuje słabości w kulturze i strukturze.
Jeśli chcesz sprawdzić, jak może wyglądać organizacja, która naprawdę uczy się na błędach i adaptuje do zagrożeń – napisz do nas: [adres e‑mail]. Razem zbudujemy środowisko, w którym bezpieczeństwo jest efektem myślenia, a nie tylko technologii.
Autor: Kamil Lewicki, Starszy Ekspert ds. Ochrony Danych Osobowych
Bibliografia:
- Kahneman, Daniel (2012). Pułapki myślenia. O myśleniu szybkim i wolnym. Poznań: Media Rodzina.
- Tavris, Carol, Aronson, Elliot (2021). Błądzą wszyscy, ale nie ja. O mechanizmach samousprawiedliwienia. Sopot: Smak Słowa.
- Thaler, Richard H., Sunstein, Cass R. (2021). Impuls. Jak podejmować właściwe decyzje dotyczące zdrowia, dobrobytu i szczęścia. Poznań: Zysk i S-ka.
- Tversky, Amos, Kahneman, Daniel (1974). “Ocena w warunkach niepewności: heurystyki i błędy poznawcze”. Science.
(oryginał: “Judgment under Uncertainty: Heuristics and Biases”) - Sunstein, Cass R. (2014). “Nudging: bardzo krótki przewodnik”. Journal of Consumer Policy.
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO/GDPR).
Autor: Michał Małas | Ekspert ds. ochrony danych osobowych w CompNet sp. z o. o.