1 UVOD
Informacijsko-komunikacijske tehnologije (IKT) in z
njimi kibernetski prostor so postali pomemben del
vsakdana slehernega pravnega subjekta, najsi bo
posameznika ali organizacije. Pri zadnjih je adopcija
sodobnih tehnologij, ki se povezujejo prek
kibernetskega prostora, še zlasti pomembna, saj so
organizacije čedalje bolj vpete v elektronsko poslovanje
na vseh ravneh [1], kar pričakujejo poslovni partnerji,
državni organi in odjemalci. Razvoj IKT je s tem
povzročil še pred tremi desetletji nesluteno razširjenost
uporabe. Spletne aplikacije so nepogrešljivi
komunikacijski kanali, ki jih podjetja, posamezniki in
državni organi uporabljajo za manipulacijo (objavljanje,
izmenjavo, hranjenje in obdelovanje) z vsebinami,
namenjenimi zainteresirani javnosti. Pestrost različnih
informacij zahteva kompleksno tehnološko
infrastrukturo, s povečevanjem kompleksnosti tehnične
infrastrukture pa eksponentno narašča tudi težavnost
zagotavljanja ustrezne varnosti pred potencialno
kibernetsko kriminaliteto [2]. Finančne izgube podjetij
na svetovni ravni se merijo v stotinah milijard evrov in
so se tako pred nekaj leti gibale med 0,4 in 1,4 odstotka
bruto svetovnega proizvoda [3]. V letu 2016 se letna
izguba približuje dvema odstotkoma bruto svetovnega
proizvoda in z 21-odstotno rastjo dosega povprečno 9,5
milijona ameriških dolarjev letne izgube na posamezno
podjetje [4].
Razširjenost in prenosnost sodobnih tehnologij, ki
omogočajo vstop v kibernetski prostor, povzroča
zameglitev še pred dobrima dvema desetletjema jasne
meje med delovanjem posameznika v zasebnem
življenju in delovanjem v imenu in za organizacijo, v
kateri je zaposlen [5]. Za informacijsko varnost
organizacije je  odgovorna predvsem organizacija sama
Prejet 12. november, 2017
Odobren 21. januar, 2018
14  MIHELIČ, VRHOVEC
– z ustrezno tehnično zaščito in sprejemanjem ter
izvajanjem preostalih politik zagotavljanja
informacijske varnosti v organizaciji. Z najrazličnejšimi
tehnikami socialnega inženiringa, pogosto v povezavi s
tehnično bolj ali manj zahtevnim hekanjem, nevarno
rabo računalniških naprav [6] od doma iz domačega
omrežja, pa so organizacije lahko žrtve kibernetske
kriminalitete tudi posredno, prek informacijsko-
varnostno slabo ali povsem neozaveščenih zaposlenih.
Na primer: ko se uporabnik prijavi v intranet
organizacije, v kateri je zaposlen, z domačega
računalnika, na katerem je nameščena zlonamerna
programska oprema, lahko s tem razkrije dostopne
podatke in omogoči dostop nepooblaščenim osebam, ki
s tem lahko pridobijo zaupne podatke in povzročijo
materialno škodo. Širjenje dostopa do interneta in
nerazumevanje delovanja tehnologije za zaslonom je
močno orodje za lažje zlonamerno izkoriščanje
sistemskih ranljivosti IKT, znanja uporabnikov in
posledično omogoča multiplikacijo socialnih in
ekonomskih negativnih posledic [7]–[9].
V tem prispevku predlagamo nov model samozaščite
v kibernetskem prostoru na podlagi pregleda literature
na relevantnih področjih. Predlagani model postavlja
teoretični okvir, ki združuje najbolj relevantne teorije, in
sicer varnostno-motivacijsko teorijo, teorijo izogibanja
tehnološkim grožnjam in teorijo psihološke reaktance.
V prispevku predlaganega modela ne testiramo, a kljub
temu podajamo smernice, kako bi ga lahko empirično
preverili, pri čemer navajamo ključne izzive, s katerimi
se pri tem soočamo.
V naslednjem poglavju so predstavljeni rezultati
pregleda relevantne literature. V tretjem poglavju je
predstavljen predlagani model. V zadnjem poglavju je
predstavljena diskusija, vključno s smernicami za
empirično testiranje predlaganega modela, in ključni
sklepi prispevka.
2 TEORETIČNA IZHODIŠČA
Za namene oblikovanja predlaganega teoretičnega
modela je bil opravljen sistematičen pregled znanstvene
literature, ki obravnava tematiko informacijske varnosti,
usvajanja informacijskih tehnologij, samo-varovanja,
varnostno-zaščitnega vedenja, psiholoških dejavnikov
odločanja, prepoznavanja groženj in soočanja z njimi. S
tem smo identificirali relevantne teorije ter oblikovali
ključne konstrukte za graditev lastnega modela. Pregled
je bil opravljen februarja 2017 v bazi Web of Science.
