60% of cyber incidents are caused by human error, and AI complicates the situation even more

 

Atea advertisement

“In recent weeks, Lithuania has been shaken by several large-scale cybersecurity incidents, once again highlighting the consequences of cybersecurity gaps and insufficient data protection. Meanwhile, challenges in the field of cybersecurity are only growing. Rapidly developing artificial intelligence provides new opportunities not only for organizations, but also for cybercriminals - it is becoming easier for them to create convincing fraud schemes and influence people's behavior. In addition, the beginning of the summer vacation period, when employee vigilance is traditionally reduced, may further strengthen the impact of such threats. Ramūnas Sasnauskas, IT solutions architect at Atea, the largest IT solutions and service providers in the Baltic States, claims that humans still remain the most vulnerable link in cybersecurity, and advises organizations on how to reduce the risks posed by human errors.

 

One of the world's largest cybersecurity research reports, the Verizon Data Breach Investigations Report 2025, states that about 60 percent of cyber incidents are related to the human factor in one way or another. This conclusion was obtained after analyzing more than 22 thousand security incidents and 12 thousand confirmed data breaches from 139 countries.

 

The human factor in the context of cybersecurity includes social engineering, weak access control, incorrect system configuration, circumvention of security rules, and incidents that are detected too late. "Even with advanced technological security measures, much depends on how people use them, what decisions they make, and how quickly they react to potential threats," says R. Sasnauskas.

Social engineering threats are amplified by AI

 

When asked which of the human factors poses the greatest risk to organizations today, the Atea expert does not hesitate to name social engineering.

 

“And not necessarily because it is the most common. It is much easier to influence a person than to hack a well-protected information system. Criminals do not need long and complicated processes to find vulnerabilities. It is much easier to send fraudulent letters or messages and hope that the person will reveal their login details,” says R. Sasnauskas.

 

Today, fraudsters use not only traditional so-called “phishing” letters. Such fraud methods as “smishing” (fraudulent SMS messages), “vishing” (telephone fraud) or “quishing” (fraud using QR codes) are also increasingly used. “The latter are especially rapidly gaining popularity, because it is more difficult for email filters to analyze QR codes than regular Internet links. In addition, QR is usually scanned by a phone, which usually has weaker protection than a computer,” warns R. Sasnauskas.

 

Artificial intelligence also provides criminals with additional opportunities. “With the help of AI, the language barrier has essentially disappeared. If previously, phishing emails were often given away by grammatical errors or strange wording, today AI allows you to generate emails or personalized messages written in correct Lithuanian, impersonating a colleague or manager,” the expert says.

 

Artificial intelligence also allows you to create extremely convincing copies of original websites. An even greater danger can be posed by so-called “deepfake” solutions, when the voice or image of a specific person is recreated with the help of artificial intelligence and, for example, an order from a manager to perform certain actions is imitated. According to R. Sasnauskas, such attacks have not yet been heard of in Lithuania, but such cases have already occurred in Europe, the USA and Asia.

 

In principle, AI does not change the main goal of cybercriminals – to influence a person, but it allows you to create increasingly convincing phishing scenarios, which is why it becomes even more important for organizations to strengthen the vigilance of employees and their ability to recognize potential threats.

Security is often sacrificed for convenience

 

However, social engineering is only one piece of the puzzle. Other risks arising from people’s decisions and daily habits are also significant. Organizations still face excessive or improperly managed access, errors in system configuration, late detection of incidents, and employees’ tendency to bypass security rules in order to complete daily tasks more quickly.

 

“When it comes to the tendency to bypass security rules, the main problem is increasingly not a lack of employee knowledge, but the fact that the chosen security tools or processes are inconvenient, so it becomes easier to ignore them than to use them,” says R. Sasnauskas.

 

This is also compounded by the pressure to complete tasks as quickly as possible, as well as a lack of risk perception or psychological aspects, such as the belief that “nothing will happen to me.” Many mistakes are caused by fatigue or inattention.

 

The lack of specialist competence in designing, implementing, configuring, or maintaining security solutions also increases the risk. Therefore, the mere acquisition of technology does not in itself mean security – it is equally important to ensure that they are properly adapted and managed.

How to reduce the risks posed by the human factor?

 

Although it is impossible to completely eliminate human errors, organizations can significantly reduce the risks they cause. R. Sasnauskas recommends starting with a few essential steps.

 

First of all, it is important to conduct a cybersecurity audit, which will help assess the current situation, identify weaknesses and set priorities.

