O efektivním vzdělávání v kybernetické a informační bezpečnosti
Ivan Svoboda, senior security advisor ve společnosti Anect, nám představil online hru Clashing, která představuje nový způsob vzdělávání v oblasti informační a kybernetické bezpečnosti.
Vzdělávání v oblasti kybernetické bezpečnosti patří k jedné z nejdůležitějších součástí komplexní bezpečnostní strategie. Jak ale efektivně vzdělávat? O tom a více s Ivanem Svobodou ze společnosti Anect.
Můžete představit váš projekt, online hru, Clashing? Proč vznikla, jak funguje a komu je určena?
Clashing je jedním z nejúspěšnějších produktů našeho inovačního programu, který jsme nastartovali již v roce 2018, společně s inovační agenturou Direct People. Na začátku jsme se rozhlíželi po nejrůznějších oblastech IT trhu a procházeli jsme inspirativními rozhovory se spoustou vizionářů z nejrůznějších firem v Česku. Při těchto rozhovorech jsme zkoumali různé zákaznické zájmy a potřeby, zejména ty, které nejsou uspokojivě řešeny stávajícími nástroji, které jsou na trhu dostupné.
Velmi často se při těchto rozhovorech opakovalo téma zaměstnanců jakožto rostoucího rizikového faktoru z hlediska informační a kybernetické bezpečnosti. Bylo jasně vidět, že se jedná o silně rostoucí trend, který není adekvátně a hlavně efektivně řešen žádným existujícím nástrojem.
U současných existujících nástrojů v oblasti zvyšování bezpečnostního povědomí, zejména u klasického e-learningu, společnosti opakovaně zmiňovaly jako jejich hlavní problémy nudnost a nulový důsledek ve formě změny skutečného chování zaměstnanců.
Co je to Clashing a komu je určen?
Clashing je profesionální online školení informační a kybernetické bezpečnosti v podobě karetní hry, díky které se zaměstnanci zábavnou formou naučí a protrénují bezpečné chování a správné návyky v kybernetickém i fyzickém prostředí.
Clashing je určen pro školení běžných zaměstnanců; není to tedy primárně pro IT experty, ale ani ti by z tohoto tréninku neměli být vyřazováni, protože v praxi se často potvrzuje, že i IT experti se mohou dopouštět zcela triviálních pochybení.
Jak Clashing funguje?
Clashing funguje jako tréninková platforma pro nácvik bezpečného chování, ve které zaměstnanci soupeří navzájem mezi sebou; jeden z hráčů vystupuje jako útočník a druhý jako zaměstnanec.
Clashing je karetní online hra pro dva uživatele. Každý z hráčů má za úkol buď chránit svou organizaci jako zaměstnanec, anebo ji jako hacker napadnout. Hacker má za úkol vykládat karty s možnými kybernetickými útoky a zaměstnanec musí reagovat a připravovat efektivní obranu proti nim. Jedna partie trvá přibližně 15 minut. V průběhu celé hry mají hráči možnost zjistit více informací o dané problematice. Automaticky se jim objeví třeba při úspěšném odražení útoku hackera.
Clashing si mohou užít zaměstnanci i v mezinárodních týmech. Mohou proti sobě hrát, a to každý ve svém zvoleném jazyce. Aktuálně podporovaná je čeština a angličtina; další jazyky přidáme brzy.
Jak se v posledních letech změnil přístup firem ke kybernetické bezpečnosti?
Myslím, že celosvětově se stále spousta firem potýká s ne zcela efektivním přístupem ke kybernetické bezpečnosti, který se komplikuje hned v několika rovinách:
Na jedné straně podceňování celkového rizika pro úspěšnost firem a organizací, což vede např. k podceněnému rozpočtu security, k nedostatečné podpoře ze strany nejvyššího vedení, k roztříštěnému řízení atd.
Zároveň na druhé straně je to často roztříštěný přístup typu „lepení největších či nejviditelnějších děr“ namísto holistického přístupu, který je založen na principech „obrana ve vrstvách“, „řízení rizik“, „zero trust“, „dynamická a adaptivní bezpečnost“ atd.
Zároveň mám ale pozitivní pocit, že výše zmíněné problémy se daří postupně odstraňovat a situace se nepochybně zlepšuje (ve všech zmíněných oblastech), i když občas je to jen „díky“ medializovaným incidentům typu útoky na nemocnice apod.
Je známý fakt, že nejslabším článkem firemní kybernetické bezpečnosti jsou zaměstnanci. Pozorujete zde nějaké změny k lepšímu?
Odpověď je dost podobná jako reakce na otázku výše. Ještě před pár lety toto byla oblast téměř neřešená; řada ředitelů firem reagovala na dotaz „Jak jste na tom s bezpečností?“ zhruba způsobem: „Máme antivirus a firewall, to přece musí stačit, ne?“ Tím chci říci, že ještě před pár lety spousta firem vůbec neřešila další vrstvy bezpečnosti, např. lidský faktor, koncové stanice a mobily, cloud, aplikace, datovou bezpečnost atd.
Za posledních pár let ale vidíme, že většina firem pochopila důležitost zejména těch lidských rizik, a dokonce se začala pokoušet o nějaké řešení tohoto problému, včetně snahy o vzdělávání a testování bezpečnosti zaměstnanců.
Zatím ale s tradičními nástroji typu statický e-learning naráží na neefektivnost tohoto přístupu (lidi to prostě nebaví a nedochází ke změně jejich chování); proto také přicházíme s platformou Clashing, která má právě za cíl přinést efektivní snížení rizik lidského faktoru.
Jak by podle vás měla firma přistupovat ke kybernetické bezpečnosti, aby byla maximálně efektivní?
Za prvé zejména začít s vrcholovým řízením informačních a kybernetických rizik z úrovně top managementu (uvědomit si, že to není „jen problém IT“, ale zodpovědnost nejvyššího vedení a vlastníků).
Za druhé, od znalosti rizik postoupit k jejich vyváženému řešení (pracovat s parametry cena/výkon, řešit primárně ta největší rizika atd.)
Za třetí, snažit se o holistické řešení bezpečnosti.
Když tuto otázku postupně zúžím na oblast řešení rizik lidského faktoru, doporučuji přemýšlet o následujících otázkách:
Máte adekvátní celkový rozpočet a další (lidské) zdroje pro řešení bezpečnosti? (V jakém poměru jsou rozpočty security k celkové hodnotě rizik, v jakém poměru jsou k rozpočtu ICT apod.) Máte adekvátní rozpočet speciálně na řešení rizik lidského faktoru? Jak velký je podíl lidského faktoru z celkových rizik? (Některé statistiky uvádějí, že až 95 % úspěšných úniků dat bylo způsobeno lidským faktorem – jak je to u vás?)
Umíte měřit odolnost svých zaměstnanců v reálném životě? (Kolik vašich zaměstnanců např. „klikne na nebezpečný e-mail“, „prozradí heslo přes telefon“, „zapomene otevřený počítač nebo otevřené dveře“ atd.?) Jaký je podíl rozpočtu na vzdělávání zaměstnanců z celkového rozpočtu ICT security? Jaká je efektivita vašeho stávajícího řešení v této oblasti? Daří se vám zvyšovat odolnost zaměstnanců proti nejrůznějším a neustále se vyvíjejícím útokům a hrozbám?
Když to tedy celé shrnu do jedné věty: Přemýšlejte o všech rizicích, neustále o všem pochybujte a ptejte se, hlavně pak používejte zdravý selský rozum.
Autor textu: Michala Benešovská