Iskanje je bilo opravljeno s ključnimi besedami in
njihovimi kombinacijami: information system* AND
threat (n = 45); protect* motivat* AND information* (n
= 8); technolog* AND threat* (n = 310); information
security AND threat* (n = 73); computer AND threat*
(n = 109); resistance AND technolog* (n = 651);
psychological reactance (n = 118); efficacy AND
information* technolog* (n = 30); psychological
reactance AND information system* (n = 2);
psychological reactance AND threat* (n = 37).
Tabela 1: Kriteriji za vključitev/izključitev iz pregleda
literature
Kriterij za vključitev Kriterij za izključitev
Tematska ustreznost Tematska neustreznost
Članek ne spada na področje
informacijske varnosti,
vendar pripomore k
razumevanju naslovne
tematike
Članek ne spada na področje
informacijske varnosti in ne
pripomore k razumevanju
naslovne tematike
Omogočen dostop do
celotnega besedila članka
prek sistema UKM
Dostop le do povzetka članka
Izvirni znanstveni članek v
znanstveni reviji
Ni izvirni znanstveni članek v
znanstveni reviji
Zadetki so bili razvrščeni po citiranosti, od najpogosteje
citiranega do najredkeje citiranega, in ročno pregledani.
Iskanje ni bilo omejeno z letnico objave. Na podlagi
kriterijev, predstavljenih v tabeli 1, smo v pregledu
literature uporabili le izbrane zadetke. V pregled
literature smo uvrstili tudi članke, ki jih nismo izločili
neposredno z opisanim iskalnim postopkom, a so nanje
referenčno nakazovali drugi članki, vključeni v naš
pregled. Končno število relevantnih člankov je 44.
Pregled teoretičnih konstruktov, ki smo jih identificirali
v relevantnih člankih, predstavljamo v tabeli 2.
Tabela 2: Pregled teoretičnih konstruktov in virov
Konstrukt Viri
Verjetnost uresničitve grožnje [5], [8], [10]–[20]
Posledice uresničitve grožnje [5], [8], [10]–[20]
Strah [10], [11], [13], [21]–[23]
Stopnja zaskrbljenosti [12], [15]
Pričakovane koristi [19], [24]–[26]
Pričakovane izgube [5], [10], [11], [13], [15]–
[17], [19]–[21], [24]
Neto koristi [24], [25]
Samoučinkovitost [5], [8], [10]–[21], [23],
[27]–[33]
Prepričanje o učinkovitosti ukrepov [10]–[13], [15], [16], [18]–
[20], [23], [28], [33], [34]
Ogrožanje posameznikove svobode [35]–[55]
Nagnjenost k psihološki reaktanci [35]–[55]
Psihološka reaktanca [35]–[55]
Čeprav organizacije, da bi zagotovile zaupnost,
integriteto in razpoložljivost informacij, v zadnjem času
namenjajo čedalje več sredstev za razvoj tehnologije in
procese za izvajanje informacijsko-varnostnih ukrepov,
pri ohranjanju varnega računalniškega okolja igrajo
pomembno vlogo ljudje. Kljub ustreznim tehničnim
ukrepom so namreč zaposleni neposredno izpostavljeni
grožnjam (tako v službenem kot v domačem okolju) in
so tako najšibkejši člen v verigi zagotavljanja
informacijske varnosti organizacije kot celote [1], [8].
Ključna pozornost pri prizadevanju zagotoviti boljšo
informacijsko varnost mora biti tako usmerjena v
iskanje načinov, kako končne uporabnike (npr.
MODEL SAMOZAŠČITE V KIBERNETSKEM PROSTORU 15
zaposlene) motivirati za varno rabo IKT, da bi s tem
zaščitili osebna in organizacijska informacijska sredstva
[11]. Avtorji [1], [13], [15]–[18], [56], [57], ki so v
zadnjem času s teoretičnimi pristopi skušali prikazati
samozaščitne procese za potrebe informacijske varnosti
ali v povezavi z njo (najsi bo s soočanjem ali z
odmikom), so svoje modele najpogosteje opirali na
varnostno-motivacijsko teorijo [23]. Med (za naš
prispevek) pomembnejšimi je tudi teorija izogibanja
tehnološkim grožnjam [17]. Da bi lahko bolje
predvidevali samovarovanje zaposlenih v organizacijah,
je omenjenim modelom treba dodati še element odnosov
med nadrejenimi in podrejenimi v podjetju in vpliv
prepričevalnega komuniciranja. Gre za ključni dejavnik
pri odločitvah posameznikov o varnostnem ukrepanju,
saj se na podlagi načina komunikacije in medsebojnih
odnosov v organizacijah posamezniki odločajo, kako in
v kolikšni meri bodo sledili navodilom nadrejenih.
