V dnešní době se kybernetická bezpečnost týká každého z nás, a to platí i v práci. Každodenně na světě dochází ke kybernetickým útokům, které firmy stojí finance a reputaci. Vzhledem k tomu, že lidský faktor obvykle bývá nejslabším článkem kybernetické ochrany, je potřeba nejen investovat do vzdělávání a osvěty zaměstnanců, ale i zařídit dodržování vymezených pravidel.

Tento článek se zabývá možnostmi zvýšení ostražitosti zaměstnanců ohledně kyberbezpečnosti a praktickými řešeními této problematiky ve firmách.

Firemní politiky a metodiky

I když se dnes firmy zajímají o bezpečnost svých informačních systémů signifikatně více, mnoho jich nemá pevně daná pravidla, která by poskytla zaměstnancům akceptovatelné a zakázané chování v pracovním kyberprostoru. Strategie firemní kyberbezpečnosti se sice liší dle velikosti podniku či finančních možností, ale i tak by měla obsahovat základní pravidla firemní digitální hygieny.

Mezi osvědčené praktiky patří:

• Užívání silných hesel a multifaktorového ověřování.

• Ukládání citlivých informací pouze na schválených a bezpečných platformách.

• Omezení přístupu k důvěrným údajům jen na oprávněné osoby.

• Zákaz sdílení přihlašovacích údajů.

• Zákaz instalace neautorizovaného softwaru a stahování souborů z nedůvěryhodných zdrojů.

• Zákaz klikání na podezřelé přílohy a odkazy.

• Šifrování interní e-mailové komunikace.

• Zamykání obrazovky při odchodu z pracoviště.

• Okamžité nahlášení podezřelého chování a jevů vedení či příslušným zaměstnancům.

Pokud firma nemá své vlastní IT oddělení či dodavatele IT služeb, měla by investovat do zaměstnanců, kteří udržují důležité kyberbezpečnostní prvky v chodu. Jedná se např. o aktualizace antivirových programů, nastavení firewallu či skenování systémů. Je také možné zavést pokuty a tresty za opakované hrubé nedodržování či porušování daných pravidel.

Nedílnou součástí by měl být také návod, jak se chovat při rozpoznaném incidentu, ideálně krok po kroku podle typu útoku. Důležité je i zavedení pochopitelného a jednoduchého systému ohlašování podezřelých jevů.

Workshopy a školení

Ať už se jedná o e-learningové kurzy, či on-site workshopy, všichni zaměstnanci by měli projít alespoň základním školením, které jim ukáže, jak bezpečně přistupovat k firemním informačním systémům a informacím v nich.

Možností je hodně, nicméně je vhodné se zaměřit na interaktivní rozpoznávání potenciálních hrozeb a patřičnou reakci. Pro nejlepší výsledky je vhodné nabývání znalostí a praktických dovedností gamifikovat např. skrze role-play různých bezpečnostních incidentů.

K udržení motivace je možné nejlepší či nejaktivnější zaměstnance nějakým způsobem odměnit. Důležité je také hodnocení efektivnosti takových školení skrze testování zaměstnanců před a po daném kurzu.

Pravidelné vzdělávání může zvýšit „kyberbezpečnostní kulturu“ společnosti a vytvořit prostředí, které aktivně a značně snižuje možnost odcizení citlivých údajů, poškození pověsti a ztráty finančních prostředků.

Simulace

Simulace různých druhů kybernetických útoků je efektivní metodou, jak prověřit teoreticky získané znalosti v praxi. V současnosti existují firmy, které tyto služby poskytují, nicméně simulace jednodušších hrozeb, jako je např. phishingový nebo spearphishingový e-mailový útok, zvládne udělat i management či IT oddělení.

Jinak se může jednat o simulace dalších hrozeb:

• Ransomwarový útok – simulace zašifrování firemních dat a požadavku na výkupné. Jelikož se jedná o jeden z nejčastějších typů útoků vedeného proti firmám, je prospěšné, aby zaměstnanci i management věděli, jak reagovat a na koho se obrátit. Tento typ simulace by měl vyzkoušet nejen připravenost a kvalitu záloh dat, ale může poskytnout příležitost pro natrénování komunikace, jak se státními autoritami, tak i s útočníky ohledně výkupného.

• Fyzické sociální inženýrství – touto simulací by se mělo zkoušet, jestli je možné, aby se cizí osoba dostala někam, kam by neměla mít přístup, včetně přístupu k informačním systémům a datům. Typicky se může jednat o cizí „zapomenutý“ flash disk zanechaný na viditelném místě nebo manipulaci s lidmi na recepci či jiném vstupním bodě k přístupu do prostorů, kde je pohyb osob omezen.

• Red Team/Blue Team – tato simulace je spíše cílena na IT či kyberbezpečnostní oddělení. Jedná se o testování obranných schopností a dovedností. Blue Team slouží jako obránci kyberprostoru a dat, zatímco Red Team se snaží všelijakými způsoby jejich obranu prolomit.

Simulace je jedna z nejlepších metod, jak propagovat kyberbezpečnostní ostražitost, protože zaměstnancům dokáže, jak jednoduše či nenápadně jsou proveditelné, a následky i průběh je možno pocítit na vlastní kůži.

Opatrně i na soukromých zařízeních

Osobní digitální návyky se mohou projevit i v práci, proto je určitě pro zaměstnavatele výhodné podporovat bezpečné chování i na soukromých zařízeních, zvláště pokud firma povoluje jejich využívání k pracovní činnosti.

V těchto případech je velmi výhodné mít zavedenou tzv. Bring Your Own Device politiku, která se soukromými zařízeními v pracovním prostředí zabývá.

Obecně používanými metodami jsou:

• Kontejnerizace – oddělení osobních a pracovních dat na jednom zařízení.

• Instalace firemního bezpečnostního softwaru a pravidelné aktualizace antivirových programů.

• Definování postupů při krádeži či ztrátě zařízení.

• Seznam zakázaných a povolených aplikací.

• Bezpečné připojení k síti skrze VPN.

Zdroj: kybez.cz