Predstavte si, že prídete v pondelok do práce. Keď idete k svojmu počítaču, na zemi vidíte ležať usb kľúč s nápisom Výplaty. Zvedavosť Vám nedá a kľúč bez uváženia zasuniete do počítača. „Stali ste sa obeťou kyberútoku, máme teraz prístup ku všetkým vašim firemným dátam“, hlási nápis na monitore nemilosrdne. Ako by ste sa v takej chvíli cítili? Dobrou správou je, že o kybernetický útok tentoraz nešlo. Jednalo sa o falošný útok, ktorý si firma v rámci školenia o kyberbezpečnosti objednala. A naletela viac ako tretina ľudí. Tento test poukazuje na skutočnosť, že školenie zamestnancov, ako najrizikovejšieho článku firemnej kyberbezpečnosti, by ste nemali brať na ľahkú váhu.
„Všetci zamestnanci musia mať povedomie napríklad o tom, ako vyzerá phishingový e-mail a ako sa pri podozrení na jeho prijatie do inboxu firemného mailu zachovať“, vraví Radek Šichtanc, riaditeľ bezpečnosti O2 Czech Republic. Do systematického školenia zamestnancov sa preto oplatí investovať.
Mnoho firiem dnes ponúka bohaté množstvo školení zamestnancov. V záplave ponúk ale môžete mať problém sa vyznať. Čo by takémuto školeniu zamestnancov v oblasti kyberbezpečnosti nemalo chýbať? Prinášame 5 tipov, ako si správne vybrať!
Tip 1: Škoľte pred kyberhrozbami, ktoré hrozia vašej firme
Ešte pred tým, než začnete školenia vyberať by ste mali starostlivo špecifikovať riziká, ktoré hrozia práve vašej firme. Z takejto analýzy ľahšie vyplynie zameranie konkrétnych školení. Samozrejme, pre každú firmu bude iné. Niektoré spoločnosti napríklad nebudú potrebovať svojich zamestnancov školiť ohľadom USB útokov, pretože majú USB porty úplne zakázané. Iným sa zasa oplatí investovať do školení zameraných na ochranu osobných údajov, pretože v rámci svojho podnikania často spracovávajú citlivé informácie.
Tip 2: Zamestnanci na rôznych pozíciách potrebujú iné školenia
Bezpečnostný tréning odporúčame prispôsobiť potrebám konkrétnych pracovníkov. „Iné školenia by mali absolvovať ľudia z IT oddelenia (napríklad zamerané na ransomware) a iné ľudia z obchodného oddelenia – napríklad so zameraním na BEC útoky (Business E-mail Compromise), pri ktorých podvodníci vylákajú z firmy peniaze podvodnou faktúrou alebo vydávaním sa za niekoho z manažmentu“, upozorňuje Martin Haller, spolumajiteľ firmy PATRON-IT a odborník na kybernetickú bezpečnosť. Naopak u radových zamestnancov budujte povedomie o možných phishingových hrozbách alebo iných metódach sociálneho inžinierstva. Základné povedomie o najčastejších kybernetických hrozbách by však mali mať všetci zamestnanci.
Tip 3: Lepšie sú pravidelné a kratšie školenia ako jedno veľké ročne
Expert na kyberbezpečnosť malých a stredných firiem, Martin Haller, odporúča organizovať radšej menej robustné, ale pravidelné školenia v kratších časových intervaloch, ako jedno veľké školenia za rok. Jedine pravidelným pripomínaním si vaši ľudia dobre zapamätajú informácie a zásady kybernetickej bezpečnosti.
Tip 4: Školenie by malo zohľadňovať aktuálne trendy a byť zábavné
Dobré školenie tiež reaguje na najaktuálnejšie trendy. Hackeri sú vynaliezaví a stále prichádzajú s novými metódami ako útočiť. Napríklad, v poslednej dobe sú na vzostupe phishingové útoky. Jedným z možných dôvodov môže byť obrovský vzostup používania generatívnej umelej inteligencie, ktorá vie napísať podvodný e-mail presvedčivejšie, bez gramatických a štylistických chýb. Školenia častokrát zamestnanci vnímajú ako nudné a nutné zlo. Nebojte sa preto do školenia zapojiť herné prvky tak, aby ste formu školenia urobili zaujímavejšou - napr. gamifikácia.
Rozpoznanie phishingového emailu môže byť komplikované, ale niekoľko kľúčových znakov vás môže varovať:
Predtým boli podvodné e-maily písané s gramatickými alebo so štylistickými chybami, to už dnes ale celkom neplatí.
Útočník na vás nalieha, aby ste mu vyhoveli čo najskôr a vyvíja na vás časový nátlak.
Niekto vás osloví s neštandardnou požiadavkou (napríklad žiada o financie alebo osobné údaje).
Adresa príjemcu sa líši od pôvodnej adresy odosielateľa a pôsobí podozrivo.
Po nabehnutí kurzorom na odkaz v e-maile sa ukáže skutočná URL a líši sa od uvádzaného odkazu.
Tip 5: Správne zorganizované školenie môže byť zamestnaneckým benefitom
Keď zorganizujete školenie v kyberbezpečnosti dostatočne akčne a lákavo, môžete s ním operovať ako so zamestnaneckým benefitom, pretože si pri ňom vaši ľudia osvoja hard skills aj soft skills, ktoré im budú užitočné aj mimo pracovného prostredia. Napríklad môžete do školenia zahrnúť aj zručnosti, ktoré je možné použiť aj v bežnom živote (ochrana osobných údajov na sociálnych sieťach, zásady bezpečnosti online nakupovania). Okrem technických zručností sa počas školení môžete zamerať aj na rozvoj soft skills, ako sú napríklad komunikácia, kritické myslenie alebo rozhodovanie v krízových situáciách. Tieto zručnosti sú prakticky využiteľné v mnohých oblastiach života.
Nedostatok pozornosti venovanej kyberbezpečnosti vystavuje vašu firmu nielen riziku finančných strát, ale aj potenciálnemu poškodeniu reputácie a strate dôvery vašich zákazníkov. Školenie zamestnancov v oblasti kyberbezpečnosti je investíciou do odolnosti a konkurencieschopnosti vašej firmy. Preškolení zamestnanci, ktorí sú schopní identifikovať a adekvátne reagovať na bezpečnostné hrozby, sú prvou obrannou líniou proti kybernetickým útokom. Vedenie spoločnosti by preto malo ísť príkladom a zamestnancom poskytnúť okrem technických nástrojov aj dostatočné a pravidelné preškolenie.
Čo si z článku odniesť
Preškolení zamestnanci sú prvou obrannou líniou proti hackerom. Dostatočné vzdelanie zamestnancov môže zabrániť mnohým pokusom o kyberútok.
Školenie radových zamestnancov môže najmä zvýšiť odolnosť proti phishingovým útokom, ktoré sú jedným z najčastejších úspešných útokov.
Školeniu by mala predchádzať analýza rizík, ktorá vás nasmeruje k tomu si objednať tréning na mieru potrieb vašej firmy.
Lepšie ako jedno veľké školenie ročne je rad menších, ale častejších a pravidelnejších tréningov.
