Bezpečnostní školení jsou jako hrách na stěnu
Mnoho velkých firem se snaží školit své zaměstnance v počítačové bezpečnosti. Většina kurzů je ale špatně navržena a lidé po jejich absolvování dál ignorují bezpečnostní pravidla.
Zaměstnanci jsou jedna z největších bezpečnostních slabin všech firem. Svědčí o tom například nedávná statistika společnosti Tessian, která se soustředí hlavně na oblast endpoint security. Ve svém výzkumu se ptala zhruba dvou tisícovek pracovníků firem ze Spojených států a Velké Británie. Celých 43% z nich přiznalo, že někdy udělali chybu, jež ohrozila bezpečnost IT jejich organizace. Podle jiného výzkumu firmy Verizon mohou zaměstnanci za 23% všech úniků dat. Samotné bezpečnostní prohřešky se přitom příliš nemění.
Problém není, že by odborníci na ochranu dat a obecně kybernetickou bezpečnost nevěděli, co mají a nemají zaměstnanci v práci dělat. Naopak. Ví se to už dlouho. Potíž je lidi donutit, aby to dělali a brali kybernetickou obranu vážně. Mezinárodní nezisková organizace Information Security Forum (ISF) nedávno vydala zvláštní analýzu, která to rozebírá.
Asi nejběžnější bezpečnostní chybou zaměstnanců je používání slabých hesel. Hodně lidí si nastavuje hesla, která se dají snadno prolomit hrubou silou či slovníkovým útokem. Další uživatelé volí snadno předvídatelné řetězce typu ab1234. Chyba je i vymýšlení hesel spojených se zálibami a koníčky, jež se dají uhádnout ze sociálních sítí. Spousta lidí si také píše hesla na papírky, případně si je ukládá na webu.
Druhou kategorií je nezodpovědné zacházení s citlivými daty. Zaměstnanci často sdílí důležité soubory, které nepatří na veřejnost, na internetu nebo je posílají e-mailem. Občas se také jednoduše překliknou a soubor skončí v počítači někoho, kdo ho vůbec neměl vidět.
Třetí kategorií provinění je používání zastaralého a neaktualizovaného softwaru. Aktualizace jsou otravné. Zaměstnanci je proto odkládají, kdykoliv to jen jde. Vypínají antivirový software, třeba aby se mohli dívat na videa z podezřelých stránek na internetu. Často také stahují programy bez vědomí IT oddělení.
Podle zprávy ISF jen samotné povědomí o zmíněných bezpečnostních rizicích nevede k dlouhodobé změně chování pracovníků. Školení a e-learningové kurzy musí být nastavené tak, aby je motivovaly dodržovat bezpečnostní zásady. Kromě samotných školení záleží také na návrhu softwarového i fyzického prostředí, v němž se zaměstnanci pohybují. Je zapotřebí si stanovit nějakou metriku, podle níž se dá vyhodnotit, jestli vzdělávací program uspěl, či nikoliv.
Důležité je, aby bezpečnostní specialisté měli v organizaci dostatečné pravomoci. Například je známo, že lépe fungují opakované krátké bezpečnostní kurzy než jedno delší školení každý rok. Tento druh kurzů se však ve velkých korporacích často nedaří protlačit přes HR oddělení. Další problémy jsou přílišná snaha o dokonalost, nedostatečná komunikace uvnitř firmy a špatná grafika a stylistika kurzů.
