Abyste svého nepřítele porazili, musíte jej nejprve důkladně znát. Toto pravidlo platí i v oblasti kyberbezpečnosti, kde je důkladné vzdělání vašich zaměstnanců nejlepším způsobem ochrany vašich dat. Přečtěte si, co by takové školení mělo zahrnovat a na co je vhodné se zaměřit při jeho organizaci.
Představte si, že jednoho dne začne vaší společnosti nečekaně kolabovat systém. Přicházíte o data, vaši zákazníci jsou stále více nespokojení, a zatímco smluvní pokuty stoupají, vaše reputace klesá kamsi pod bod mrazu. A pak zjistíte, že to vše způsobil jediný phishingový e-mail, který jeden z vašich zaměstnanců v dobré víře otevřel a nevědomky tak do firemní sítě vpustil neznámého útočníka.
Tento scénář není žádným sci-fi, nýbrž každodenní realitou. Právě uživatelé jsou nejslabším článkem kybernetické bezpečnosti. „Typický kybernetický útok může začínat například phishingovým e-mailem, na který neopatrně klikne zaměstnanec. Po infiltraci do firemní infrastruktury útočník vyhledává slabá místa, jako jsou například neaktualizované systémy a rozšiřuje se firmou.“ říká v rozhovoru expert na kyberbezpečnost Dan Albrecht.
Není proto divu, že toto platí už od nepaměti (např. studie společnosti IBM z roku 2014 (1) je až 95 % narušení bezpečnosti zapříčiněno právě lidským faktorem). Zaměstnanci jsou stále nejrizikovějším faktorem, který nedokážete ovlivnit a jejich chování je do značné míry nepředvídatelné a ovlivněné různými faktory. Nejčastěji pak útočníci na uživatele cílí metodami tzv. sociálního inženýrství, jehož cílem je z uživatele vymámit přihlašovací údaje či jiná citlivá data.
Tip: Přečtěte si více o sociálním inženýrství v samostatném článku.
Jak tedy vliv lidského faktoru snížit? Odpovědí je důkladné školení zaměstnanců o kybernetických hrozbách.
Školení a legislativa
V současné době probíhá schvalovací proces nad prováděcí předpisem k nové směrnici NIS2. Ta zavádí povinnost poskytovat školení kyberbezpečnosti pro všechny organizace, které směrnici podléhají. A to nejen z pohledu uživatelů, ale i administrátorů, bezpečnostních rolí a vrcholového vedení. Pokud se vás tak NIS2 týká, po vstupu směrnice v platnost už pro vás nebude vzdělání zaměstnanců luxusem, nýbrž legislativní nutností.
Co by mělo školení kyberbezpečnosti zahrnovat?
Základní návyky
Prvním krokem osvěty by mělo být budování základních bezpečnostních návyků, které by se měly stát pevnou součástí každodenní práce zaměstnanců. Jde o jednoduché úkony, jejichž dodržování ale dokáže riziko narušení sítě výrazně snížit. Jedná se například o následující:
- používat dostatečná silná hesla,
- zamykat počítač i při krátkodobém opuštění pracoviště,
- nepoužívat podezřelá externí média,
- vyhýbat se stahování dat z podezřelých zdrojů,
- nepoužívat pracovní počítače k osobním účelům,
- používat pouze licencovaný software,
- nesdělovat své přihlašovací údaje jiným osobám,
- používat pouze bezpečná externí připojení do firemní sítě.
Inspirovat se můžete i tematickými okruhy doporučovanými českou legislativou pro obsah školení v oblasti kybernetické bezpečnosti. Mezi ně patří například následující:
- techniky zabezpečení zařízení,
- zásady bezpečnosti uživatelských účtů,
- bezpečná elektronická komunikace,
- zálohování, ukládání a šifrování dat,
- bezpečná práce s VPN připojením a cloudovými úložišti,
- zásady bezpečného používání e-mailu a webu,
- principy funkce antivirového softwaru a důležitost jeho použití,
- apod.
