Miro Kohút o potrebe vzdelávania
Máte k dispozícii dáta o tom, koľko firiem sa aktívne venuje vzdelávaniu zamestnancov?
Presné dáta a štatistiky ako firma k dispozícii nemáme, ale existujú globálne štatistiky, ktoré sa venujú tejto problematike. V súčasnosti je to približne 2/3 firiem, ktoré sa aktívne venujú vzdelávaniu a školeniu svojich zamestnancov. Na Slovensku toto číslo bude možno nižšie.
Prečo je vzdelávanie aj v tejto oblasti pre firmy dôležité? Aké sú best/worst cases z vašej praxe?
Verím, že všetci rozumieme dôležitosti vzdelávania. Čo sa týka bezpečnosti je podstatné, aby zamestnanci, ktorí sa možno nikdy nestretli s bezpečnostným incidentom, mali aspoň základné znalosti o tom, ako útočník môže postupovať. Mali by vedieť identifikovať bezpečnostné hrozby, vedieť na ne reagovať a správne sa správať v prostredí organizácie.
Čo sa týka príkladov, najlepší scenár je taký, že ani nezistíte, že na vás niekto útočí – napríklad pri phishingu, keď zamestnanci aktívne reagujú, ignorujú podozrivé e-maily a vedia správne nahlásiť pokusy o útok. Sú si vedomí, ako majú nastavovať heslá a poznajú základné bezpečnostné princípy. Najhorší scenár je prípad jednoduchého phishingového e-mailu alebo ransomvéru, ktorý sa tvári, že ho poslal interný zamestnanec. Tento útok môže odstaviť celú operatívu organizácie – môžu byť neprístupné faktúry, objednávky, výroba môže byť pozastavená, reportingy prestanú fungovať. Obnovenie funkčnosti môže trvať dlho, a útočník môže požadovať výkupné. Jednoduchým vzdelávaním zamestnancov dokážete zastaviť takéto aktivity útočníkov a ochrániť organizáciu aspoň na základnej úrovni.
Aké sú minimálne kľúčové zručnosti, ktoré by mali mať zamestnanci a zamestnávatelia?
Hoci existuje veľa bezpečnostných opatrení, zamestnanci by mali mať aspoň základné povedomie a byť kritickí pri rozhodovaní. Mali by vedieť identifikovať phishingové e-maily, ransomvér či iné hrozby. Okrem toho by mali vedieť správne nastavovať heslá, dodržiavať politiku dvojfaktorovej autentifikácie a vedieť reagovať na incidenty. Dôležité je informovať organizáciu o vzniknutom incidente a poznať ďalšie kroky, ako postupovať.
Organizácia by mala vedieť reagovať a mať vypracované aspoň základné politiky na prípad bezpečnostného incidentu. Zamestnanci by mali byť o týchto postupoch poučení. Okrem toho by mali organizácie implementovať dvojfaktorovú autentifikáciu a dodržiavať základné bezpečnostné princípy.
Aké by mali byť kľúčové prvky interného vzdelávacieho programu pre zamestnancov v oblasti kybernetickej bezpečnosti?
V rámci vzdelávacieho programu by zamestnanci mali chápať jeho dôležitosť. Program by nemal byť príliš obsiahly, ale mal by byť stručný a jasný, aby neodradil zamestnancov, ale zároveň aby pochopili základné princípy kybernetickej bezpečnosti, ako reagovať na incidenty, ako identifikovať hrozby a ako sa správať v rámci organizácie podľa nastavených politík.
Zamestnanci by mali byť pravidelne školení. Nemalo by to byť jednorazové školenie pri nástupe do organizácie, ale malo by byť pravidelné, niekedy aj náhodné, aby sa otestovalo kritické myslenie. Práve v situáciách, keď to zamestnanci nečakajú, môže nastať incident, a práve preto je dôležité, aby boli vždy pripravení.