Vzdělávání v oblasti kybernetické bezpečnosti by nemělo sloužit jen k tomu, aby zaměstnanec složil nějaký test a měl čárku. Je důležité si nové znalosti skutečně zažít. Často se stává se, že nepoužívané informace zapomínáme. Pokud ale školení kybernetické bezpečnosti pro zaměstnance probíhá jen zřídka nebo je příliš odborné, málokdo si důležité praktické dovednosti osvojí.
Bez ohledu na úroveň znalostí ve vaší firmě, jsou kybernetické útoky stále sofistikovanější. Ostražitost všech uživatelů je klíčová pro efektivní ochranu dat. Jak ale o bezpečnosti mluvit a jak přemýšlet o nových formách vzdělávání zaměstnanců? Přečtěte si rozhovor s naším ředitelem bezpečnosti informací Danielem Chromkem.
Je zřejmé, že je nutné zvyšovat povědomí zaměstnanců o kybernetických hrozbách. Přesto mnoho zaměstnanců nedokáže kyberútoky detekovat. Proč?
Kybernetické útoky se rychle mění a vyvíjejí, zatímco úroveň bezpečnostního vzdělávání zůstává spíše na stejné úrovni. Při rozpoznávání útoků se již nemůžeme spoléhat na dřívější znaky podvodných e-mailů, jako bývala špatná gramatika nebo logické chyby. Obsah i vizuální provedení útoků jsou stále sofistikovanější. Nemyslím si, že jsme daleko od bodu, ve kterém mnoho lidí nebude schopno rozlišit phishing od standardního e-mailu.
Rovněž stoupá riziko vishingu, přestože simulaci telefonního hovoru z určitého čísla je složité provést v reálném čase. Ale není těžké nahrát si hlas generálního ředitele třeba z YouTube a poté předem připravit podvodný telefonát tak, aby přesvědčil lidi k převodu peněz.
Jak se školí bezpečnost v českých firmách?V našem průzkumu z podzimu roku 2020 se ukázalo, že bezpečnostní školení vůbec neprobíhají takřka v polovině firem a jen ve čtvrtině firem se školí pravidelně. Přitom platí, že opakování je matkou moudrosti a pravidelná školení výrazně zvyšují bezpečnost.
Zároveň platí, že nejběžnějším vektorem útoku je obyčejný e-mail. Nemluvě o rizicích, se kterými se zaměstnanci setkávají v soukromém životě. |
Ovlivní budoucnost kybernetických útoků deepfake a systémy pro rozpoznávání obličeje?
Rozhodně ano. Už nyní je velice těžké rozlišit některá deepfake videa od skutečnosti. Platí ale, že je velmi technicky složité vytvářet deepfake v reálném čase a v reálné interakci, dejme tomu jako video hovor. Obecně je jednodušší zaútočit phishingovým e-mailem, který obsahuje text a statické obrázky, než přímou interakcí s obětí. V současnosti vidím větší riziko v PR dopadech deepfake na veřejné mínění prostřednictvím sociálních sítí.
Takže deepfake útok v reálném čase zatím nikdo neprovedl?
O takovém útoku nevím. Slyšel jsme pouze o případu z Francie, kdy skupina podvodníků ve video-hovoru použila silikonovou masku s podobou ministra obrany. Takto „upravený“ podvodník žádal od bohatých osobností a skupin finanční příspěvky pro smyšlené vládní operace. Nešlo tedy o počítačem vygenerovaný deepfake ale spíš o divadlo. Nicméně můžeme nepochybně předpokládat, že takových manipulací přibude.
V čem je tak složité naučit tým, jak takový podvod rozeznat?
Když jsem před několika lety pracoval jako konzultant IT, všiml jsem si, že společnosti často považují kybernetickou bezpečnost za oblast, která automaticky spadá do odpovědnosti IT oddělení. IT profesionálové ale nejsou vždy schopni vymyslet školení, kterému lidé rozumějí a které je zajímá. Prostě to není tak jednoduché, jak se zdá.
Vyžaduje to bezpečnostní know-how o věcech, jako je phishing, volba hesla, šifrování a také efektivní know-how v oblasti vzdělávání dospělých. Nemluvě o tom, že ne vždy se nám, kteří se na bezpečnost specializujeme, daří vysvětlit některé otázky dostatečně srozumitelně.
Myslíte, že by IT profesionálové měli spolupracovat s dalšími odborníky, třeba psychology?
Rozhodně ano. Nebo s někým, kdo má vystudovanou pedagogiku dospělých. Dnes je možné absolvovat různá školení na míru. Větší společnosti to často řeší spoluprací s IT i HR odděleními. Klíčem je najít někoho, kdo může zaměstnancům poskytovat informace srozumitelným a zajímavým způsobem. Proto v dnešní době častěji volíme kurzy s prvky gamifikace.
