Jak může gamifikace pomoct v oblasti kybernetické bezpečnosti
Ne každé bezpečnostní školení je posluchačům prezentováno takovou formou, aby je zaujalo. Nový rozměr kybernetické bezpečnosti proto přináší gamifikace.
Kybernetická bezpečnost není jednoduchá oblast. Neustále se hovoří o nutnosti důkladného vzdělávání zaměstnanců a osvětě mezi uživateli. Školení, semináře, přednášky jsou ale přínosné jen v případě, že si z nich posluchači odnesou nové znalosti, které budou schopni využít. Jenže ne každé školení je posluchačům prezentováno takovou formou, aby je zaujalo. Nový rozměr kybernetické bezpečnosti přináší gamifikace.
Když je řeč o kybernetické bezpečnosti, každý asi máme povědomí o tom, co do této oblasti v dnešní době spadá. Jenže tradiční představa toho, jak by mělo školení o bezpečnosti probíhat, zahrnuje nudné přednášky nebo nekonečné prezentace v PowerPointu. To je pro posluchače konečná a zaměstnancům toho moc nedají, ti neudrží pozornost po celou dobu a nedokážou tyto informace adekvátně vstřebat, natož pak poznatky aplikovat. Klíčem není demonstrovat příklady phishingových útoků nebo typů malwaru, ale upoutat pozornost a zároveň učinit celé školení kreativním: a tady se dostáváme ke gamifikaci.
Jak funguje gamifikace
Detailněji se tedy podíváme, co je to vlastně gamifikace. Zjednodušeně jde o zavedení herních prvků do neherního prostředí a kontextu. Podle slovníkové definice gamifikace spočívá v přidání herních principů, herního myšlení nebo herní logiky k úkolu, který má podpořit zapojení se účastníků. Pokud je učení interaktivnější a zábavnější, účastníci jsou motivováni, aby se více věnovali materiálu a trénovali. Protože si to vyzkoušejí sami, mohou se rychleji učit a přenést materiál do dlouhodobé paměti. Největší uplatnění gamifikace nachází zejména v marketingu, ale prostor má i v oblasti kybernetické bezpečnosti. Jedním z nejjednodušších příkladů gamifikace, pokud jde o kybernetickou bezpečnost, jsou phishingové útoky. Místo ukázek phishingu je možné školit zaměstnance pomocí hry nebo kvízu, kde budou muset phishing poznat.
Aby bylo cvičení ještě účinnější, lze přidat hodnocení a body. Jakmile zaměstnanci nashromáždí dostatek bodů, mohou je vyměnit za ceny. Odměny je udržují zapojené a motivované, aby se alespoň trochu snažili, a zároveň zvládali dovednosti, které se po nich vyžadují.
Kdo to myslí s gamifikací vážně a chce ji pozvednout na vyšší úroveň, může si zakoketovat s leaderboardy, aby si zaměstnanci navzájem konkurovali. Zdravá konkurence nikdy neškodí a také dodává motivaci, protože každý chce podávat výkony alespoň na stejné úrovni jako jeho kolegové. Školení formou gamifikace je přínosné: zaměstnanci nejenže zůstávají motivovaní a angažovaní, ale výsledky vidí i zaměstnavatel.
V první linii
Zaměstnanci jsou v první linii v případě kybernetických útoků a chyby jsou nákladné; v případě závažného narušení kybernetické bezpečnosti nebo incidentu však obvykle musejí jednat vedoucí pracovníci a vypořádat se s důsledky a následky. Jsou to právě oni, kdo musí identifikovat hrozby a činit rozhodnutí, zvláště když jde o čas. Takže musejí taky trénovat a nestále se školit. A jak lépe trénovat než zažít kyberútok – tedy simulovaný. Možná jste už slyšeli o konceptu válečných her; ty používají armády po celém světě, aby vyzkoušely své teorie a strategie, aniž by se musely zapojit do skutečného sváru.
Hry, které školí
Simulace kybernetického útoku funguje na stejném předpokladu: společnost si může vyzkoušet reakční dobu a obranu, aniž by došlo k jakémukoliv poškození. Na základě výsledků pak může analyzovat oblasti, ve kterých její politiky a dovednosti chyběly, a zlepšovat je. Za prvé a především je to vzdělávací cvičení – ale protože napodobuje reálné scénáře, je snazší pochopit (simulované) útoky, jakmile je zažijete, než o nich jen číst. Jednu takovou hru vyvinula společnost Pricewaterhouse Coopers. Game of Threats je hra, která simuluje zkušenosti manažerů, když se jejich společnost stane terčem kybernetického útoku. Během hry hrají účastníci jako útočníci i obránci, kteří pracují proti času a s omezenými prostředky proti protivníkovi. Hra vyzývá účastníky k rychlým a důrazným rozhodnutím. Pomáhá jim pochopit činnosti, které mohou přinést největší změnu, a poskytuje cenný vhled do rozmáhajících se kybernetických hrozeb.
Profesionální online školení informační bezpečnosti ve formě karetní hry, která je založena na souboji mezi potenciálním hackerem a samotným zaměstnancem, představila také společnost Anect. Hra s názvem Clashing je určena dvěma hráčům. Cílem hry je zvýšit povědomí o různých formách kybernetických hrozeb, se kterými se mohou zaměstnanci dnes setkat. Každá hra trvá cca 10 až 15 minut. Každý z hráčů má přitom za úkol buď chránit svou organizaci jako zaměstnanec, nebo ji jako hacker napadnout.
Hra se obsahově dokáže plně přizpůsobit bezpečnostním pravidlům konkrétní organizace, navíc je v souladu s bezpečnostními normami a odpovídá také aktuálním útokům a situacím, které zaměstnancům hrozí např. nyní v prostředí práce z domova. Její ceník se odvíjí od počtu zaměstnanců firmy a zřízených účtů.
K dispozici je také správa účtů zaměstnanců s informacemi o již absolvovaných školeních a možnost plánovat další školicí kampaně, vedoucí pracovníci a HR tým pak mohou sledovat úspěšnost plnění školení a nejúspěšnějšího zaměstnance na konci roku třeba i potěšit cenou pro vítěze.
Základní znalost zásad kybernetické bezpečnosti je v dnešní době nutností a firmy musejí své zaměstnance neustále školit a zvyšovat jejich povědomí o hrozbách, kterým čelí. Tvůrčí a novátorský přístup k odborné přípravě může mít obrovský význam – nejenže bude pro zaměstnance poutavý, ale je pravděpodobnější, že budou zdatnější v identifikaci kybernetických hrozeb.
Autor textu: Michala Benešovská