Zaradi teh predvidevanj v svoj model vključujemo
element psihološke reaktance kot psihološko reakcijo
posameznika, ki nastane, ko posameznik meni, da je
bilo njegovo svobodno vedenje ogroženo [35], [47],
[58].
2.1 Varnostno-motivacijska teorija
Varnostno-motivacijska teorija (angl. protection
motivation theory – PMT) [10], [22] je bila sprva
uporabljena za razumevanje in spreminjanje
posameznikovega odnosa do zdravja in odzivanje na
sporočila o zdravstvenih tveganjih. Na splošno
predvideva dva glavna kognitivna procesa: ocenjevanje
ogroženosti in ocenjevanje obvladovanja /
spoprijemanja in sestoji iz šestih komponent, ki vplivajo
na zavzemanje ali opuščanje motivacije za varnostno
vedenje: 1. zaznana resnost grožnje (uporabnikovo
prepričanje o kritičnosti posledic oz. obsegu potencialne
škode), 2. zaznana verjetnost uresničitve grožnje
(uporabnikovo prepričanje o stopnji ranljivosti
varnostnih napadov), 3. zaznana učinkovitost
preventivnih ukrepov, 4. zaznana samoučinkovitost
posluževanja preventivnih ukrepov (ocenjevanje
sposobnosti za učinkovito spoprijemanje z grožnjo z
ovrednotenjem (samo)učinkovitosti varnostnih
ukrepov), 5. izkupiček varnostnega odzivanja in 6.
stroški z odzivanjem na grožnje. V prvotnem modelu
[22], ki še vedno ostaja (pogosto napačno) najpogosteje
citiran in je bil razvit na podlagi konceptov pričakovane
vrednosti (angl. expectancy-value concepts), so bile
predstavljene le prve tri komponente. Model je bil
dopolnjen s tremi dodatnimi komponentami v reviziji
[10].
Prvotna različica varnostno-motivacijske teorije
skuša določati medsebojne odnose glavnih komponent
predstavljenega varnostno-motivacijskega modela, z
namenom razumevanja vpliva sporočilne komunikacije,
ki povzroča strah ciljne publike. Omenjena sporočila so
sestavljena iz dveh osnovnih delov: 1. zbujanje strahu in
2. priporočila za vedenje.  Avtorji so tako izvorno
predvidevali, da povzročanje oziroma izzivanje strahu o
neki zdravstveni nevarnosti in dovzetnosti za bolezni
določene ciljne populacije ter priporočila o vedenju s
predlogi varnostnega ukrepanja zmanjšuje ali celo
odpravlja tveganje za okužbo z določeno boleznijo [23].
Motivacija za zaščito se pojavi, ko so ljudje
izpostavljeni nevarnosti za svoje zdravje ali življenje.
Izpostavljenost nevarnosti za zdravje sproži dva
kognitivna procesa ocenjevanja, ki izhajata iz Lazarus-
Folkmanove teorije spoprijemanja s stresom [59]. Gre
za procesa 1. ocenjevanja ogroženosti (kognitivna
ocena, ki določa, zakaj in do kakšne mere je določena
situacija za posameznika stresna) in 2. spoprijemanja s
stresom (proces, s katerim posameznik ureja situacijske
odnose in uravnava čustva) [60]. Omenjena procesa
vodita do prilagoditvenega ali neprilagoditvenega
odzivanja [61] (slika 1).
Motivacije za varnostno ukrepanje ni mogoče meriti
neposredno, zato je v raziskavah mogoče pogosto
zaslediti konstrukt namere za varnostno
ukrepanje/vedenje, ki je pomemben napovedovalec
človekovega vedenja [62].
Dojemanje in razumevanje nevarnosti sta sestavljena
iz dveh dejavnikov: subjektivne zaznave verjetnosti
grožnje oziroma ranljivosti in subjektivne zaznave
ovrednotenja grožnje (zaznava resnosti grožnje). To
pomeni, da posameznik pri presoji nevarnosti zase
najprej oceni resnost grožnje in verjetnost njene
uresničitve, nato pa jih primerja s koristmi, ki jih ima z
Slika 1: Grafični prikaz modela varnostno-motivacijske teorije [10]
16  MIHELIČ, VRHOVEC
neprilagoditvenim odzivanjem. Posameznik lahko
spremeni svoje obstoječe vedenje in/ali pa ga spremeni,
kar je odvisno od vrste nevarnosti, lastnega dojemanja
ranljivosti ter notranjih  in zunanjih zadovoljstev,
povezanih s spremembami vedenja [61].
