6 minute read
Anect: O efektivním vzdělávání v kybernetické a informační bezpečnosti
Vzdělávání v oblasti kybernetické bezpečnosti patří k jedné z nejdůležitějších součástí komplexní bezpečnostní strategie. Jak ale efektivně vzdělávat? Ivan Svoboda, senior security advisor ve společnosti Anect, nám představil online hru Clashing, která představuje nový způsob vzdělávání v oblasti informační a kybernetické bezpečnosti.
Můžete představit váš projekt, online hru, Clashing? Proč vznikla, jak funguje a komu je určena?
Clashing je jedním z nejúspěšnějších produktů našeho inovačního programu, který jsme nastartovali již v roce 2018, společně s inovační agenturou Direct People. Na začátku jsme se rozhlíželi po nejrůznějších oblastech IT trhu a procházeli jsme inspirativními rozhovory se spoustou vizionářů z nejrůznějších firem v Česku. Při těchto rozhovorech jsme zkoumali různé zákaznické zájmy a potřeby, zejména ty, které nejsou uspokojivě řešeny stávajícími nástroji, které jsou na trhu dostupné.
Velmi často se při těchto rozhovorech opakovalo téma zaměstnanců jakožto rostoucího rizikového faktoru z hlediska informační a kybernetické bezpečnosti. Bylo jasně vidět, že se jedná o silně rostoucí trend, který není adekvátně a hlavně efektivně řešen žádným existujícím nástrojem.
U současných existujících nástrojů v oblasti zvyšování bezpečnostního povědomí, zejména u klasického e-learningu, společnosti opakovaně zmiňovaly jako jejich hlavní problémy nudnost a nulový důsledek ve formě změny skutečného chování zaměstnanců.
Co je to Clashing a komu je určen?
Clashing je profesionální online školení informační a kybernetické bezpečnosti v podobě karetní hry, díky které se zaměstnanci zábavnou formou naučí a protrénují bezpečné chování a správné návyky v kybernetickém i fyzickém prostředí.
Clashing je určen pro školení běžných zaměstnanců; není to tedy primárně pro IT experty, ale ani ti by z tohoto tréninku neměli být vyřazováni, protože v praxi se často potvrzuje, že i IT experti se mohou dopouštět zcela triviálních pochybení.
Jak Clashing funguje?
Clashing funguje jako tréninková platforma pro nácvik bezpečného chování, ve které zaměstnanci soupeří navzájem mezi sebou; jeden z hráčů vystupuje jako útočník a druhý jako zaměstnanec.
Clashing je karetní online hra pro dva uživatele. Každý z hráčů má za úkol buď chránit svou organizaci jako zaměstnanec, anebo ji jako hacker napadnout. Hacker má za úkol vykládat karty s možnými kybernetickými útoky a zaměstnanec musí reagovat a připravovat efektivní obranu proti nim. Jedna partie trvá přibližně 15 minut. V průběhu celé hry mají hráči možnost zjistit více informací o dané problematice. Automaticky se jim objeví třeba při úspěšném odražení útoku hackera.
Clashing si mohou užít zaměstnanci i v mezinárodních týmech. Mohou proti sobě hrát, a to každý ve svém zvoleném jazyce. Aktuálně podporovaná je čeština a angličtina; další jazyky přidáme brzy.
Proč jste zvolili pro vzdělávání v oblasti kybernetické bezpečnosti tuto formu?
Herní a vzdělávací principy platformy Clashing umožňují dosáhnout vyšší efektivity změny skutečného chování zaměstnanců, díky následujícím aspektům: • Zábavnost, opakování a posilování správných návyků: s Clashingem se zaměstnanci už nebudou u školení nudit. Zábavnou formou hry se přirozeně a automaticky vzdělávají a mají chuť hru opakovat, čímž si „bezbolestně“ upevní své bezpečnostní návyky. • Pohled útočníka: každý zaměstnanec si může Clashing zahrát také z pohledu útočníka. Díky tomu se z možných útoků lépe poučí a pochopí důležitost nejrůznějších bezpečnostních opatření a pravidel, která jinak často považuje za nesmyslná.
• Přirozené vzdělávání a hledání souvislostí: zaměstnanci se díky Clashingu učí, aniž by to sami vnímali. Opakovaně čtou obsah karet, a hledají tak i několikrát během jedné partie klíčové souvislosti mezi hrozbami a jejich účinnou obranou. • Kolegové jako soupeři: každý ze zaměstnanců má možnost porovnat své výsledky s kolegy a vyzvat je na souboj. Souboj s reálným živým protivníkem přináší mnohem silnější emoce než pouhý kvíz nebo test.
Souhrnně lze říci, že pro změnu chování zaměstnanců je opakovaný trénink a pochopení souvislostí typu útok–obrana naprosto nezbytné.
Máte nějakou zpětnou vazbu / reference?
Ano, zpětná vazba z trhu i od řadových uživatelů je pro nás velmi důležitá, a dokonce ji systematicky sbíráme, po celou dobu od prvních vývojových stádií až po současnost, kdy máme řešení nasazeno v produkční verzi. Zpočátku jsme sledovali zejména následující aspekty z pohledu koncových uživatelů: • Srozumitelnost (i pro řadové zaměstnance bez jakýchkoliv hlubších znalostí IT a bezpečnosti), • zábavnost (i pro zaměstnance, kteří nejsou „fanoušky online her“), • edukaci (o vzdělávací a výchovný efekt se snažíme de facto podprahově, aniž by to zaměstnanci prvoplánově vnímali), • preferenci (jakému typu školení dáte přednost?).
