Většina škod ve firmách je způsobena neúmyslně – zpravidla jde totiž o nedbalost, neznalost či ignoraci hrozby ze strany zaměstnanců. Právě ti jsou označováni za nejslabší článek řetězce kybernetické bezpečnosti. A kvůli jedné jejich chybce může lehce dojít k úniku citlivých dat, „zboření“ systémů a několikatýdennímu, či dokonce několikaměsíčnímu přerušení provozu (například neúmyslným spuštěním vyděračských šifrovacích nástrojů), vyzrazení tajných přístupových hesel nebo zaplacení faktur na podvodnický bankovní účet. Výsledné škody pak jdou u českých firem často až do desítek či stovek milionů korun.
Společnosti, zejména ty větší, však už pochopily důležitost vzdělávání svých lidí v oblasti kybernetické bezpečnosti, proto již před lety odstartovaly nejrůznější vzdělávací, osvětové a tréninkové programy. Ty mají rozmanitou podobu od fyzických přednášek přes pravidelné e-learningové kurzy až po různé zábavné kvízy a testy. Jen některé z nich však mají kýžený efekt a reálný dopad v praxi.
Praktické ukázky a motivační prvky by měly být neodmyslitelnou součástí jakýchkoliv vzdělávacích programů kybernetické bezpečnosti ve firmě.
Obecně jde však o oblast, do níž se vyplatí investovat – vynaložené náklady totiž budou vždy na stohy vzdálené tomu, oč by společnost přišla, kdyby musela hasit nějaký bezpečnostní požár. Velký důraz na potřebu bezpečnostní výchovy a vzdělávání kladou i příslušné regulace a doporučení včetně nové strategie kybernetické bezpečnosti ČR na příštích pět let.
Gamifikace a soutěže
Škola hrou – přesně tak by se dala popsat gamifikace v rámci školení kybernetické bezpečnosti, která se v daném oboru využívá posledních pár let. Prakticky jde o jakékoliv zábavné nebo soutěžní prvky, které mají za cíl oživit samotné „nudné“ školení nebo mají motivovat zaměstnance k lepším výkonům. A za jejich snahu je třeba i odměnit.
Gamifikace by přitom měla být součástí těchto školení, protože ta klasická mohou zaměstnance nudit, nebo je přímo odradit. Pojmy jako hackerské útoky, malware, šifrování a firewall mohou znít pro mnohé velmi abstraktně. Je tedy dobré, když si zaměstnanci mohou prakticky ukázat, co tyto pojmy přesně znamenají a jak mohou útoky probíhat. Vedle toho pak lidé často na pracovníky IT oddělení hledí jako na introvertní geeky, kteří nehovoří jejich řečí – je proto důležité jim podat vzdělání srozumitelnou a ilustrativní formou.
Praktické ukázky a motivační prvky by tak měly být neodmyslitelnou součástí jakýchkoliv vzdělávacích programů kybernetické bezpečnosti ve firmě. Zaměstnanci se při školení pobaví, přednášku si oživí praktickými ukázkami a snáze si vše zapamatují, čímž splní kýžený efekt. Pak již stačí získané znalosti pravidelně trénovat a nedbalosti či ignoraci základních pravidel kybernetické hygieny můžete dát vale.
Příklady různých forem gamifikace
U většiny e-learningových systémů dnes najdete visačku „využití gamifikace“, v praxi to ale často znamená jen základní prvky pro zvýšení zábavnosti – např. sbíráte hvězdičky (motivační prvek), plníte úkoly. Nejde ale o hru v pravém slova smyslu. Pokročilejší systémy vám nabídnou i náročnější prvky, např. zábavná instruktážní videa a v nich ukázky útoků a možných situací. U živých ukázek ale narážíme na celkem vysoké náklady a náročnou logistiku ve větších firmách – nyní v době pandemie je to navíc velmi komplikované vzhledem k omezení fyzických kontaktů.
U všech těchto gamifikačních prvků je ale hlavním problémem nízká opakovatelnost a často nedostatečné vysvětlení příčin útoků a důvodů pro aplikaci jednotlivých obranných protiopatření. Ani to nejzábavnější video si totiž nikdo nepustí víc než dvakrát za rok. Pro udržení trvalé opatrnosti a automatizace správných návyků je však ideální opakování jednou za měsíc.