Preden posameznik začne spreminjati lastno vedenje,
se mora zavedati, da je izpostavljen tveganjem, katerih
koristi ne odtehtajo nevarnosti posledic, če nadaljuje s
svojim obstoječim neželenim vedenjem. Ko posameznik
opazi nevarnost situacije in se posledic ustraši, se začne
iskanje različnih strategij soočanja z grožnjo. Pri
tehtanju izgub in koristi ob prilagoditvenem ali
neprilagoditvenem vedenju se v povezavi z zaznano
učinkovitostjo predlaganega vedenja (tj. zaznana
učinkovitost), zaznano sposobnostjo, da se predlagano
vedenje izvrši (tj. zaznana samoučinkovitost) in z
ocenjenimi izgubami (tj. izgube), povezanimi s
spremembami vedenja [10], [63].
Učinkovitost varnostnega ukrepanja in
samoučinkovitost povečujeta verjetnost spreminjanja
vedenja (tj. varnostnega ukrepanja), medtem ko ocena
izgub v smislu izgube časa in vloženega truda sproži
odzivanje in sredstva, potrebna za varnostno ukrepanje,
s čimer se verjetnost reakcije posameznika na tveganje
(tj. namera za varnostno ukrepanje) zmanjšuje. Teorija
predvideva, da je razmerje med omenjenimi elementi
procesa soočanja z grožnjami linearno in dopolnjujoče
[10], [23]. Model prav tako predvideva, da kombinacija
navedenih dejavnikov narekuje moč motivacije za
varnostno ukrepanje. Dejavniki morajo biti podani
kumulativno. Odsotnost kateregakoli elementa pripelje
do pomanjkanja motivacije za soočanje z grožnjo.
Varnostno-motivacijska teorija je zaradi svoje
vsestranskosti skozi različne predelave prerasla v
splošno teorijo vedenja pri soočanju s potencialnimi
grožnjami, med drugimi na področjih varnostno
usmerjenega vedenja v organizacijah [15], varovanja
informacijskih sistemov [20], [27] in samovarovanja v
kibernetskem prostoru [16], [21].
2.2 Teorija izogibanja tehnološkim grožnjam
Teorija izogibanja tehnološkim grožnjam (angl.
technology threat avoidance theory – TTAT) [17] se
pogosto napačno citira kot model PMT [11] in temelji
na predpostavki, da je posameznik na eni strani ob
zaznani tehnološki grožnji motiviran za aktivno
izogibanje grožnji s  sprejemanjem varnostnih ukrepov
(če zazna, da se je grožnji mogoče s temi ukrepi
izogniti), na drugi strani pa se z grožnjami sooča
pasivno – s čustvenim odzivanjem [17]. PMT in TTAT
si sicer delita oba osnovna kognitivna procesa [18],
katerih komponente so v TTAT poimenovane nekoliko
drugače, vsebinsko pa so domala nespremenjene:
učinkovitost ukrepanja (angl. response efficacy) je tako
preimenovana v varnostno učinkovitost (angl. safeguard
effectiveness); stroški ukrepanja (angl. response cost) so
preimenovani v stroške varovanja (angl. safeguard
cost); motivacija za zaščito (angl. protection motivation)
pa je preimenovana v motivacijo za izogibanje (angl.
avoidance motivation) [5].
Kljub temu se omenjena modela pomembno
razlikujeta v procesih soočanja, kjer se TTAT močno
opira na teorijo spoprijemanja [59]. Soočanje z
grožnjami TTAT deli v dve smeri: 1. čustveno soočanje
z grožnjami (angl. emotion focused coping) in 2.
problemsko soočanje z grožnjami (angl. problem
focused coping). Grafični prikaz modela je razviden na
sliki 2. V prvem primeru gre za situacijo, ko oseba na
stresne dejavnike gleda kot odporne na spremembe, ki
bi jih osebi uspelo povzročiti s svojim varnostnim
vedenjem, in posledično začne prevladovati čustveno
soočanje z grožnjami. V drugem primeru pa posameznik
oceni, da se je mogoče z grožnjo soočiti z ukrepanjem;
posledično začne prevladovati soočanje, usmerjeno v
reševanje problemov [17], [59]. Zaradi tedanjega
pomanjkanja velikega števila raziskav, povezanih z
informacijsko-tehnološkimi grožnjami, je bila TTAT
razvita s sintetiziranjem različnih raziskav s področja
psihologije, zdravstvene nege, obvladovanja tveganj in
informacijskih sistemov [64].
