Vzdelávanie v oblasti kybernetickej bezpečnosti sa môže podobať skúške. Najprv sa niečo naučíte, a ak svoje vedomosti dlho nepoužívate, zabudnete ich. Tak to funguje aj so školeniami o kybernetickej bezpečnosti pre zamestnancov, ktoré sa konajú raz alebo dvakrát ročne a potom pokračujú občasnými prezentáciami, ktorým nikto nerozumie.
Bez ohľadu na vyspelosť úrovne kybernetickej bezpečnosti vo vašej spoločnosti sú kybernetické útoky čoraz sofistikovanejšie. Ak sa vám však podarí zvýšiť ostražitosť zamestnancov, môžete z nich spraviť jednu z najúčinnejších bezpečnostných kontrol.
Premýšľate, ako vymyslieť nové formy školenia zamestnancov? Prečítajte si náš rozhovor s Danielom Chromekom, riaditeľom informačnej bezpečnosti spoločnosti ESET.
Zdá sa, že je potrebné zvýšiť povedomie zamestnancov o kybernetických hrozbách. Mnohí pracovníci stále nedokážu odhaliť kybernetické útoky. Čo bráni spoločnostiam v riešení tejto situácie?
Firmy môžu vo všeobecnosti podceňovať vzdelávanie v oblasti kybernetickej bezpečnosti alebo informácie udržiavať na rovnakej úrovni, zatiaľ čo kybernetické útoky sa časom zlepšujú, vyvíjajú a menia. Pri rozpoznávaní útokov sa už nemožno spoliehať na kľúčové znaky podvodných e-mailov, ako sú zlá gramatika alebo logické chyby. Obsah aj vizuálna forma týchto útokov sú čoraz sofistikovanejšie. Nemyslím si, že sme ďaleko od bodu, keď mnoho ľudí nebude schopných rozoznať phishing od štandardných e-mailov. Existuje aj riziko častejšieho vishingu, hoci simulovať telefonát z určitého čísla je v reálnom čase ťažké. Jednoduché je však nahrať hlas generálneho riaditeľa z videa na YouTube a vopred pripraviť vish s cieľom presvedčiť ľudí, aby previedli svoje peniaze.
A čo fenomén deepfake alebo systémy na rozpoznávanie tváre? Aj tie ovplyvnia podobu budúcich útokov?
Určite. Už teraz existujú deepfake videá, ktoré je ťažké odlíšiť od reality, najmä keď sú v takomto formáte. Deepfake videá je však oveľa ťažšie realizovať, ak sa používajú pri interakcii v reálnom čase, ako napríklad pri simulácii videohovoru. Vo všeobecnosti je jednoduchšie zaútočiť pomocou phishingového e-mailu, ktorý obsahuje text a statické obrázky, ako pomocou útoku, ktorý si vyžaduje priamu interakciu s obeťou. Napriek tomu môže byť PR vplyv deepfake videí šírených cez sociálne siete v súčasnosti významný.
Aké prekážky sa vyskytujú pri snahe oboznámiť zamestnancov s rozpoznávaním takýchto útokov?
Keď som pred niekoľkými rokmi pracoval ako IT konzultant, všimol som si, že spoločnosti často považujú kybernetickú bezpečnosť za oblasť, ktorá automaticky spadá pod IT oddelenie. IT špecialisti však nie vždy dokážu vymyslieť školenie, ktorému ľudia rozumejú a o ktoré majú záujem. Nanešťastie je to trochu zložitejšie. Potrebné sú vedomosti z oblasti bezpečnosti, napríklad o phishingu, výbere hesla či šifrovaní, a tiež zručnosti vo sfére vzdelávania dospelých.
Myslíte si, že by IT odborníci mali spolupracovať napríklad s psychológmi?
Určite. Prípadne s niekým, kto má diplom z oblasti vzdelávania dospelých alebo jednoducho vie, ako naviesť akéhokoľvek človeka, aby si naozaj zapamätal určité skutočnosti a niečo na svojom správaní zmenil. Dnes je možné zaplatiť si za rôzne školenia prispôsobené na mieru. Väčšie spoločnosti to často riešia spoluprácou s IT aj HR oddelením. Kľúčom k úspechu je nájsť niekoho, kto dokáže zamestnancom zrozumiteľne a zaujímavo podať potrebné informácie. Preto sa v súčasnosti častejšie stretávame s gamifikáciou.
Myslíte si, že väčšina malých a stredných podnikov už realizuje nejakú formu vzdelávania zamestnancov?
Áno. Väčšina z nich sprostredkúva aspoň základné školenia o kybernetickej bezpečnosti, ktoré sú napríklad dostupné na online platformách. Podľa môjho názoru však musíte urobiť viac, ak chcete vo firme vybudovať povedomie o kybernetickej bezpečnosti. Ak školíte zamestnancov raz ročne, výsledok je rovnaký ako pri iných typoch školení – po „skúške“ študenti rýchlo zabudnú, čo sa naučili – a potom sú opäť tam, kde boli na začiatku.