Znalost hrozeb
Druhým pilířem ochrany uživatelů je znalost jejich nepřítele. V tomto případě by vaši lidé měli vědět, jaké hrozby na ně v kyberprostoru číhají a jaké metody útočníci používají. Školení by mělo zahrnovat popis nejčastějších vektorů útoku mířených na uživatele (tj. zejména phishing a jiné formy sociálního inženýrství), ale nemělo by se vyhnout ani sofistikovanějším metodám útoku. Zde rozhodně nezapomeňte zmínit stále častější ransomware.
Tip: přečtěte si více o ransomwaru a způsobech, jak tento druh útoku rozpoznat a řešit
O rizicích pak samozřejmě nestačí jen vědět – je třeba je i umět rozpoznat v praxi. Zde by se školení mělo zaměřit na znaky, podle kterých lze podezřelé aktivity rozpoznat. Může jít přitom i o detaily – některé podvrhy lze rozeznat jen podle odchozí e-mailové adresy, která se ale ne ve všech klientech ihned zobrazuje.
Informace o governance
Třetí klíčovou součástí osvěty by měly být prvky governance – tedy procesy navázané na odhalení, řešení a prevenci kybernetických hrozeb, tj. postupy. Vaši lidé by měli vědět, jak v případě odhalení hrozby postupovat, na koho se obrátit, případně jak se zachovat ve chvíli, kdy je počítač zaměstnance napaden. Tedy uživatelé by neměli panikařit, ale s chladnou hlavou implementovat postupy, které jim budou známy. Proto je dobré i tyto postupy testovat, aby byly co nejefektivnější a funkční ve vaší organizaci.
Jak by mělo školení probíhat?
V současnosti již kurzy kyberbezpečnosti nabízí celá řada subjektů a výběr konkrétního školitele tak závisí především na vašich potřebách, možnostech a zvyklostech vaší společnosti (firemní kultura). I přesto ale existuje několik užitečných rad, které vám pomohou se v široké nabídce kurzů a školení zorientovat.
Vyberte správnou formu
V současnosti se nejčastěji setkáte s třemi metodami kurzů – prezenční, online a e-learningem. Nelze jednoznačně říci, že jedna z těchto možností je výrazně lepší; každá má své slabiny i přednosti a konečné rozhodnutí by tak mělo vycházet zejména z možností a potřeb vaší firmy.
- Prezenční forma: Tohoto tradičního způsobu se i dnes drží řada lektorů a společností. Na jednu stranu tato metoda nabízí několik významných výhod – možnost s posluchači interagovat tváří v tvář, disciplínu a strukturované prostředí či možnost okamžité zpětné vazby. Nevýhodou pak je logicky nutnost, aby se posluchači fyzicky sešli v jedné místnosti, což může být náročné zejména pro zaměstnance dlouhodobě působící na home office.
- Online školení: modernější alternativou je online školení, kdy se posluchači účastní prostřednictvím online platformy. Zde stále zůstává možnost zpětné vazby lektorovi, ten ale již nemá přímý kontakt s posluchači a rovněž riskuje problémy s pozorností posluchačů. U některých posluchačů mohou nastat i problémy v podobě nedostatečného technického zajištění (nefunkční webkamera, špatné internetové spojení apod.) Na druhou stranu je ale školení přístupné i na dálku a díky tomu snáze dostupné i realizovatelné.
- E-learning: online interaktivní kurzy nabízejí zaměstnancům soubor videí, studijních materiálů a testů pokrývajících různé oblasti kyberbezpečnosti. Díky tomu mohou účastníci kurzu studovat ve vlastním tempu a své znalosti si rovnou ověřovat. Nevýhodou zde ale je závislost na sebedisciplíně zaměstnanců, kteří by měli být pro studium dostatečně motivováni. Daná firma by pak měla používat odpovídající systém pro správu vzdělávání, jehož prostřednictvím mohou HR specialisté sledovat průběh kurzů a zadávat zaměstnancům termíny.
Nicméně ať už si vyberete jakoukoliv variantu, tak je době ji proložit jinou tak, aby byla zajištěna, co možná nejlepší účinnost.