Využití skutečné hry – Clashing
Ať už chcete vzdělat řadové pracovníky či nejvyšší management, skutečná hra může být tou správnou zábavnou a motivační formou pro návyk základní kyberhygieny. Jedním takovým příkladem je hra Clashing – profesionální online školení informační bezpečnosti ve formě karetní hry, která je založena na souboji mezi potenciálním hackerem a samotným zaměstnancem. Hra je určena dvěma hráčům. Jeden má za úkol chránit svou organizaci jako zaměstnanec a druhý se ji v roli hackera pokouší napadnout. Cílem hry je zvýšit povědomí o různých formách kybernetických hrozeb. Hry jsou přitom velmi rychlé, v průměru trvají cca 10 až 15 minut.
Hra se dokáže plně přizpůsobit bezpečnostním pravidlům dané organizace, je v souladu s bezpečnostními normami a postihuje aktuální útoky a situace, které zaměstnancům hrozí např. nyní v prostředí práce z domova, při využívání online videokonferencí nebo sociálních sítí. Zpřístupněna je jako cloudová služba, uživatelům tak pro hru stačí webový prohlížeč a připojení k internetu.
K dispozici je také správa účtů zaměstnanců s informacemi o již absolvovaných školeních a možnost plánovat další školicí kampaně. Vedoucí pracovníci a HR tým pak mohou nejen standardně sledovat úspěšnost plnění školení, ale navíc, což je poměrně netypické, i organizovat napínavé turnaje a soutěže mezi odděleními.
Clashing pokrývá všechny typy hrozeb, které na zaměstnance číhají jak ve fyzickém, tak v kybernetickém světě, a všechny typy protiopatření. Jednotlivé typy hrozeb jsou seskupeny do logických celků v podobě dějišť a v každém dějišti potom do tzv. pater (neboli segmentů, o které se svádí souboj).
Aktuálně má Clashing čtyři dějiště, každé má v sobě čtyři patra. Celkem tedy pokrývá šestnáct oblastí, které nás učí bezpečnostní zásady od jednoduchých až po ty složitější:
- Kancelář (papírová i digitální bezpečnost – hesla, citlivé dokumenty, PC)
- Mimo kancelář (co nám hrozí „venku“, na cestách či doma)
- Počítač a mobil (hrozby typu phishing, malware apod.)
- Internet a sociální sítě (od videokonferencí přes sociální sítě až po cloudová úložiště)
Jak si to můžeme přesněji představit? Nejlepší je si to hned vyzkoušet. Dva testovací účty pro základní dějiště jsou k dispozici zdarma, stačí se zaregistrovat na webu Clashing.com. Časově je přitom hra ideální pro udržení pozornosti školícího zaměstnance – zprvu trvá déle, ale po několika opakování se její délka ustálí na 8–12 minut.
Jak má vypadat ideální školení?
Na příkladu Clashingu si shrňme parametry ideálního tréninku v oblasti informační a kybernetické bezpečnosti:
- Rozdělení do modulů, které je možné plánovat a průběžně vyhodnocovat
- Stručnost, rychlost a srozumitelnost jednotlivých školení
- Splnění požadavku na cíle školení
- Zahrnutí jazykových mutací
- Soutěživý charakter
- Pokrytí veškerých oblastí ICT
- Praktické ilustrativní ukázky a zkouška situace „na vlastní kůži“
- Individuální firemní adaptace v závislosti na potřebách dané organizace
Ačkoliv gamifikace přináší spoustu výhod, můžete se ve svých řadách setkat například s odpůrci her nebo s odmítnutím principu soupeření, který vás nenaučí úplně vše. Clashing však i těmto lidem nabízí řešení – pro ty, kteří hrám nefandí, umožňuje hra proklikat si všechny karty v režimu proti počítači, tedy bez stresu.
Ve vzdělávání je obecně hlavní přínos herních přístupů v tom, co je přínosem her pro evoluci všech pokročilých živočichů: herní prostředí, které je bezpečné, nám totiž dovolí dělat chyby a učit se z nich. Navíc, co je strašně důležité specificky pro pochopení kybernetické bezpečnosti, je možnost se v rámci hry dostat do role útočníka a díky tomu výrazně efektivněji pochopit provázanost a logiku útočných a obranných aktivit i v reálném životě – ať v tom fyzickém, nebo digitálním. A v tom je Clashing naprosto unikátní.
Článek připravili odborníci ze společnosti ANECT.
Reklama
foto: Shutterstock a Clashing.com, zdroj: Clashing.com
