Systémy řízení

Informační bezpečnost – vzdělávejme zaměstnance

Vybavíte si, kdy jste se naposledy účastnili školení na kybernetickou nebo chcete-li informační bezpečnost? Co si z něj pamatujete? Bylo srozumitelné?

Podle posledního průzkumu mezinárodní poradenské společnosti PwC 63% respondentů takové školení subjektivně vnímá jako nesrozumitelné či středně srozumitelné . Kolik znalostí si zaměstnanec odnese a co si ve skutečnosti zapamatuje?

Kdo se přímo nepohybuje v oblasti IT, žije si ve své bublině, kde má pocit, že se ho kybernetická bezpečnost netýká. Pokud vysloveně nevyhledává články na toto téma, mohly mu snadno uniknout informace o stále častějších kybernetických útocích nejen na organizace, ale i na domácnosti. Cíle jsou různé. V květnu převažovaly v České republice útoky cílené na zjištění uživatelských hesel , ale množí se i útoky na chytrá zařízení, která se řadí do skupiny internetu věcí (IoT). Podle společnosti ESET takové zařízení, které je ovládáno prostřednictvím chytrého telefonu, tabletu nebo počítače, vlastní skoro tři čtvrtiny Čechů, ale bezpečnost je důležitá jen pro desetinu z nich. Přestože si 92% dotázaných uvědomuje, že se údaje z těchto zařízení dají zneužít , klesá počet zařízení zabezpečených před kybernetickými hrozbami. Společnost ESET dokonce hovoří o tom, že svá zařízení přestáváme chránit . Bezpečnostní software na chytrém telefonu má pouhých 57% dotázaných, byť jsou tyto aplikace dostupné i v bezplatné verzi.

 

Doznívající pandemie změnila po celém světě organizaci práce ve společnostech. Jsme svědky nového trendu práce na dálku, mnohdy s možností pracovat na svém vlastním zařízení. Toto však přináší nemalé starosti organizacím, které jsou takto nuceny více se věnovat zabezpečení svých sítí a připojených zařízení, včetně takových, nad kterými nemají úplnou kontrolu.

Koncem loňského roku jsme zveřejnili statistiku útoků z našeho honeypotu v článku Kyberkriminalita, hacking, GDPR .

V průběhu jednoho listopadového týdne byl náš Honeypot vystaven více než 81 tisícům pokusů o přihlášení, přičemž tři čtvrtiny z nich byly vedeny z Ruska a více než 80% přihlášení byla prováděna z již kompromitovaných IP adres. Došlo k 135 541 pokusům o přesměrování požadavků. 44,64% případů se týkalo přesměrování na doménu ya.ru s cílem zahltit tuto službu požadavky pomocí velkého množství rozptýlených počítačů (útok DDoS). Čísla nás nemile překvapila už tenkrát, od té doby mnohonásobně narůstají.

Změnily se i pracovní postupy. Práce je nyní organizována prostřednictvím nejrůznějších cloudových služeb či videokonferenčních platforem, čemuž se rychle přizpůsobili hackeři. Deník Computerworld zmiňuje zprávu bezpečnostní společnosti McAfee, v které je uvedeno, že od ledna do dubna letošního roku vzrostl počet útoků na cloudové služby o 630% .

Výše uvedené údaje odráží fakt, který jsme zaznamenali i ve své praxi. Plošné školení zaměstnanců na téma informační bezpečnosti realizuje velmi malé procento zaměstnavatelů. Taková školení jsou obvykle cílena na management společnosti, nikoliv na všechny zaměstnance využívající ke své práci IT. A přitom za většinou případů prolomení zabezpečení stojí lidská chyba, které by se dalo předejít.

Důrazně apelujeme na plošné zavedení školení informační bezpečnosti a navíc na jeho pravidelné opakování, protože jedině tak se bezpečnostní pravidla dostanou do povědomí i těch zaměstnanců, kteří již dávno opustili školní škamna a o práci s IT vybavením či v prostředí Internetu ví jen tolik, kolik se naučili metodou pokus-omyl.

Kdo jiný než zaměstnavatel by jim měl rozšířit obzory, aby si byli vědomi toho, že ne každý flash disk je bezpečný, že by neměli otevírat každou přílohu mailu, že ne každá mobilní aplikace je důvěryhodná, že údaje na sociálních sítích jsou lehce zneužitelné nebo třeba, že dnes už může být zavirovaný i USB kabel a  nebo že obyčejná nabíječka může odposlouchávat bezdrátovou klávesnici . Pak i ti nejotrlejší přehodnotí svůj nákup drobných elektronických zařízení či součástek někde na Aliexpresu…

Avšak takové školení, aby bylo účinné a účastník si z něj co nejvíce odnesl, musí obsahovat praktický trénink, rady a zkušenosti. Navíc by mělo být srozumitelné a v ideálním případě i zábavné, protože když se u učení bavíme, více si toho potom i pamatujeme. Toho si jsou naši lektoři informační bezpečnosti vědomi a umí připravit školení na míru a dle požadavků vaší organizace.

Příjemným zpestřením by potom mohla být i novinka na trhu online školení. Cloudová hra Clashing , kterou jsme si zprostředkovaně vyzkoušeli, má potenciál stát se hrou, jež bude bavit a zároveň vzdělávat a zaměstnanci se k ní budou rádi vracet. Online školení informační bezpečnosti v tomto pojetí má podobu karetní hry pro dva hráče s trváním 10 – 15 minut. V rámci souboje mají za úkol buď svou organizaci chránit jako zaměstnanec nebo napadnout z pozice hackera. Aktuálně jsou k dispozici prostředí kancelář, mimo kancelář a home office, ale další budou postupně přibývat. Je to horká novinka od společnosti ANECT, která se právě nasazuje v České spořitelně a další klienti budou přibývat.

Jedná se o cloudovou službu a platí se za 12 měsíců používání dle počtu uživatelů. Minimální počet uživatelů je 20. Cena začíná na částce 1.000 Kč za uživatele a s rostoucím počtem zapojených osob se snižuje.


Společnost Q-COM je již více než 20 let předním českým poskytovatelem konzultačních, analytických a auditních služeb v oblasti řízení podniků a  informačních technologií. Na poli informační bezpečnosti poskytujeme tyto služby:

Q - COM Praktické prověření zaměstnanců (sociální inženýrství) a rozbor závěrů.
Q - COM Praktická analýza bezpečnosti a prezentace výstupů.
Q - COM Školení informační bezpečnosti. 
Q - COM Informační newslettery a online text na míru.

Starosti vyřešíme za vás.
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Neváhejte nás kdykoliv kontaktovat