 

Another equally important step: continuous employee education. Employees should be regularly informed about new types of attacks, including social engineering attacks created with the help of AI, safe work principles, security solutions implemented in the organization and actions that need to be taken if an incident is noticed. Education should include not only theoretical training, but also practical incident simulations, for example, simulating phishing attacks. Such exercises allow employees to better recognize threats and prepare for real situations.

 

The Atea expert also recommends that organizations set long-term security goals and strategies, regularly assess weaknesses and strengthen areas where the risk is greatest. Specific technological solutions also help reduce risk, for example, one of the most economical and effective is MFA (“multifactor authenticator”), when even if the login data is lost, it is difficult to use it without additional confirmation. Also, identity and access management systems (IAM), privileged access management solutions (PAM).

 

“General advice: security solutions should be made as simple as possible. It would be worth automating processes where people most often make mistakes. It is also very important to create a culture of responsibility, not fear, and to evaluate not only technologies, but also employee behavior,” the expert emphasizes.

 

R. Sasnauskas identifies the organization’s culture as one of the most important factors determining whether cybersecurity will become a natural part of everyday activities or will remain just a set of formal rules.

 

The role of the leader is more important than it seems

 

According to R. Sasnauskas, the role of the leaders of organizations in creating a cybersecurity culture is extremely important. “Managers must follow the same rules as all employees, use the same security tools and urge the organization to strictly follow the established processes,” the expert asserts.

 

However, the role of leaders is not limited to personal example. Based on good practices and international standards, such as NIST or ISO 27001, specialists responsible for cybersecurity should be directly subordinate to the organization’s management or have the opportunity to discuss cybersecurity issues directly with managers without bureaucratic obstacles. This is important not only when talking about existing risks or incidents that have occurred, but also when planning a security strategy, setting priorities, allocating the necessary resources and making decisions regarding investments in security solutions and measures.

 

According to the Atea representative, managers should also talk openly about security risks and incidents, share experiences and encourage employees to report observed threats or potential incidents as soon as possible without fear of being accused or punished.

 

Cybersecurity should not be perceived as the responsibility of the IT department alone. Security issues must reach the highest level of the organization's management and be assessed together with other operational risks.”

 

60 proc. kibernetinių incidentų lemia žmogaus klaidos, o DI situaciją dar labiau komplikuoja

 

„Atea“ reklama

“Pastarosiomis savaitėmis Lietuvą supurtė net keli didelio masto kibernetinio saugumo incidentai, dar kartą išryškinę, kokių pasekmių gali turėti kibernetinės saugos spragos ir nepakankama duomenų apsauga. Tuo tarpu iššūkiai kibernetinio saugumo srityje tik auga. Sparčiai tobulėjantis dirbtinis intelektas suteikia naujų galimybių ne tik organizacijoms, bet ir kibernetiniams nusikaltėliams – jiems tampa vis lengviau kurti įtikinamas apgaulės schemas ir paveikti žmonių elgesį. Be to, prasidedantis vasaros atostogų laikotarpis, kai darbuotojų budrumas tradiciškai sumažėja, tokių grėsmių poveikį gali dar labiau sustiprinti. Didžiausios IT sprendimų ir paslaugų teikėjos Baltijos šalyse „Atea“ IT sprendimų architektas Ramūnas Sasnauskas tvirtina, kad žmogus vis dar išlieka pažeidžiamiausia kibernetinio saugumo grandis, ir pataria, kaip organizacijoms mažinti žmogaus klaidų keliamas rizikas.

 

Vienoje didžiausių pasaulyje kibernetinio saugumo tyrimų ataskaitų „Verizon Data Breach Investigations Report 2025“ nurodoma, kad apie 60 proc. kibernetinių incidentų vienaip ar kitaip susiję su žmogiškuoju faktoriumi. Ši išvada gauta išanalizavus daugiau nei 22 tūkst. saugumo incidentų ir 12 tūkst. patvirtintų duomenų pažeidimų iš 139 šalių.

 

Žmogiškasis faktorius kibernetinio saugumo kontekste apima socialinę inžineriją, silpną prieigų valdymą, klaidingą sistemų konfigūraciją, saugumo taisyklių apeidinėjimą bei per vėlai pastebėtus incidentus. „Net ir turint pažangias technologines apsaugos priemones, daug kas priklauso nuo to, kaip žmonės jomis naudojasi, kokius sprendimus priima ir kaip greitai reaguoja į galimas grėsmes“, – sako R. Sasnauskas.