Slika 2: Grafični prikaz modela teorije izogibanja tehnološkim grožnjam [17]
MODEL SAMOZAŠČITE V KIBERNETSKEM PROSTORU 17
Slika 3: Grafični prikaz modela TTAT, ki je bil empirično preverjen [5]
Avtorja sta svoja predvidevanja iz teoretičnega
oblikovanja teorije skušala preveriti tudi z empirično
raziskavo, izhajajoč iz modela, ki je razviden na sliki 3.
Kot je razvidno, se testirani model (slika 3) v
bistvenih povezavah razlikuje od teoretičnega modela
(slika 2). V teoretičnem modelu avtorja predvidevata, da
na zaznano ogroženost vplivata zaznana resnost
posledic in zaznana ranljivost za grožnje pri
ocenjevanju tveganja, zaznana učinkovitost zaščitnih
ukrepov, zaznani stroški ukrepanja in lastna
učinkovitost pri ukrepanju pa vplivajo na zaznano
možnost izogibanja pri ocenjevanju soočanja z grožnjo.
Oba ciljna konstrukta (zaznana ogroženost in zaznana
možnost izogibanja) nato vplivata na motivacijo za
izogibanje pri problemsko usmerjenem soočanju z
grožnjo in na čustveno usmerjeno soočanje. V
testiranem modelu pa avtorja enako kot v teoretičnem
modelu predvidevata, da na zaznano ogroženost
neposredno vplivata zaznana resnost posledic in
zaznana ranljivost za grožnje, preostali dejavniki pa
skupaj z zaznano ogroženostjo vplivajo neposredno na
motivacijo za izogibanje grožnji. Statistična analiza je
pokazala statistično značilnost vseh vplivov, prikazanih
na modelu, prikazanem na sliki 3 [5]. Avtorja sprememb
in razlik v predvidevanjih o korelacijah in vplivih med
različnimi konstrukti med teoretičnim in testiranim
modelom v svojem prispevku ne pojasnita. Prav tako ne
pojasnita, zakaj v empirično testiranje modela nista bila
vključena konstrukta zaznane možnosti izogibanja
grožnji in čustvenega soočanja z grožnjo.
2.3  Teorija psihološke reaktance
Osrednja novost v prispevku predlaganega vedenjskega
modela je vključitev psihološke reaktance. Omenjenemu
psihološkemu odzivu v slovenskem prostoru ni
namenjene skorajda nikakršne pozornosti. Teorija
psihološke reaktance je bila pri nas povezana s
socialnim delom [65] in preiskovalno psihologijo [66].
Strokovnih in znanstvenih zapisov v slovenščini na
drugih področjih skorajda ni mogoče zaslediti. Nekoliko
obsežneje je omenjena teorija v smislu teoretsko-
analitičnih pristopov, obravnavana v tuji literaturi,
vendar se je tudi v tujini vprašanje psihološke reaktance
in ravnanja oz. pristopanja k vedenju odpora šele
dodobra začelo raziskovati s koncem osemdesetih in v
začetku devetdesetih let prejšnjega stoletja [43], [49]. V
nadaljevanju se osredinjamo na psihološko reaktanco v
odnosih med nadrejenimi in podrejenimi zaposlenimi v
organizacijah ter njenim vplivom na odzive podrejenih
na navodila o informacijsko-varnostnem ukrepanju.
Oče teorije psihološke reaktance, ki jo nekateri
slovenski avtorji prevajajo tudi kot teorijo reakcije
nasprotovanja [65], je Jack W. Brehm, ki je teorijo
zasnoval leta 1966 v monografiji Teorija psihološke
reaktance (v izvirniku: A theory of psychological
reactance) [67]. O psihološki reaktanci govorimo, ko
subjekt oblikuje reakcijo nasprotovanja. Teorija
predvideva, da ima vsak subjekt svobodo lastnega
vedenja v kateremkoli trenutku. Če je katerokoli od teh
vedenj ogroženo ali onemogočeno, subjekt oblikuje
nasprotno reakcijo – protireakcijo [47]. Reakcija
nasprotovanja, imenovana psihološka reaktanca, se
pogosto oblikuje na način enega ali več različnih
neposrednih ali posrednih vzorcev odgovorov,
oblikovanih z namenom povrniti si ogroženo ali odvzeto
svobodo [65]. Iz narave stvari izhaja, da je pogoj za
nastanek psihološke reaktance stik med (najmanj)
dvema subjektoma. Poudariti velja, da v dani situaciji ni
nujno, da se povzročitelj stresa (omejevanja svobode)
zaveda, da drugemu subjektu omejuje svobodo;
pomembno je le, da dejanje kot tako (odvzemanje ali
omejevanje njegove svobode) dojema tisti subjekt, ki je
temu stresu izpostavljen.