Myslíte, že malé a střední podniky už nějakým způsobem své zaměstnance školí?
Část nepochybně ano, například prostřednictvím různých online vzdělávacích platforem. Podle mých zkušenostní je ale potřeba udělat víc, pokud chcete ve firmě vybudovat bezpečnostně-znalostní kulturu. Pokud zorganizujete školení jedenkrát ročně, je výsledek stejný jako u jakékoli jiné zkoušky – po „složení“ zkoušky student nové znalosti rychle zapomene. A vy jste opět na začátku.
Jak často by tedy školení měla probíhat?
Tak často, jak je to možné. Podle mého názoru dává větší smysl rozdělit informace na menší kusy, které mohou zaměstnanci snáze absorbovat, tolik je nezdrží od běžné náplně práce a podobně. Použijte například 10 minutová videa, která se zaměřují pouze na jednu klíčovou věc, nebo která shrnují čtyři hlavní změny vyplývající z nových zásad.
Takto zjednodušené příklady pak můžete pravidelně distribuovat, abyste zaměstnancům připomněli, že je důležité sledovat bezpečnostní témata. A pokud dojde k pokusu o útok, můžete to využít a vysvětlit zaměstnancům, jak takový útok funguje.
Jak bych měl postupovat, pokud chci od nuly vybudovat společnost odolnou vůči kyberútokům. Co by měl každý zaměstnanec vědět?
Je tu několik standardizovaných témat, která pokrývají základní bezpečnostní otázky: jak nastavit silné heslo, jak používat dvoufaktorové ověřování, jak rozpoznat phishing a scam na základě charakteristických atributů a obsahu zprávy. Zaměstnanci také potřebují vědět, komu hlásit podezřelou aktivitu; jak používat software nebo cloudové služby; co dělat v případě, že vidí podezřelé osoby v kancelářských prostorách a jak používat zabezpečovací technologii, například správce hesel.
Firma by navíc měla zaměstnancům vysvětlit, že pokud si pořídí služební mobilní zařízení, měli by si dávat pozor na to, co si do něj stáhnou a nainstalují. Existuje mnoho podvodných mobilních aplikací. Takže je důležité ukázat zaměstnancům, kam se mají podívat, aby si aplikaci před instalací ověřili. Podobná věc platí pro instalaci různých programů do počítače při práci na dálku. A samozřejmě by měl zaměstnanec také vědět, na koho se obrátit při případných potížích. Na konci loňského roku jsme si například všimli falešných hovorů od Microsoftu - to byla příležitost informovat naše zaměstnance o tom, na co si dát pozor a proč se to vůbec děje.
Proč by se mělo vedení společnosti vyhýbat strašení lidí důsledky kyberútoků pro ně samotné?
Protože během pěti minut, lidé přestanou poslouchat, a jediné co si donesou je, že pokud udělají nějakou chybu, dostanou padáka nebo budou potrestaní jinak. Riziko spočívá zejména v tom, že se vzdají rovnou a budou si myslet, že nemá smysl být opatrný, protože stejně mohou něco pokazit.
Proto je lepší mluvit o rizicích a prevenci pozitivně a poukazovat na běžné hrozby a ukázat, jak se jim vyhnout - nejen v práci, ale i doma. Můžeme zaměstnancům ukázat, jak určitým způsobem chránit nejen zájmy zaměstnavatelů, ale také dalších lidí, kteří jsou nám drazí – ať už jsou to rodiče, partner či děti.
Kolegům často posíláte kvízy. Je gamifikace dobrý způsob, jak všechno vysvětlit zaměstnancům?
Pokud se používá rozumně, tak určitě. Pokud se rozhodnete vyzkoušet například simulaci phishingu, musíte nad tím trochu přemýšlet. Cílem není chytit co nejvíce lidí, ale dát jim šanci rozpoznat phishing a „vyhrát“ poražením útočníka. Když lidé vědí, že udělali správný krok a byli schopni nahlásit útok, posílí je to.
Dalším pěkným příkladem gamifikace při tréninku kybernetické bezpečnosti by byl interaktivní komiksový příběh s videi, ve kterých hlavní hrdina vyráží na různé mise a při dosahování cílů získává nějaké body - úspěšní hráči by na konci mohli dostat malou odměnu.
Takto se skutečně podaří vytvořit znalostní kulturu v oblasti bezpečnosti?
Mluvili jsme o všech malých krocích a věcech, které ji pomáhají budovat. Každý v celé společnosti by měl vědět o klíčových bezpečnostních problémech - od zaměstnanců až nejvyšší vedení. Cílem je být schopen podporovat bezpečnost a tím i samotnou firmu. A když to každý pochopí a všimne si toho, co se kolem něj děje, podpoří odolnost celé společnosti.