fbpx

Insight

Kyberbezpečnost

Opakování je matkou kyberbezpečnosti

Nepoučený a neproškolený zaměstnanec je nebezpečný zaměstnanec. Proškolený zaměstnanec je méně nebezpečný zaměstnanec. Opakovaně neproškolovaný zaměstnanec je stejně nebezpečný zaměstnanec jako nepoučený zaměstnanec. Pouze opakovaně proškolený a trénovaný zaměstnanec je ideálním základem pro zajištění nezbytné kyberbezpečnosti ve firmě. Vzdělávejme!

Pro získání kvalitních a bezpečných návyků při řízení vozidla je naprosto nezbytné aktivně řídit a získávat zkušenosti v reálném silničním provozu. Stejně tak i uživatelé s přístupem k internetu musí získávat potřebnou praxi a zkušenosti z reálného nebezpečného prostředí světové digitální sítě.
Autoškola poskytne jen nezbytný základ pro ovládání vozidla a oprávnění stát se jedním z účastníků silničního provozu. To však neznamená, že úspěšný absolvent autoškoly se ihned stane i bezpečným účastníkem dění na silnici, a to nejen sám pro sebe, ale i pro ostatní.

Školení hned na úvod

Ve firmě a přístupu k firemním datům je tento princip plně analogický. Zaměstnanec je při svém nástupu do firmy proškolen ohledně bezpečnosti, včetně bezpečného přístupu k internetu a požadovaného bezpečného chování v interních systémech. Při každém školení je kladem velký důraz na neotevírání podezřelých nebo neznámých příloh elektronické pošty, neklikání na neznámé webové odkazy a podobně. Pokud takovéto školení proběhne pouze jedenkrát, při nástupu zaměstnance do firmy, zaběhnutá praxe se rychle a spolehlivě stane základem různých bezpečnostních rizik ze strany zaměstnanců.
Ve většině firem reálně existují vzájemně oddělené bezdrátové sítě pro zaměstnance a návštěvníky. Technicky není vůbec žádný problém spolehlivě oddělit tok dat zaměstnanců a návštěvníků – a tak zajistit vnější ochranu interních firemních dat. Nebezpečím jsou však zaměstnanci, kteří byť i v dobré víře, jsou ochotni sdělit heslo do interní firemní sítě své návštěvě. Takovýto bezpečnostní incident může způsobit i zaměstnanec, který byl při nástupu do firmy důkladně proškolen, ale je ve firmě již nějakou dobu, aniž by se proškolení opakovalo. Zaměstnanec potom může pozapomenout na základní bezpečnostní pravidla nebo ztratit ostražitost, protože se žádný zásadní bezpečnostní incident ve firmě zatím nestal.

Pamatujete?

Školit se, školit se a zase se školit je jediným prostředkem, jak zachovat maximální bezpečnostní ostražitost u zaměstnanců a tím maximálně eliminovat možné bezpečnostní incidenty ve firemní síti. Již první bezpečnostní incident může mít pro firmu zcela fatální důsledky a může zcela ohrozit její chod. Nemusíme se vracet do daleké minulosti – všichni máme ještě v živé paměti hojně medializovaný bezpečností incident v Benešovské nemocnici na konci roku 2019.

Dne 11. prosince 2019 kryptovirus zcela ochromil fungování celého počítačového systému – nefungovaly žádné lékařské přístroje ani počítače, které byly připojeny do sítě nemocnice, musely být rušeny operace, ambulance fungovaly jen ve velmi omezeném provozním režimu. Představitelé Středočeského kraje oznámili 30. prosince 2019, že Benešovská nemocnice obnovila provoz. Obnovení provozu nemocnice trvalo skoro tři týdny! Tři týdny tedy nemocnice nebyla schopna plně poskytovat své lékařské a zdravotnické služby, i když personál nemocnice byl schopen pracovat na 100 %.
Další významný bezpečnostní incident byl zaznamenám 20. prosince 2019, kdy se terčem stala těžební společnost OKD, která byla nucena přerušit těžbu. K obnovení provozu byl potřeba jeden týden.

Náhoda?

V obou zmiňovaných případech se jednalo o hackerské útoky. Zůstává otázkou, jestli byly hackerské útoky na obě organizace záměrné nebo jen náhodné. I přes různá bezpečnostní opatření a vysoké investice do bezpečnosti se povedlo útočníkům z vnějšího prostředí dostat do interní počítačové sítě organizace – a tam způsobit rozsáhlé škody. V případě zaměstnanců jde o bezpečnostní riziko, které přichází zevnitř a na tento typ interních incidentů nemá řada firem nastavena příslušná účinná pravidla nebo zdroje. Zde je jedno vstupní bezpečnostní školení zaměstnanců opravdu nedostatečné.

Pevný základ

V současné době existuje řada nástrojů a metodik, jak zaměstnance z pohledu počítačové bezpečnosti vzdělávat. Nedílnou součástí je i trénink bezpečného chování v počítačové síti. Existují nástroje, které zaměstnancům „podvrhují“ fiktivní nebezpečné zdroje, třeba e-mail od neznámého odesílatele s podezřelou přílohou nebo webovým odkazem. Následně systém dokáže vyhodnotit chování zaměstnance, jak se ten či onen zachoval k takovémuto fiktivnímu zdroji. Toto může být základ pro nastavení časového i obsahového schématu pravidelných bezpečnostních školení zaměstnanců, a to přímo na míru každému z nich. Potom lze konstatovat, že opakovaně proškolený a trénovaný zaměstnanec opravdu bude pevným základem pro zajištění kyberbezpečnosti ve firmě.

Sdílet:
PŘEDCHOZÍ ČLÁNEK

Posted by -
DALŠÍ ČLÁNEK

Posted by -

Chcete dostávat měsíční přehled toho nejzajímavějšího z ICT Blogu?