Psihološka reaktanca je neposredna čustvena
reakcija, ki sproži nasprotovanje situaciji, ki ogroža ali
omejuje posamezna svobodna vedenja. Nastane tedaj,
ko je nekdo resnično prisiljen sprejeti poglede ali
18  MIHELIČ, VRHOVEC
vstopiti v določene odnose in tako oblikuje vedenja, s
katerimi si pribori svobodo nazaj (svobodo povrne v
izhodiščno stanje). Subjekt, ki je izpostavljen stresu,
lahko zaradi siljenja k sprejetju določenih stališč ali
prepričanj zavzame ali okrepi nasprotna stališča in
izkazuje odpor ob nadaljnjem prepričevanju [47].
Reaktanca lahko sproži tudi vedenje, s katerim subjekt,
ki je stresu izpostavljen, nasprotuje zahtevam ali
pričakovanjem [68] in ustvari negativen odnos do
avtoritarno nastopajočega subjekta [55], [66].
Subjekti, ki so izpostavljeni stresu in čutijo
omejevanje ali odvzemanje svobode, se lahko na nastalo
situacijo odzovejo na različne načine – oblikujejo enega
ali več različnih neposrednih ali posrednih vzorcev
odgovorov. Rooney [69] te vzorce deli na:
1. Poskus neposredne povrnitve svobode v
izhodiščno stanje. Gre za poseganje po
neposrednih sredstvih povračanja v izhodiščno
stanje, kar pomeni, da se subjekt ne ozira na
posledice njegovega ravnanja.
2. Poskus posredne povrnitve svobode – iskanje
“luknje” v pravilu oz. zahtevi. Gre za
spoštovanje tehničnih pravil ob spodkopavanju
vsebine in namena tega pravila. Takšno
vedenje se pogosto označuje tudi kot pasivno-
agresivno.
3. Poskus zmanjševanja oblikovanja protireakcije
z opazovanjem drugih ali spodbujanjem
drugih, naj si znova pridobijo pravico.
Oblikovanje protireakcije se zmanjša bodisi z
opazovanjem poskusov drugih subjektov v
procesu povračanja svobode v izhodiščno
stanje bodisi s poskusi spodbujanja drugih, da
izvajajo prepovedana vedenja.
4. Prepovedano vedenje postaja čedalje višje
vrednoteno. Če je subjektu posredno ali
neposredno prepovedano izražanje njihove
reaktance, se želja po prepovedanem vedenju
še poveča. To lahko potrdijo posamezniki,
katerim se je med odvajanjem zasvojenosti od
cigaret želja po kajenju še povečala.
5. Sovražnost ali agresivnost do vira groženj.
Reakcijo nasprotovanja lahko subjekt izrazi v
obliki sovražnosti ali agresivnosti do vira
ogrožanja, tudi tedaj,ko je malo verjetno, da bi
subjektu uspelo povrniti svobodo v izhodiščno
stanje. Raziskave na področju reaktance
kažejo, da so k tovrstnim reakcijam najbolj
nagnjeni adolescenti.
Navedene oblike odzivov (reaktance) se zdijo znane in
spominjajo na vedenja, ki jih je mogoče razumeti kot
slabšalno definicijo odpora. Teorija reaktance je tako
podobna “preokvirjeni” definiciji odpora pri opisovanju
odzivov na neko nezaželeno spremembo, v ustaljenem
načinu vedenja. Gre namreč preko tega
“preokvirjenega” pogleda, da bi ustvarila osnovo
teoretičnim in empiričnim raziskavam, ki lahko
pripomorejo k napovedovanju, kdaj bodo reakcije
nasprotovanja nastale in kako jih je mogoče zmanjšati
[69].
3 PREDLAGANI MODEL SAMOZAŠČITE
V tem prispevku predlagamo nov model samozaščite, ki
temelji na predstavljenih rezultatih pregleda literature.
Model samozaščite združuje predstavljene modele v
enotno teorijo, ki razlaga, kako različni elementi
predstavljenih modelov vplivajo na namero
posameznikov za ukrepanje s tehtanjem koristi in izgub
informacijsko-varnostnih ukrepov (neto koristi). Na
sliki 4 so predstavljeni konstrukti, ki sestavljajo
predlagani model samozaščite, in njihove teoretično
predvidene medsebojne korelacije.
