Pravidelným bezpečnostním školením lze předejít 80 procentům kybernetických útoků

Miroslav Kořen

Miroslav Kořen Zdroj: Kaspersky

Každý desátý kybernetický útok na firmy je závažný, nejvíce je ohrožen veřejný sektor. „Velmi časté jsou cílené útoky a pokročilé trvalé hrozby, jež využívají artefaktů předchozích útoků,“ konstatuje Miroslav Kořen, generální ředitel společnosti Kaspersky pro region východní Evropy.

V nedávném průzkumu jste zjistili, že sedm z deseti českých firem nepořádá pro své zaměstnance žádná IT bezpečnostní školení. Čím si vysvětlujete tak velký nepoměr?

On je ten nepoměr skutečně velký i z hlediska pocitů zaměstnanců, protože ze stejného průzkumu nám vyšlo, že ačkoli přes 68 procent firem nepořádá žádná školení kybernetické bezpečnosti, tak téměř tři čtvrtiny zaměstnanců vidí v takových školeních smysl. Je to logické, protože je to zaměstnanec, kyberbezpečnostní laik, na kterého se snaží zločinci zaměřit a donutit ho udělat chybu.

Jakým způsobem?

Hodně časté jsou metody phishingu, kdy se zločinec nabourá do firemní sítě a skrytě sleduje zaměstnance, postupně se zorientuje v organizační struktuře a vyčkává na vhodný okamžik. Ví například, jakým způsobem mezi sebou komunikují přes e-mail manažeři a jejich podřízení. Potom jménem nadřízeného pošlou e-mail z jeho adresy na adresu zaměstnance a například ho vyzvou, aby se podíval na nějaký web a kliknul na odkaz, nebo aby účetní proplatila nějakou smyšlenou fakturu. Z našich zkušeností víme, že 90 procent incidentů bylo způsobeno lidskou chybou.

Dá se vůbec proti takovým sofistikovaným metodám bránit? Podle toho, jak to popisujete, by člověk nemohl věřit nikomu a ničemu.

Je to jednoduché, zaměstnanci by rozhodně neměli klikat na odkazy v e-mailech, pokud si nejsou stoprocentně jisti, že vedou na bezpečné stránky. Pokud přijde žádost nadřízeného o proplacení faktury na účet, kam dosud firma neposílala žádné peníze, není nic jednoduššího než zvednout telefon a fakturaci si u nadřízeného prověřit osobně. Ale to už jsou pravidla, která by se měli dozvídat na pravidelných bezpečnostních školeních.

Dá se nějak kvantifikovat, jak moc školení mohou pomoci?

Ano, z našeho globálního průzkumu vyplývá, že pravidelným školením lze redukovat až 80 procent lidských chyb. Je to právě lidská chyba, která vede k naprosté většině kybernetických incidentů. Průměrný finanční dopad úniku dat ve velkých firmách, při kterém hrál hlavní roli lidský faktor, pak podle našich propočtů dosahuje výše 1,2 milionu dolarů. U středně velkých firem to je 116 tisíc dolarů a globální finanční ztráty firem se kvůli těmto incidentům pohybují ročně ve výši 1,7 miliardy dolarů. To už je pádný důvod k zamyšlení, zda školit personál či nikoli.

Jak by takové školení mělo vypadat, aby bylo účinné?

Určitě by měla být cílená adekvátně rolím zaměstnanců ve firmě. Zaměřit by se měla na reálné potřeby a míry rizika pro danou roli a obsahovat by měla příklady z praxe. Nemělo by jít o strašení, spíše o pozitivní motivaci k bezpečnému chování na internetu. My například nabízíme školení, jehož součástí je bezpečnostní hra, kdy zaměstnanci firmy vytvoří skupiny a snaží se společně zabezpečit fiktivní infrastrukturu a u toho čelit různým hrozbám. Pro všechny je to zábava a zároveň se neotřelou formou naučí, čeho se mají vyvarovat.

Co když ale zaměstnancům přijde školení složité?

Nemělo by být. Je třeba poskytnout informace, které lze jednoduše vstřebat a udržet. Musí se postupovat od jednoduchých záležitostí ke složitějším. Samozřejmě je třeba zaměstnance vyškolit i na to, jak se zabezpečit při práci z domova, což je asi nejkritičtější bod zabezpečení firem. A pokud mají mít školení smysl, měla by se pravidelně opakovat, alespoň několikrát ročně. Ono může jít i o online školení, které zaměstnanec zvládne odkudkoli. Důležitá je neustálá snaha o aktualizaci informací, protože kybernetické hrozby se vyvíjí a lidé by proto měli být připraveni na nové typy útoků a vědět, jak jim zabránit.

 

Miroslav Kořen

Miroslav Kořen je generálním ředitelem bezpečnostní společnosti Kaspersky pro region východní Evropy. Ze své pozice odpovídá za vedení národních týmů ve 20 zemích včetně České republiky a Slovenska. Je zodpovědný za dlouhodobý růst a výkonnost firmy v oblasti kyberbezpečnostních řešení napříč trhy v tomto regionu.