fbpx

Produktivita

Školení kyberbezpečnosti

Jak školit kybernetickou bezpečnost pro zaměstnance

Proč vlastně dochází ke kybernetickým útokům? Na prvním místě je to jednoznačně vidina snadného a vysokého výdělku. Ransomware neboli požadování výkupného za zašifrovaná data, odcizené osobní údaje, čísla kreditních karet, bankovních účtů a profilů na sociálních sítích, seznamy zákazníků, konkurenční data či zdrojové kódy komerčního softwaru a know-how společností… To je jen malý výčet toho, co lze v kybernetickém prostoru zpeněžit. A přesně na to útočníci cílí.

A že mám firewall? Anti-spamový filtr? Bezpečnou síť? Pokud bude mít útočník na výběr prorazit robustní podnikový firewall nebo přelstít pomocí technik sociálního inženýrství či phishingovou kampaní zaměstnance, je zřejmé, která z nabízených variant zvítězí. Útočník necílí na slabá místa podnikové bezpečnosti, spoléhá se na selhání lidského faktoru.
Podle dostupných zdrojů je až 95 % incidentů spojených s kybernetickými útoky spojených s lidskými chybami. Zároveň ale bylo možné podle statistik až 90 % útoků zabránit. Jak? Vzděláváním a zvyšováním bezpečnostního povědomí zaměstnanců.

Jeden příklad za všechny

Určitě si to dovedete představit: Jedna taková normální firma se stane obětí kybernetického útoku, při kterém došlo k úniku citlivých dat.
Zpětnou analýzou se zjistilo, že příčinou úspěšného útoku byla kombinace neúmyslného odhalení vnitřních procesů útočníkovi, vyzrazení přístupových údajů prostřednictvím cílené phishingové kampaně a slabého hesla jednoho z administrátorů.
Někdo z vedení firmy se chytil za nos a vzhledem k nastalým událostem (ač to dříve odmítal) našel jednorázové finanční prostředky na školení o bezpečnosti. Samozřejmě s tím, že takhle se problém vyřešil už navěky. Po odstranění technických nedostatků tak byli zaměstnanci, kteří byli přímými účastníky celého incidentu, odesláni na různá několikadenní školení IT bezpečnosti.

A co je na tomto příkladu špatně? Z pohledu vzdělávání vlastně úplně všechno!

Školíme, ale kde jsou výsledky?

Tradiční těžkopádná školení (myslím tím několik dní v režimu 8.00-16.30, při kterých je školený zahlcený množstvím informací) bývají v dlouhodobém měřítku naprosto neúčinná!
Informací je totiž poměrně mnoho, ztráta soustředění je každým dnem rychlejší, mozek nemá šanci tolik informací v tak koncentrované podobě zpracovat. A nedělejme si iluze, do obdržených materiálů čítajících často několik stovek stran, se po ukončení školení jen málokdo znovu podívá.
Dalším častým neduhem bývá proškolení pouze úzké skupiny zaměstnanců, kterých se bezpečnost „bezprostředně týká“ – či jen těch, jež se stali přímo obětí útoku. Školení se také často zaměřují pouze na jednu konkrétní specifickou oblast a nestíhá tak reflektovat velice rychlý vývoj v oblasti kybernetických hrozeb a útoků.

Snížení rizika skrze změnu chování

Většina školících programů je zaměřena pouze na znalosti, ale zapomíná na základní (a mnohem podstatnější) oblast, podle které lidé skutečně žijí: Jejich chování a návyky. Prostou edukaci je proto nutné rozšířit o změnu chování a úpravu pracovních návyků.
Takové změny ovšem není možné udělat v řádu hodin či dnů.

Kdy a koho vlastně vzdělávat?

Jednoduše: Pořád a všechny!
Pokrýt by se měly všechny základní oblasti kybernetické bezpečnosti, například obecné zásady bezpečnosti, práce s hesly, odhalování podvodných emailů, rizika spojená s prací mimo kancelář, práce s osobními údaji, jak bezpečně přenášet data a mnoho dalších.
Témat a informací v nich obsažených je skutečně mnoho, a proto je důležité uživatele nezahltit. Doporučuje se tedy předem připravit dlouhodobý plán školení na dobu jednoho roku až tří let.
Během této doby je vhodné zahrnout do plánu jedno až dvě témata měsíčně, přičemž jeden modul by neměl přesahovat přibližně hodinu čistého času studia.

Měříme úspěch

Důležitou součástí je samozřejmě měřitelnost úspěšnosti celého systému vzdělávání. Kvalitní platforma pro výuku kybernetické bezpečnosti, vedoucí ke změně chování, by měla proto obsahovat nástroje pro úvodní testování uživatelských znalostí, průběžné testy dovedností získané ve výukových modulech a interaktivní zapojení uživatelů. Takovým zapojením mohou být například simulované phishingové kampaně.
Simulovaný útok může být utajený a vyhodnocený celkově za celou organizaci, případně je možné uchopit kampaň výukovou formou, kdy je uživatel bezprostředně po útoku informován a poučen o výsledku a případných následcích takového útoku.

Výuka zážitkem

Výuka zážitkem, kterou představují například zmiňované simulované phishingové kampaně, zanechá v uživatelích mnohem více než několikahodinové školení a výuka teorie. Tyto zážitky se pak snadno promítnou do chování každého uživatele, a v situaci, která nebude pouze hrou, může i jednotlivec ochránit celou společnost i před pokročilým útokem.

Inspiroval-li vás tento text, neváhejte se obrátit na H-Square ICT Solutions, která ve spolupráci s distributorem Veracomp provádí školení prostřednictvím platformy PSAT, nejpokročilejšího vzdělávacího řešení na světě.

Sdílet:
PŘEDCHOZÍ ČLÁNEK

Posted by -
DALŠÍ ČLÁNEK

Posted by -

Chcete dostávat měsíční přehled toho nejzajímavějšího z ICT Blogu?