A všechny výše uvedené aspekty vycházejí pro Clashing velmi pozitivně.
Za posledních pár týdnů od uvedení první produkční verze hry máme za sebou už desítky úspěšných testů v nejrůznějších společnostech od velkých mezinárodních firem až po malé „firmičky“. V naprosté většině se setkáváme s velmi pozitivním přijetím napříč všemi sociodemografickými skupinami, ať z pohledu věku, vzdělání, či pracovní náplně. Jen málokterý zákazník ale odsouhlasil poskytnutí veřejné reference, z důvodu citlivosti; nejzajímavějším zákazníkem k referenci je Česká spořitelna, která procházela velmi pečlivým testováním účinku Clashingu na různých skupinách zaměstnanců a nyní Clashing ve firmě plně nasadila.
Jak se v posledních letech změnil přístup firem ke kybernetické bezpečnosti?
Myslím, že celosvětově se stále spousta firem potýká s ne zcela efektivním přístupem ke kybernetické bezpečnosti, který se komplikuje hned v několika rovinách:
Na jedné straně podceňování celkového rizika pro úspěšnost firem a organizací, což vede např. k podceněnému rozpočtu security, k nedostatečné podpoře ze strany nejvyššího vedení, k roztříštěnému řízení atd.
Zároveň na druhé straně je to často roztříštěný přístup typu „lepení největších či nejviditelnějších děr“ namísto holistického přístupu, který je založen na principech „obrana ve vrstvách“, „řízení rizik“, „zero trust“, „dynamická a adaptivní bezpečnost“ atd.
Zároveň mám ale pozitivní pocit, že výše zmíněné problémy se daří postupně odstraňovat a situace se nepochybně zlepšuje (ve všech zmíněných oblastech), i když občas je to jen „díky“ medializovaným incidentům typu útoky na nemocnice apod.
Je známý fakt, že nejslabším článkem firemní kybernetické bezpečnosti jsou zaměstnanci. Pozorujete zde nějaké změny k lepšímu?
Odpověď je dost podobná jako reakce na otázku výše. Ještě před pár lety toto byla oblast téměř neřešená; řada ředitelů firem reagovala na dotaz „Jak jste na tom s bezpečností?“ zhruba způsobem: „Máme antivirus a firewall, to přece musí stačit, ne?“ Tím chci říci, že ještě před pár lety spousta firem vůbec neřešila další vrstvy bezpečnosti, např. lidský faktor, koncové stanice a mobily, cloud, aplikace, datovou bezpečnost atd.
Za posledních pár let ale vidíme, že většina firem pochopila důležitost zejména těch lidských rizik, a dokonce se začala pokoušet o nějaké řešení tohoto problému, včetně snahy o vzdělávání a testování bezpečnosti zaměstnanců.
Zatím ale s tradičními nástroji typu statický e-learning naráží na neefektivnost tohoto přístupu (lidi to prostě nebaví a nedochází ke změně jejich chování); proto také přicházíme s platformou Clashing, která má právě za cíl přinést efektivní snížení rizik lidského faktoru.
Jak by podle vás měla firma přistupovat ke kybernetické bezpečnosti, aby byla maximálně efektivní?
Za prvé zejména začít s vrcholovým řízením informačních a kybernetických rizik z úrovně top managementu (uvědomit si, že to není „jen problém IT“, ale zodpovědnost nejvyššího vedení a vlastníků).
Za druhé, od znalosti rizik postoupit k jejich vyváženému řešení (pracovat s parametry cena/výkon, řešit primárně ta největší rizika atd.)
Za třetí, snažit se o holistické řešení bezpečnosti.
Když tuto otázku postupně zúžím na oblast řešení rizik lidského faktoru, doporučuji přemýšlet o následujících otázkách:
Máte adekvátní celkový rozpočet a další (lidské) zdroje pro řešení bezpečnosti? (V jakém poměru jsou rozpočty security k celkové hodnotě rizik, v jakém poměru jsou k rozpočtu ICT apod.) Máte adekvátní rozpočet speciálně na řešení rizik lidského faktoru? Jak velký je podíl lidského faktoru z celkových rizik? (Některé statistiky uvádějí, že až 95% úspěšných úniků dat bylo způsobeno lidským faktorem – jak je to u vás?)
Umíte měřit odolnost svých zaměstnanců v reálném životě? (Kolik vašich zaměstnanců např. „klikne na nebezpečný e-mail“, „prozradí heslo přes telefon“, „zapomene otevřený počítač nebo otevřené dveře“ atd.?) Jaký je podíl rozpočtu na vzdělávání zaměstnanců z celkového rozpočtu ICT security? Jaká je efektivita vašeho stávajícího řešení v této oblasti? Daří se vám zvyšovat odolnost zaměstnanců proti nejrůznějším a neustále se vyvíjejícím útokům a hrozbám?
Když to tedy celé shrnu do jedné věty: Přemýšlejte o všech rizicích, neustále o všem pochybujte a ptejte se, hlavně pak používejte zdravý selský rozum.
