BLOG: Základem kyberbezpečnosti firem jsou poučení zaměstnanci

V uplynulém roce se Česká republika ve využívání práce mimo kancelář začala vyrovnávat trendům ze zahraničí. Možnost práce z domova využilo v obdobích nejpřísnějších bezpečnostních opatření přes 40 % všech zaměstnanců. Postupně pokračuje také digitalizace státní správy, jak dokazuje příklad Celní správy ČR nebo rozjetý projekt Portál občana.

Digitalizace činností a procesů byznysové i veřejné povahy přináší všem zúčastněným velkou úsporu času a energie, přehlednost a větší transparentnost. A samozřejmě také výzvy v oblasti zabezpečení citlivých dat a interních systémů, které potvrzují statistiky Policie ČR. Podle nich vzrostla kriminalita v digitálním prostředí za uplynulý rok trojnásobně.

Z nového průzkumu IT Cloud Security Survey společností Microsoft a International Data Corporation (IDC) mezi podniky zemí střední a východní Evropy ale vyplývá, že jen třetina českých firem má zpracovanou komplexní strategii kybernetické bezpečnosti a soustředí se spíše na ochranu dílčích oblastí, jako je například ochrana koncových přístupových bodů (94,5 %), ale už méně třeba ochranu mobilních zařízení zaměstnanců (44 %). Studie přitom probíhala na vzorku 100 firem ze segmentů malých a středních podniků a na stejně velkém počtu velkých společností s více než 250 zaměstnanci.

Dlouhodobě se nám potvrzuje, že vůbec nejrizikovějším článkem zabezpečení IT systémů v organizacích jsou koncoví uživatelé – tedy samotní zaměstnanci využívající sdílená úložiště a firemní aplikace. Od chvíle, kdy velká část z nás své pracoviště přesunula domů, to platí dvojnásob.

Řešení má dvě roviny – technickou a lidskou. Úplným základem je využívání počítače s aktualizovaným operačním systémem spolu s kvalitním antivirovým programem, který nedovolí spuštění podezřelých aplikací a souborů. Standardem by mělo být i využití vícefaktorového ověření uživatele při přihlášení nebo rovnou princip nulové důvěry (zero-trust), kdy ověřujete identitu uživatele a další parametry při každé žádosti o přístup k datům nebo aplikacím. Tento základ mohou organizace rozšířit o řadu dalších technologií, které při ochraně před kybernetickými hrozbami využívají AI nebo automatizaci. Technologie by ale vždy měly být doplněny o kvalitní školení všech uživatelů na téma kybernetické bezpečnosti.

Nedávná studie think-tanku IDEA při institutu CERGE ovšem ukazuje, že české firmy kyberbezpečnosti doposud příliš pozornosti nevěnovaly. Při přechodu na práci z domova nemusela na popud zaměstnavatele dělat žádné změny v IT zabezpečení téměř polovina pracujících. Pouze služební počítač používá k práci z domova 30 % zaměstnanců, dvoufázovým ověřením prochází při přihlašování do interních systémů 14 % zaměstnanců a 12 % může používat jen určený typ USB disků a podobných nosičů dat. Dodatečné školení IT bezpečnosti potom absolvovalo jen 6 % zaměstnanců. A právě to je jedním z největších nedostatků.

Drtivá většina organizací v ČR totiž nemá komplexní tréninkový program zaměřený na kyberbezpečnost. Pravidelné školení bezpečného fungování v digitálním prostředí pro své zaměstnance pořádá jen 16,5 % firem, dvě třetiny ad hoc a 13 % podniků neškolí své lidi vůbec.

Se vzděláváním uživatelů mohou pomoci opět technologie, jako třeba Attack Simulator od Microsoftu, který bezpečnou cestou pomáhá školit uživatele při rozpoznávání nejčastějších postupů, které útočníci využívají. Další možností vzdělávání jsou kurzy dostupné prostřednictvím platformy Microsoft Learn. Řadoví zaměstnanci i odborníci, kteří se ve firmách kyberbezpečností zabývají, mohou využít bezplatná online školení nejen na bezpečnost, ale i další témata spojená s cloudovými technologiemi.

Dílčím pozitivem je, že čeští manažeři si rezervy v této oblasti alespoň uvědomují. Do dvou let plánuje komplexní tréninkový program nasadit 78 % respondentů studie IDC. Dvě třetiny firem pak nad rámec samotných školení chtějí pracovat na dlouhodobém zvyšování technických IT dovedností svých zaměstnanců. Je ale otázkou, jestli dvouletý horizont není až příliš dlouhý.