Socialinės inžinerijos grėsmes stiprina DI

 

Paklaustas, kuris iš žmogiškųjų faktorių šiandien organizacijoms kelia didžiausią riziką, „Atea“ ekspertas nedvejodamas įvardina socialinę inžineriją. 

 

„Ir nebūtinai todėl, kad ji dažniausia. Paveikti žmogų yra daug lengviau nei nulaužti gerai apsaugotą informacinę sistemą. Nusikaltėliams nereikia ilgų ir sudėtingų procesų ieškant pažeidžiamumų. Daug paprasčiau siųsti apgaulingus laiškus ar žinutes ir tikėtis, kad žmogus pats atskleis prisijungimo duomenis“, – teigia R. Sasnauskas.

 

Šiandien sukčiai naudoja ne tik tradicinius vadinamuosius „phishing“ laiškus. Vis dažniau pasitelkiami ir tokie apgaulės būdai kaip „smishing“ (apgaulingos SMS žinutės), „vishing“ (telefoninis sukčiavimas) ar „quishing“ (sukčiavimas naudojant QR kodus). „Pastarieji ypač sparčiai populiarėja, nes el. pašto filtrams sunkiau analizuoti QR kodus nei įprastas interneto nuorodas. Be to, QR dažniausiai nuskaitomas telefonu, kuris dažniausiai turi silpnesnes apsaugas nei kompiuteris“, – perspėja R. Sasnauskas.

 

Papildomų galimybių nusikaltėliams suteikia ir dirbtinis intelektas. „Su DI pagalba iš esmės dingo kalbos barjeras. Jei anksčiau sukčiavimo laiškus dažnai išduodavo gramatinės klaidos ar keistos formuluotės, šiandien DI leidžia sugeneruoti taisyklinga lietuvių kalba parašytus laiškus ar personalizuotas žinutes, apsimetant kolega ar vadovu“, – pasakoja ekspertas.

 

Dirbtinis intelektas taip pat leidžia kurti itin įtikinamas originalių interneto svetainių kopijas. Dar didesnį pavojų gali kelti vadinamieji „deepfake“ sprendimai, kai dirbtinio intelekto pagalba atkuriamas konkretaus žmogaus balsas ar vaizdas ir taip, pavyzdžiui, imituojamas vadovo nurodymas atlikti tam tikrus veiksmus. Anot R. Sasnausko, Lietuvoje apie tokias atakas dar neteko girdėti, tačiau Europoje, JAV ir Azijoje tokių atvejų jau pasitaiko.

 

Iš esmės DI nekeičia pagrindinio kibernetinių nusikaltėlių tikslo – paveikti žmogų, tačiau jis leidžia kurti vis labiau įtikinamus sukčiavimo scenarijus, todėl organizacijoms tampa dar svarbiau stiprinti darbuotojų budrumą ir gebėjimą atpažinti galimas grėsmes.

Saugumas dažnai aukojamas dėl patogumo

 

Vis dėlto socialinė inžinerija – tik viena dėlionės dalis. Reikšmingos ir kitos rizikos, kylančios dėl žmonių sprendimų bei kasdienių įpročių. Organizacijos vis dar susiduria su perteklinėmis ar netinkamai valdomomis prieigomis, klaidomis konfigūruojant sistemas, per vėlai pastebimais incidentų požymiais bei darbuotojų polinkiu apeiti saugumo taisykles, siekiant greičiau atlikti kasdienes užduotis.

 

„Kalbant apie polinkį apeiti saugumo taisykles, pagrindinė problema vis dažniau yra ne darbuotojų žinių stoka, o tai, kad pasirinkti saugumo įrankiai ar procesai būna nepatogūs, todėl juos ignoruoti tampa paprasčiau nei jais naudotis“, – sako R. Sasnauskas.

 

Prie to prisideda ir spaudimas, kai užduotis reikia atlikti kuo greičiau, taip pat rizikos nesuvokimas ar psichologiniai aspektai, tarkime, tikėjimas, kad „man nieko nenutiks“. Nemažai klaidų lemia nuovargis ar neatidumas.

 

Rizikas didina ir specialistų kompetencijų trūkumas projektuojant, diegiant, konfigūruojant ar prižiūrint saugumo sprendimus. Todėl vien technologijų įsigijimas savaime dar nereiškia didesnio saugumo – ne mažiau svarbu užtikrinti, kad jos būtų tinkamai pritaikytos ir valdomos.

