Člověk jako nejslabší článek kyberbezpečnosti. 5 tipů, jak školit vaše zaměstnance
Barbora Nováková
13. 10. 2023
Představte si, že přijdete v pondělí do práce. Když jdete ke svému počítači, na zemi vidíte ležet flashku s nápisem Výplaty. Zvědavost vám nedá a USB disk bez rozmyslu zasunete do počítače. „Stal jste se obětí kyberútoku, máme teď přístup ke všem vašim firemním datům,“ hlásá nápis na monitoru nemilosrdně. Jak byste se v takové chvíli cítili? Dobrou zprávou je, že o kybernetický útok tentokrát nešlo. Byl to falešný USB útok, který si firma v rámci školení o kyberbezpečnosti objednala. A naletěla víc než třetina lidí. Lidé jsou totiž nejrizikovějším článkem firemní kyberbezpečnosti.
Koncept nulové důvěry byl definován už v roce 2010. Díky technologiím, jako je například ZTNA, se daří aplikovat tyto principy i na současnou moderní IT architekturu.
„Všichni zaměstnanci musí mít povědomí o tom, co hrozí, třeba jak vypadá phishingový e-mail a jak se při podezření zachovat,“ komentuje Radek Šichtanc, ředitel bezpečnosti O2. Do systematického školení zaměstnanců se proto vyplatí investovat.
Řada firem dnes nabízí nepřeberné množství školení zaměstnanců. V záplavě nabídek ale můžete mít potíž se vyznat. Co by takovému školení zaměstnanců v oblasti kyberbezpečnosti nemělo chybět? Přinášíme 5 tipů, jak si správně vybrat.
Tip 1: Školte před kyberhrozbami, které hrozí vaší firmě
Ještě před tím, než začnete školení vybírat, byste měli pečlivě zanalyzovat rizika, která hrozí právě vaší firmě. Z takové analýzy snadněji vyplyne zaměření konkrétních školení. Pro každou firmu budou logicky jiná. Některé firmy například nebudou své zaměstnance školit na USB útoky, protože mají USB porty úplně zakázané. Jiné naopak budou investovat do školení zaměřených na ochranu osobních údajů, protože v rámci svého podnikání často zpracovávají citlivé informace.
Tip 2: Zaměstnanci na různých pozicích potřebují jiná školení
Bezpečnostní trénink doporučujeme přizpůsobit potřebám konkrétních pracovníků. „Jiné školení by měli absolvovat lidé z IT oddělení (například zaměřené na ransomware) a jiné lidé z obchodního – třeba na BEC útoky (Business E-mail Compromise), při kterých podvodníci vylákají z firmy peníze podvodnou fakturou nebo vydáváním se za někoho z managementu,“ upozorňuje Martin Haller, spolumajitel firmy PATRON-IT a odborník na kybernetickou bezpečnost. Naopak u řadových zaměstnanců budujte povědomí o možných phishingových hrozbách nebo jiných metodách sociálního inženýrství. Základní povědomí o nejčastějších kybernetických hrozbách by měli mít ale všichni zaměstnanci.
Tip 3: Lepší jsou pravidelná a menší školení než jedno velké ročně
Expert na kyberbezpečnost malých a středních firem Martin Haller doporučuje pořádat raději menší, ale pravidelná školení v kratších časových intervalech než jedno velké školení za rok. Jedině pravidelným připomínáním si vaši lidé dobře zapamatují informace a zásady kybernetické bezpečnosti.
Tip 4: Školení by mělo být aktuální, zohledňovat trendy a být zábavné
Dobré školení také reaguje na nejaktuálnější trendy. Hackeři jsou vynalézaví a stále přicházejí s novými metodami, jak útočit. Například podle našeho O2 Security reportu jsou v poslední době na vzestupu phishingové útoky. Jedním z možných důvodů může být obrovský vzestup používání generativní umělé inteligence, která umí napsat podvržený e-mail přesvědčivěji a bez gramatických chyb. Školení dost často zaměstnanci vnímají jako nudné a nutné zlo. Nebojte se proto do školení zapojit herní prvky tak, abyste formu školení učinili pro cílovou skupinu zajímavější. U nás v O2 se snažíme neustále přicházet s novými technikami školení v oblasti bezpečnosti a jednou z technik je i gamifikace. Aktuálně u nás právě probíhá kampaň, kde formou online hry na kyberútočníky a obránce školíme zaměstnance v tom, aby si osvojili správné návyky bezpečného chování v online prostředí, ve firmě i při práci z domova.
