Bogdan Pismicenco, Kaspersky Lab Spoločnosti, ktorým sa darí vytvárať kultúru bezpečnosti
Náš výskum a výskum ostatných v priemysle opakovane ukázal, že väčšina kybernetických bezpečnostných incidentov v spoločnosti je spôsobená konaním zamestnancov - podľa našich údajov viac ako 80%. Či už niekto otvorí phishingový e-mail, pravidelne nezmení svoje heslo alebo si do telefónu nainštaluje pochybné aplikácie, necháva kybernetickým útočníkom - nechtiac - nechtiac - široko otvorenú bránu do siete.
Ešte znepokojujúcejšia je skutočnosť, že porušenie ochrany údajov neznamená iba finančné straty a poškodenie dobrého mena spoločnosti. Má to tiež konkrétne účinky na zamestnancov, ktorí sprístupnili údaje spoločnosti alebo zákazníkov: minulý rok v tretine prípadov prišli o prácu ľudia. Väčšina z nich nesúvisela s oblasťou IT.
Preto veríme, že okrem efektívneho bezpečnostného riešenia prispôsobeného profilu spoločnosti je veľmi dôležité uvedomiť si dôležitosť kybernetických hrozieb medzi zamestnancami. Spravidla by malo byť povedomie neustálym úsilím vzdelávať zamestnancov o bezpečnostných politikách spoločnosti a kybernetických hrozbách spolu so spôsobmi ich ochrany. Techniky sociálneho inžinierstva majú aj naďalej veľmi vysokú úspešnosť, takže zástupcovia spoločností by im mali venovať osobitnú pozornosť.
V závislosti od veľkosti a špecifík spoločnosti používame niekoľko tréningových metód v oblasti kybernetickej bezpečnosti: tvárou v tvár, s inštruktorom - pre IT tímy organizácie a online - pre ostatných zamestnancov alebo kombináciou týchto dvoch metód. Školitelia sa spoliehajú na veľa príbehov a príkladov zo svojich skúseností a zároveň chcú vedieť, čo je perspektíva účastníkov: čelili problémom, ako reagovali, čo chcú vedieť. Školenia sa tak stávajú interaktívnymi a zaujímavými.
Produkty v rade Kaspersky Security Awareness ponúkajú potrebnú podporu spoločnostiam, ktoré chcú zlepšiť svoju obranu, a znižovať takmer na nulu riziká v jednej z najzraniteľnejších oblastí, v ktorej sú zamestnanci. Na základe najefektívnejších metód: gamefication, praktický prístup a pravidelné opakovanie, ktoré sú určené na upevnenie vedomostí, je možné ich uplatniť na všetkých úrovniach organizácie.
Naše online školiace platformy pre zamestnancov spoločnosti sú postavené tak, aby nezapadali do typického nudného školenia, ktoré si každý kontroluje v e-mailoch, a nemôžu sa dočkať, kedy skončia. K dispozícii je 25 modulov, ktoré pokrývajú všetko, čo by človek, ktorý nepracuje na IT oddelení, potreboval vedieť. Moduly napríklad obsahujú informácie o ochrane mobilných zariadení, e-mailoch, ochrane heslom, GDPR alebo ochrane ransomvéroch. Testy prebiehajú v niekoľkých fázach a zamestnancov môže prekvapiť, že dostanú e-mail s phishingom. Ak sa dostanú do pasce, bude im oznámené, že tentokrát išlo iba o skúšku, nabudúce však môže ísť o skutočné nebezpečenstvo, ovplyvňujúce celú sieť spoločnosti.
Tajomstvom úspechu bezpečnostného programu IT je dôslednosť a hodnotenie. Rovnako ako v strave alebo pri športovom výkone sa nič nemení zo dňa na deň alebo po úsilí trvajúcom dva alebo tri týždne: pre viditeľné výsledky je potrebná zmena životného štýlu. V prípade spoločností je potrebné prehodnotiť kybernetickú bezpečnosť: nemusí to byť niečo, čo by sa malo riešiť raz ročne a že by prinieslo želané výsledky, ale je to neustále úsilie. Pokiaľ ide o hodnotenie, sú to dva aspekty: po prvé, hodnotenie vedomostí zamestnancov, potom program kybernetickej bezpečnosti: existujú prvky, ktoré prešli lepšie ako iné, čo fungovalo, čo sa dá zlepšiť? Spoločnosti, ktorým sa darí vytvárať kultúru kybernetickej bezpečnosti, kde sa zamestnanci cítia zodpovední za svoje činy a uplatňujú sa z dlhodobého hľadiska víťazmi osvojené postupy.