Téma vzdělávání pracovních týmů se prolíná prakticky všemi kapitolami Kyberbezpečnostního kitu. Je to jedno z opatření, které nemusí být s ohledem na jeho přínos až tak drahé. Může pomoci k zásadnímu snížení bezpečnostních rizik. Až 88 % kyberútoků je způsobených lidskou chybou, které se mohl dobře proškolený zaměstnanec či zaměstnankyně vyvarovat.
Jak to ale udělat, aby takové školení bylo maximálně efektivní? Aby všechny zúčastněné zaujalo, možná i bavilo, ale hlavně motivovalo je vše nové uplatňovat v každodenním pracovním životě?
Je zásadní, aby všechny členy a členky pracovních týmů vtáhlo do děje a skýtalo příležitosti, jak nové informace využít v praxi. Toho lze dosáhnout třeba využitím herních prvků, jak říká David Kudrna, lektor a specialista na kyberbezpečnost.
„Interaktivní a zábavné školení, které zapojuje účastníky a účastnice do děje, zvyšuje jejich pozornost a motivaci. Simulace reálných situací umožňuje lépe pochopit kybernetické hrozby a naučit se jim bránit.“
A jak nejlépe trénovat obranu před kyberútoky? Někdy je nejlepší poznat nepřítele z blízka. Existují způsoby, jak ze zaměstnanců a zaměstnankyň udělat (aspoň na chvíli) hackery a hackerky.
„Takové školení bude stát víc času i peněz, ale účastníky i účastnice nejlépe aktivizuje. Čím více příležitostí zapojit se lidé dostanou, tím lépe se zásady kyberbezpečnosti naučí a až půjde do tuhého, budou schopni je aplikovat“, dodává David Kudrna.Příkladem takto pojatého vzdělávacího kurzu může být např. Kyberdetektiv, e-learningový kurz připravený společností Educasoft. V něm řešíte detektivní příběh, ve kterém se setkáte s různými postavami a budete řešit všemožné zápletky. Právě vlastní bádání (vyšetřování) a snaha přijít věcem na kloub vedou zaměstnance a zaměstnankyně k tomu, že si uvědomí různé taktické postupy hackerů a důsledky jejich útoků. Výhodou kurzu je, že díky online formě můžete proškolit velké množství zaměstnanců a zaměstnankyň v krátké době.
Kromě Kyberdetektiva od Educasoft se podobnou cestou vydaly např. i projekty Clashing od společnosti Anect (založen na principu karetní hry) nebo Game of Threats od společnosti PwC (není online, je nutná asistence zástupců PwC).
Jaké další přístupy mohou vést k úspěšnému dosažení cíle?
Nestrašte, ale naopak motivujte. Smyslem školení je ukázat lidem situace, které mohou v kybernetické bezpečnosti nastat a pomoct jim takovým situacím předcházet. Nikdy by nemělo být cílem školení účastníky a účastnice pouze děsit.
Učte na reálných situacích, nenuďte účastníky a účastnice obecnými poučkami, které už slyšeli stokrát (na to, co díky vysoké motivaci zvládnete absolvovat na tomto webu, vaši kolegové a kolegyně mít trpělivost nemusí). V médiích můžeme často vidět příběhy firem, které se dostaly do maléru. Na začátku bývá často pochybení zaměstnanců a zaměstnankyň. Ať už při práci s e-mailem, stahováním souborů nebo vyhledáváním na webu.
Nováčky zaučte co nejdříve. Může se zdát, že týden sem nebo tam nehraje roli, ale potenciální útočník nebo naprogramovaný bot dobu hájení neposkytuje. Budete-li mít smůlu a útok bude směřovat přes nezaučenou osobu, ačkoli jinak máte pečlivě proškolený celý tým, může být celá předchozí snaha znehodnocena. Nabízí se klišé, že řetěz je tak silný jako jeho nejslabší článek. V případě bezpečnosti je tato zásada spíše empirická zkušenost než jen klišé.
Školení po čase opakujte. Kromě toho, že se hrozby velice rychle vyvíjí a mění v čase, je třeba získané vědomosti průběžně upevňovat. Kyberbezpečnost není jednorázová povinnost, kterou si splním a mám vystaráno, ale nikdy nekončící proces. A v první linii obrany není technika, ale lidé.
Co když si žádné placené vzdělávání nemůžeme dovolit?
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) na portálu věnovaném osvětě poskytuje množství kurzů věnovaných různým cílovým skupinám. Mezi nimi najdete např. Kurz pro manažery kybernetické bezpečnosti, Základy kybernetické bezpečnosti nebo třeba pro pracovníky prevence kurz Prevence v kyber! a Kurz základů rizikového chování na internetu. Tyto kurzy jsou však koncipovány jako klasický e-learning bez herních prvků a jsou vhodné spíše pro vnitřně motivované zájemce.