Rozpoznání phishingového emailu může být komplikované, ale několik klíčových znaků vás může varovat:
- Dříve byly podvodné e-maily psané s gramatickými nebo stylistickými chybami, to už dnes ale neplatí stoprocentně.
- Útočník na vás naléhá, abyste mu vyhověli v krátkém časovém úseku, a vyvíjí na vás časový nátlak.
- Někdo vás prosí o nestandardní požadavek (třeba o finance nebo osobní údaje).
- Adresa příjemce se liší od původní adresy odesílatele a působí podezřele.
- Po najetí kurzorem na odkaz v e-mailu se ukáže skutečná URL a liší se od uváděného odkazu.
Tip 5: Správně zorganizované školení může být zaměstnaneckým benefitem
Když zorganizujete školení v kyberbezpečnosti dostatečně akční a lákavé, můžete s ním operovat jako se zaměstnaneckým benefitem, protože si při něm vaši lidé osvojí hard skills i soft skills, které jim budou užitečné i mimo pracovní prostředí. Například můžete do školení zahrnout také dovednosti, které lze použít i v běžném životě (ochrana osobních údajů na sociálních sítích, zásady bezpečnosti online nakupování). Vedle technických dovedností se na školení můžete zaměřit i na rozvoj soft skills, jako jsou například komunikace, kritické myšlení nebo rozhodování v krizových situacích. Tyto dovednosti jsou přenosné do mnoha aspektů života.
Impersonace jako kybernetický postrach. O co se jedná?
Zobrazit článek
Kde najít kvalitní školení kyberbezpečnosti?
Kromě komerčních kurzů od firem, jako je ICT Pro, Czechitas nebo počítačová škola Gopas, existuje také mnoho školicích materiálů od NÚKIBu – kurzy a tréninky zaměřené na kybernetickou bezpečnost, které jsou určeny pro různé cílové skupiny uživatelů, včetně běžných uživatelů, studentů, podniků a státních institucí.
Kyberbezpečnostní školicí platforma od O2
- E-learningová platforma, která nabízí různé podoby školení zaměstnanců ohledně kyberbezpečnosti.
- Součástí jsou také vzdělávací texty, které jsou postavené tak, že jim zaměstnanci musí věnovat pozornost.
- Poskytuje i testovací phishingový, spearphishingový nebo USB útok.
- Firma si může nastavit četnost, rozsah i kombinace různých modulů, aby dostala přesně to, co potřebuje.
- Testovací šablony je možné si upravit tak, aby odpovídaly vašemu oboru.
- Do podoby platformy se neustále propisují trendy a nové hrozby.
V dnešní digitálně propojené době je kyberbezpečnost nejen technickou záležitostí, ale stává se klíčovou součástí strategického managementu. Nedostatek pozornosti věnované kyberbezpečnosti vystavuje vaši firmu nejen riziku finančních ztrát, ale také potenciálnímu poškození reputace a důvěry vašich zákazníků.
Školení zaměstnanců v oblasti kyberbezpečnosti je investicí do odolnosti a konkurenceschopnosti vaší firmy. Proškolení zaměstnanci, kteří jsou schopní identifikovat a adekvátně reagovat na bezpečnostní hrozby, jsou první obrannou linií proti kybernetickým útokům. Vedení společnosti by proto mělo jít příkladem a zaměstnancům poskytnout kromě technických nástrojů i dostatečný a pravidelný training.
Co si z článku odnést:
- Proškolení zaměstnanci jsou první obrannou linií proti hackerům. Dostatečné vzdělání zaměstnanců může zabránit mnohým pokusům o kyberútok.
- Školení řadových zaměstnanců může zejména zvýšit odolnost proti phishingovým útokům, které jsou jedním z nejčastějších úspěšných útoků.
- Školení by měla předcházet analýza rizik, která vás nasměruje k tomu si objednat training na míru právě vaší firmy.
- Lepší než jedno velké školení ročně je řada menších, ale častějších pravidelnějších.
Barbora Nováková
Marketingový specialista pro B2B
Byl pro vás článek užitečný?