Ako často by sa zamestnanci mali školiť?
Čo najčastejšie. Myslím si, že je rozumnejšie rozdeliť odovzdávanie informácií na menšie celky, ktoré si zamestnanci dokážu ľahšie osvojiť. Použite napríklad desaťminútové videá, ktoré sa zameriavajú len na jednu kľúčovú vec, alebo sumarizujú štyri hlavné zmeny vyplývajúce z nových politík. Takéto zjednodušené formy môžete zamestnancom pravidelne rozposielať, aby ste im pripomenuli, že je dôležité sledovať tému bezpečnosti. A ak vo firme dôjde k pokusu o útok, môžete to využiť a vysvetliť zamestnancom, ako takýto útok funguje.
Povedzme, že chcem od nuly vybudovať spoločnosť, ktorá bude schopná čeliť kybernetickým útokom. Čo by mal vedieť každý zamestnanec?
Po prvé, každý by mal vedieť, čo od neho firma chce. Ako má pracovník používať poskytnutú technológiu a aké následky ho čakajú v prípade jej straty alebo poškodenia? Na tieto otázky by si mal každý odpovedať skôr ako sa niečo stane, ideálne na začiatku pracovného pomeru. Rovnako existuje niekoľko štandardizovaných tém, ktoré sa týkajú základných otázok bezpečnosti: ako nastaviť silné heslo, ako používať dvojúrovňové overovanie a, samozrejme, ako rozpoznať phishingové a podvodné webové stránky na základe charakteristických atribútov a obsahu správ. Zamestnanci tiež musia vedieť, komu nahlásiť podozrivú aktivitu, ako používať softvér alebo cloudové služby, čo robiť v prípade, že v priestoroch kancelárie uvidia podozrivé osoby, a ako používať bezpečnostné technológie, napríklad správcu hesiel.
Spoločnosť by mala zamestnancom navyše vysvetliť, že ak dostanú firemné mobilné zariadenie alebo iPad, mali by si dávať pozor na to, čo doň sťahujú a inštalujú. Existuje mnoho podvodných mobilných aplikácií, preto je dôležité ukázať zamestnancom, kde si majú aplikáciu pred inštaláciou overiť. Podobná vec platí aj pre inštaláciu rôznych programov do počítača pri práci na diaľku. Samozrejme, zamestnanec by mal tiež vedieť, na koho sa obrátiť, ak sa niečo stane. Nedávno sme napríklad zaznamenali falošné telefonáty zo spoločnosti Microsoft, čo bola príležitosť informovať našich zamestnancov o tom, na čo si majú dávať pozor a prečo k tomu vôbec došlo.
Prečo by sa malo vedenie spoločnosti vyhýbať strašeniu ľudí možnými osobnými dôsledkami kybernetických útokov?
Pretože po piatich minútach takéhoto strašenia zamestnanci prestanú počúvať a jediné, čo si odnesú, je, že čokoľvek urobia, dopadne zle a buď ich prepustia, alebo zavrú do väzenia. Nebezpečenstvo takéhoto porazeneckého zmýšľania spočíva v tom, že zamestnanci to môžu vzdať hneď na začiatku a predpokladať, že nemá zmysel dávať si pozor, pretože to aj tak pokazia. Preto je lepšie komunikovať pozitívne, poukázať na bežné hrozby a spôsob, ako sa im vyhnúť – nielen v práci, ale aj doma. Všetci máme vo svojom okolí ľudí, na ktorých nám záleží, a keď môžeme zamestnancom ukázať, ako určitým spôsobom chrániť nielen záujmy zamestnávateľa, ale aj svojich rodičov, partnerov alebo detí, vzbudí to v nich záujem.
Svojim kolegom často posielate kvízy. Dá sa prostredníctvom gamifikácie táto problematika zamestnancom vysvetliť?
Ak sa využíva rozumne, potom určite. Keď sa vo firme napríklad rozhodnete vyskúšať simuláciu phishingu, postup si musíte trochu premyslieť. Cieľom nie je nachytať čo najviac ľudí, ale dať im šancu rozpoznať phishing a „vyhrať“ tým, že útočníka porazia. Keď ľudia vedia, že urobili správnu vec a útok nahlásili, cítia sa lepšie.
Ďalším pekným príkladom využitia gamifikácie v školeniach o kybernetickej bezpečnosti by bol interaktívny komiksový príbeh s videami, v ktorom hlavná postava plní rôzne misie a získava body za dosahovanie cieľov, pričom úspešní hráči na konci dostanú malú odmenu.
Takto sa buduje kultúra kybernetickej bezpečnosti?
Spomenuli sme si všetky kroky a spôsoby, akými k nej dospieť. O kľúčových témach týkajúcich sa bezpečnosti by mali vedieť všetci v spoločnosti – od zamestnancov až po vrcholový manažment. Cieľom je podporiť bezpečnosť, a tým aj samotnú spoločnosť. A keď to každý pochopí a všimne si, čo sa okolo neho deje, zvýši odolnosť celej firmy voči hrozbám.