Slika 4: Teoretična osnova samozaščitnega vedenja v kibernetskem prostoru v organizacijah
MODEL SAMOZAŠČITE V KIBERNETSKEM PROSTORU 19
Prvi sklop: Zaznana verjetnost uresničitve grožnje,
zaznana resnost posledic, stopnja zaskrbljenosti in strah
Na odziv na grožnje, ki ni nujno vedno usmerjen v
varnostno ukrepanje, sta potrebni predvsem zaznava in
pravilna identifikacija grožnje, kumulativno pa morata
biti izpolnjena še dva pogoja: subjekt mora zaznati
možnost, da lahko do uresničitve grožnje resnično pride,
in prepoznati resnost njenih posledic. Količina
identificiranih informacijsko-varnostnih groženj, visoka
stopnja verjetnosti in resnost posledic uresničitve
groženj zvišujejo stopnjo zaskrbljenosti pred
potencialnimi izgubami uresničitve informacijsko-
varnostnih groženj. Za potrebe našega modela stopnjo
zaskrbljenosti razumemo kot raven, po kateri zaposleni
verjame, da je njegovo informacijsko imetje ogroženo
[15]. Ena pomembnejših komponent, ki jo je v svoj
revidirani PMT-model vključil tudi Rogers [10], [23],
pozneje pa v svoje modele, ki temeljijo na PMT ali pa
njegove izvedenke [11], [13], je strah. Gre za vzvod, ki
ga vodstveni delavci pogosto uporabljajo, da bi dosegli
želeni učinek. Informacijsko-varnostni kadri si namreč
prizadevajo za uskladitev ukrepov končnih uporabnikov
(zaposlenih), z želeno varnostno držo skozi
prepričevalno komuniciranje. Pogosto je v omenjeni
komunikaciji vključeno prepričevanje z določeno mero
strahu, čeprav z vidika informacijske varnosti še ni
jasno, kako in ali sploh bodo ustrahovalna navodila
sprejeta in kako bodo v končni posledici vplivala na
dejanja končnih uporabnikov [13]. V predstavljenem
modelu tako predvidevamo, da strah pred izgubami
pozitivno vpliva na pričakovane koristi od varnostnega
ukrepanja, saj se z večanjem strahu pred izgubami
povečujejo tudi pričakovane koristi varnostnega
ukrepanja. Omenjeni strah lahko razumemo na
korporacijski ravni kot strah menedžmenta pred
informacijskimi in finančnimi izgubami podjetja zaradi
varnostnega neukrepanja ali pa na ravni končnih
uporabnikov kot strah pred kaznovanjem s strani
organizacije ali pa kot strah po izgubi lastne
informacijske varnosti. Odsotnost kateregakoli elementa
pri zaznavanju navadno rezultira v neodzivanju na
grožnje. Celoten proces, predvsem elementa zaznane
verjetnosti uresničitve in posledic uresničitve, je močno
zaznamovan z žrtvino optimistično pristranskostjo, ki
predvidoma pogosto pomeni oviro za nadaljevanje
procesa – motivacijo za samovarovanje v obliki neto
koristi (angl. net benefits) na eni strani ali neodzivanju
na grožnje na drugi.
Drugi sklop: Psihološka reaktanca
Potencialna psihološka reaktanca je element, ki ga prvič
vključujemo v model, katerega temelj je PMT. Teorija
predvideva, da reaktanca nastane, ko posameznik občuti
omejevanje svojih svobod, kar bi lahko razumeli, da se
pojavlja ob vsakem omejevanju svobode, vendar pa se
lahko razlikuje po intenzivnosti odziva [39], [42], [49].
Reaktanca je odvisna predvsem od razumevanja
posameznika, da določeno svobodo ima in lahko s
svobodo prosto razpolaga. Tako se lahko (izražena)
reaktanca pojavi le v primeru ogrožanja tiste svobode,
katere se posameznik zaveda in jo hkrati vrednoti. Med
vrednotenjem določene svobode in reaktanco tako
obstaja pozitivna korelacija – čim više je dotična
svoboda vrednotena, tem močnejša bo reaktanca.
Podobno bo reaktanca močnejša s stopnjevanjem
pomembnosti ali edinstvenosti ogrožene svobode za
zadovoljevanje posameznikovih potreb. [69]. Na drugi
strani pa v model vključujemo nagnjenost posameznika
k reaktančnim odzivom, torej predvidevamo obstoj
individualnih razlik, ki vplivajo na pojavnost in moč
psihološke reaktance. Kot primere lahko podamo
raziskave dejavnikov, ki značilno vplivajo na omenjeno
nagnjenost, in sicer na etnično pripadnost [54], [70],
spol [43], [44], [71], [72], starost [43], [54] in čustveno
inteligentnost [44]. S tem predvidevamo, da je
potencialna psihološka reaktanca pozitivno povezana s
pričakovano izgubo zaradi varnostnih ukrepov.
Tretji sklop: Samoučinkovitost in zaznana učinkovitost
ukrepov
Zaradi informacijsko-varnostnega ukrepanja nastanejo
tudi izgube, najsi bodo v obliki finančnih izdatkov, ali
pa izgube časa, udobja in truda, in kot taki negativno
vplivajo na motivacijo po varnostnem ukrepanju [15].