Kaip sumažinti žmogiškojo faktoriaus keliamas rizikas?

 

Nors visiškai eliminuoti žmogiškųjų klaidų neįmanoma, organizacijos gali gerokai sumažinti jų sukeliamą riziką. R. Sasnauskas rekomenduoja pradėti nuo kelių esminių žingsnių.

 

Pirmiausia svarbu atlikti kibernetinio saugumo auditą, kuris padėtų įvertinti esamą situaciją, identifikuoti silpnąsias vietas ir nustatyti prioritetus.

 

Kitas ne mažiau svarbus žingsnis: nuolatinė darbuotojų edukacija. Darbuotojus reikėtų reguliariai informuoti apie naujas atakų rūšis, tarp jų ir DI pagalba kuriamas socialinės inžinerijos atakas, saugaus darbo principus, organizacijoje diegiamus saugumo sprendimus ir veiksmus, kurių reikia imtis pastebėjus incidentą. Edukacija turėtų apimti ne tik teorinius mokymus, bet ir praktines incidentų simuliacijas, pavyzdžiui, „phishing“ atakų imitavimą. Tokios pratybos leidžia darbuotojams geriau atpažinti grėsmes ir pasirengti realioms situacijoms.

 

„Atea“ ekspertas taip pat rekomenduoja organizacijoms nusimatyti ilgalaikius saugumo tikslus bei strategiją, reguliariai vertinti silpnąsias vietas ir stiprinti tas sritis, kuriose rizika didžiausia. Rizikas mažinti padeda ir konkretūs technologiniai sprendimai, pavyzdžiui, vienas ekonomiškiausių ir efektyviausių yra MFA („multifactor autentificator“), kai net praradus prisijungimo duomenis sunku juos panaudoti be papildomo patvirtinimo. Taip pat tapatybių ir prieigų valdymo sistemos (IAM), privilegijuotų prieigų valdymo sprendimai (PAM).

 

„Bendras patarimas: saugumo sprendimus reiktų daryti kuo paprastesnius. Vertėtų automatizuoti procesus ten, kur žmonės dažniausiai klysta. Taip pat labai svarbu kurti atsakomybės, o ne baimės kultūrą ir vertinti ne tik technologijas, bet ir darbuotojų elgseną“, – pabrėžia ekspertas.

 

Būtent organizacijos kultūrą R. Sasnauskas įvardija kaip vieną svarbiausių veiksnių, lemiančių, ar kibernetinis saugumas taps natūralia kasdienės veiklos dalimi, ar liks tik formalių taisyklių rinkiniu.

Vadovo vaidmuo – svarbesnis nei atrodo

 

Pasak R. Sasnausko, kuriant kibernetinio saugumo kultūrą itin svarbus vaidmuo tenka organizacijų vadovams. „Vadovai turi laikytis tų pačių taisyklių kaip ir visi darbuotojai, naudotis tais pačiais saugumo įrankiais ir raginti organizaciją kruopščiai laikytis nustatytų procesų“, – tvirtina ekspertas.

 

Tačiau vadovų vaidmuo neapsiriboja asmeniniu pavyzdžiu. Remiantis gerosiomis praktikomis bei tarptautiniais standartais, tokiais kaip NIST ar ISO 27001, už kibernetinį saugumą atsakingi specialistai turėtų būti tiesiogiai pavaldūs organizacijos vadovybei arba turėti galimybę be biurokratinių kliūčių tiesiogiai su vadovais aptarti kibernetinio saugumo klausimus. Tai svarbu ne tik kalbant apie esamas rizikas ar įvykusius incidentus, bet ir planuojant saugumo strategiją, nustatant prioritetus, skiriant reikalingus resursus bei priimant sprendimus dėl investicijų į saugumo sprendimus ir priemones.

 

„Atea“ atstovo teigimu, vadovai taip pat turėtų atvirai kalbėti apie saugumo rizikas ir incidentus, dalintis patirtimis bei skatinti darbuotojus kuo greičiau pranešti apie pastebėtas grėsmes ar galimus incidentus be baimės būti apkaltintiems ar nubaustiems.

 

Kibernetinis saugumas neturėtų būti suvokiamas tik kaip IT skyriaus atsakomybė. Saugumo klausimai turi pasiekti aukščiausią organizacijos vadovų lygmenį ir būti vertinami kartu su kitomis veiklos rizikomis.”