Kyberbezpečnost jako proces
Školení by rozhodně nemělo být jednorázovou záležitostí. Kybernetické hrozby se totiž neustále vyvíjí a dnešní informace mohou zastarat již za několik měsíců. Poskytovatel by vám tak měl nabídnout pravidelné kurzy, s jejichž pomocí si vaši zaměstnanci doplní znalosti a osvěží informace z minulých školení a zároveň budou reflektovat aktuální hrozby. Zejména u zmíněných základních návyků platí zlaté pravidlo, že opakování je matka moudrosti.
Experti v roli učitelů
Řada firem ve snaze ušetřit svěřuje vzdělávání zaměstnanců svým interním IT oddělením. Tato volba je ale málokdy šťastná; IT zaměstnanci mají vlastní povinnosti a nemohou tak vzdělání zaměstnanců věnovat dostatek času i úsilí. Rovněž také platí, že administrátor není automaticky expertem na kyberbezpečnost a dost často mluví „jinou řečí“ než uživatelé. I z toho důvodu se doporučuje využít služeb odborných lektorů, kteří spojují znalosti s pedagogickými schopnostmi.
Nezůstaňte jen u teorie
Jakkoliv jsou teoretické znalosti důležité, skutečné vzdělání přichází až s praxí. V kontextu kyberbezpečnosti by tak měly kurzy zahrnovat i interaktivní prvky a konkrétní ukázky metod útoků. Pokud to pak bude možné, pokuste se pro své zaměstnance zařídit i simulované kybernetické útoky. Ty jsou skvělou příležitostí pro ověření znalostí v praxi a odhalení rizikových faktorů ve vaší společnosti.
Gamifikace, aneb škola hrou
Prezenční školení a kurzy jsou sice osvědčené, avšak ne vždy nejefektivnější metody vzdělání. Praxe z posledních let ukazuje, že lepším způsobem je osvěžit vzdělávací proces herními prvky. Ty mohou zahrnovat sběr odznaků, postup různými úrovněmi, interaktivní testy a ukázky aj. Pokud pak využijete i vhodnou vzdělávací platformu, mohou se vaši zaměstnanci učit kdekoliv, kdykoliv a ve vlastním tempu a v jednotlivých výzvách pak mohou týmy nebo jednotlivci soutěžit.
Knowee - příklad moderní vzdělávací platformy
Důležitosti vzdělání (nejen) v oblasti kyberbezpečnosti jsme si vědomi i v Seyforu. Našim zákazníkům proto nabízíme platformu Knowee - moderní LMS (Learning Management System) pro vzdělávání vašich zaměstnanců. Aplikace slouží jako centrální úložiště všech studijních a jiných materiálů, od vzdělávacího obsahu až po důležité firemní dokumenty.
Čím je Knowee výjimečné?
- Založeno na Teams: aplikace je po instalaci dostupná přímo z rozhraní aplikace Teams a nabízí tak důvěrně známé uživatelské prostředí.
- Široká nabídka kurzů: ve výchozím stavu vám Knowee nabídne nejen kurz kybernetické bezpečnosti, ale také více než 20 kurzů pro aplikace Microsoft 365.
- Možnost přidávat vlastní obsah: s pomocí přehledného editoru lze do Knowee nahrát vlastní vzdělávací materiály.
- Vzdělání pod kontrolou: personalisté mohou s Knowee snadno sledovat důležitá školení, vytvářet studijní plány a skrze pokročilý reporting vyhodnocovat vzdělávání zaměstnanců.
- Studium kdykoliv a kdekoliv: zaměstnanci mohou kurzy procházet ve vlastním tempu, odkudkoliv na světě a z počítače či mobilního zařízení – stačí jen internetové připojení.
- Gamifikace: kurzy zaměstnancům zpříjemnňují gamifikační prvky, jako jsou např. sběr odznaků či interaktivní závěrečné testy.
Pomůžeme vám nejen se vzděláním
Pokud i vy potřebujete své zaměstnance dovzdělat v oblasti kyberbezpečnosti, využijte komplexních služeb Seyforu. Naši odborníci se postarají o celý řetězec řešení, od analýzy rizik přes návrh strategie až po implementaci technických řešení – to vše již nyní v souladu s požadavky směrnice NIS2.