Na drugi strani učinkovitost izbranega varnostnega
ukrepanja in visoka samo-učinkovitost zmanjšujeta
pričakovano izgubo zaradi varnostnih ukrepov.
Samoučinkovitost avtorji pogosto navajajo kot ključni
dejavnik, ki vpliva na pogostnost odzivanja na grožnje
[16], vključuje vedenja sprejemanja in spoprijemanja z
grožnjami ter ima vzročni učinek v obeh procesih
modela – zaznavanju in soočanju [1]. V procesu
evalvacije samoučinkovitosti pri odločitvi, da bo subjekt
sam pridobil ustrezna znanja, obstaja nevarnost zanke,
kjer v nekem obdobju pridobljena znanja niso zadostna
za uspešno soočanje z grožnjami. Zaradi več zaporednih
neuspelih poskusov se subjekt lahko znajde v zanj
brezizhodnem položaju, kar pripelje do neodzivanja na
grožnje, in to kljub začetnemu interesu aktivnega
soočanja z grožnjo. Gre za pojav priučene nemoči [73],
ki temelji na prepričanju osebe, da dogodkov v svojem
življenju ne more nadzorovati. Ta temelji na preteklih
izkušnjah pomanjkanja nadzora nad dogajanjem in
mnenju, da vsi napori vodijo k neuspehu. Na ta pojav
morajo biti pozorne predvsem manjše
organizacije/podjetja, kjer je delovno okolje pogosto
označeno kot obremenjeno, hektično [74] z visoko
stopnjo razdrobljenosti [75] in odločanjem, ki temelji na
hevrističnem sistemu vodenja [76], [77].
20  MIHELIČ, VRHOVEC
4 RAZPRAVA IN SKLEP
V prispevku predlagani teoretični model združuje
predstavljena teoretična izhodišča in prek treh vidikov
zaznavanja in soočanja z grožnjami skuša oblikovati
nov pogled na samovarovanje v kibernetskem prostoru
v organizacijah. V nadaljnjem raziskovanju in
empiričnem testiranju predlaganega modela predlagamo
anketno raziskovanje v večjih organizacijah, kjer
zaposleni, uporabniki IKT informacijske tehnologije
uporabljajo vsakodnevno in so ključnega pomena za
njihovo delo. Posebno pozornost je treba nameniti
vidiku, ki se osredinja na odpor posameznika do
informacijsko-varnostnega ukrepanja – psihološko
reaktanco. Psihološka reaktanca namreč na namero za
ukrepanje vpliva le, če je ukrepanje izrecno zahtevano
ali pričakovano. In naprej, med psihološko reaktanco in
katerimkoli drugim konstruktom ne smemo pričakovati
linearne povezanosti ali linearnega vpliva. Zaradi
narave omenjanega psihološkega pojava je treba
pričakovati krivočrtno povezanost med psihološko
reaktanco in namero za varnostno ukrepanje, pri čemer
naj bi bili indikatorji, ki merijo namero za
informacijsko-varnostno ukrepanje, vsebinsko
neposredno usmerjeni v podrejeno-nadrejena razmerja
in zahteve po varnostnem ukrepanju. Skozi merjenje
dejanskega vedenja varnostnega ukrepanja oziroma
namere za varnostno ukrepanje, ko so vključene zahteve
po tovrstnem vedenju, bi lahko natančneje opazovali
stopnjo reaktančnosti posameznikov in vplive med
obveznostjo vedenja, namero za ukrepanje in dejanskim
vedenjem ob pričakovanem (obveznem) ukrepanju.
Z razumevanjem v prispevku predlaganega modela
samozaščite v kibernetskem prostoru lahko organizacije
prilagodijo politike zagotavljanja informacijske
varnosti, komunikacijo, informacijsko-varnostna
izobraževanja zaposlenih idr., saj informacijsko-
varnostni memedžerji z njegovo pomočjo bolje
razumejo, katere informacije in kako je treba podati
zaposlenim, da bi spodbudili čim višjo raven
samozaščitnega vedenja posameznih zaposlenih in s tem
posledično dosegli višjo informacijsko varnost
organizacije kot celote. Zaposleni v organizaciji se tako
samoiniciativno bolje zavarujejo pred kibernetskimi
grožnjami in s tem večajo informacijsko varnost
organizacije kot celote in se s tem uspešneje izogibajo
finančnim in drugim izgubam. Poudariti velja, da dvig
stopnje informacijske varnosti ni odvisen izključno od
izogibanja kibernetskim grožnjam, saj je za to treba
zajeti tudi varnostno zavest, splošno varnostno
obnašanje, fizično varovanje, nove tehnologije zaščite
idr.