Jeden klik může položit i stoletou firmu – tradiční školení kyberbezpečnosti selhávají

Kvůli kybernetické bezpečnosti firmy investují velké částky do firewallů a zabezpečení, přesto počty úspěšných útoků rostou. Co přesně se aktuálně děje?

David Pirkl (DV): Útoky se stále více přesouvají na lidi. Díky pokročilým technologiím a umělé inteligenci je dnes obranná infrastruktura firem mnohem sofistikovanější. Pro hackery je tak logicky daleko složitější proniknout přes kvalitně zabezpečenou infrastrukturu než oklamat zaměstnance. Proto se vektor útoků přesouvá do sociálního inženýrství, phishingu a lidských chyb. Lidé jsou sami sobě největším nepřítelem – na sociálních sítích veřejně sdílejí množství informací, od jmen domácích mazlíčků přes data výročí až po oblíbené značky.

Útočníkovi pak stačí nasadit automatizovaný skript, stáhnout si pět takových detailů, vložit je do kombinátoru a vygenerovat dvacet vysoce pravděpodobných hesel. Pokud se podíváme na bankovní sektor v Česku, tak za první kvartál loňského roku přišli lidé o 397 milionů korun. Za letošní první kvartál už se ale bavíme o 800 milionech korun. Firmy si začínají uvědomovat tato rizika více než dřív, ale stále existuje propast mezi tím, co říkají, a tím, co skutečně dělají.

Největším rizikem je tedy zaměstnanec? Firmy ale přece tvrdí, že své lidi alespoň jednou ročně školí…

Lukáš Pirkl (LP): Pouhé jednorázové plošné proškolení zaměstnanců je naprosto neefektivní, protože se de facto jedná jen o splnění formální povinnosti a získání podpisu. Externí IT školitel dvě hodiny mluví ke stovce lidí, kteří často moc neposlouchají, a na konci jen podepíší prezenční listinu. Vy jako zaměstnavatel nevíte, kdo dával pozor a co si z teoretického výkladu odnesl do praxe. Nemáte žádnou zpětnou vazbu, žádná data.

A jak mění umělá inteligence bezpečnostní situaci ve firmách?

DV: Používání umělé inteligence je dnes klíčová věc, ale zároveň obrovská hrozba. Využívání AI se ve firmách šíří mnohem rychleji než bezpečnostní pravidla. Ve snaze urychlit práci zaměstnanci běžně nahrávají osobní údaje, obchodní data a smlouvy, aby jim umělá inteligence udělala výtah nebo analýzu, a vůbec si neuvědomují, že tímto krokem odevzdávají citlivé údaje do prostoru. Tento neutěšený stav má řešit evropské nařízení AI Act, který firmám ukládá povinnost zajistit AI gramotnost zaměstnanců. Společnosti tak budou brzy nuceny prokazovat, že jejich lidé bezpečnému využívání AI rozumí, znají její limity a chápou rizika. Podobně jako v případě zákona o kybernetické bezpečnosti a směrnice NIS2 ale platí, že tyto zákony nemají firmy šikanovat. Dávají jasná doporučení, že musíte mít interní směrnice a prokazatelně zaměstnance vzdělávat. Problém je, že bez reálných dat z analýz a testování nemůžete lidské riziko efektivně řídit.

Jak má tedy postupovat firma, která se chce skutečně zabezpečit, ne pouze splnit formální požadavky?

Jiří Sommer (JS): Jsou dvě roviny. Z pohledu technické infrastruktury firmy a z pohledu lidí, tedy takzvaný Human Risk Management. Za prvé, firma musí vědět, co chrání – začít auditem a analýzou, identifikovat citlivá data, nastavit interní pravidla, provést analýzu z pohledu NIS2. Nejhorší, co může firma udělat, je bez jakýchkoliv podkladů a dat slepě nakupovat drahá softwarová řešení, která jí nakonec k ničemu nebudou.

Za druhé, musí řídit lidské riziko. Nejen vzdělávat, ale i testovat zaměstnance, měřit výsledky, cíleně dovzdělávat. Většina firem dnes vyhledá jednu firmu na školení a jinou na phishingové testy. Nemá to propojené, nedokáže řídit celý cyklus. My jsme první platforma na českém trhu, která tyto věci integruje: e‑learning, phishingové a smishingové simulace, bezpečné používání AI, reporting a auditní stopa – vše z jednoho místa.

V čem konkrétně je tedy platforma 4CyberCity jiná než to, co si firmy běžně kupují? Jak vypadá z pohledu školeného zaměstnance i správce?

JS: Zásadní rozdíl je v centralizaci a automatizaci. Vše propojujeme do jednoho intuitivního nástroje. Stručně řečeno zaměstnance moderní, zábavnou a gamifikovanou formou proškolíme a rovnou je v reálné, byť bezpečné situaci otestujeme simulovaným útokem. Pošleme jim podvržený phishingový e-mail nebo SMS, tedy smishing, a exaktně měříme, jak zareagují. Zda na podvodný odkaz kliknou, zadají své přihlašovací údaje. Cílem přitom rozhodně není lidi šikanovat a rozdávat pokuty. Chceme hravou a neagresivní formou ukázat: tady jsi udělal chybu, tohle sis měl ověřit a pojďme se naučit, jak to poznat příště.

Foto: 4cyber s.r.o.

Prakticky se zaměstnanec přihlásí a vidí svá témata, která odpovídají jeho pozici ve firmě, tedy personalizovaná. Každé obsahuje krátké video do dvou minut, studijní text a tři příběhové scénáře. Těmi ho provází virtuální hacker, který mu vysvětluje, jak by využil toho, co udělal špatně. Je to interaktivní, zvladatelné i v mobilu. Na konci pak čeká krátký test a zaměstnanec získá certifikát.

Pro správce je k dispozici dashboard, kde vidí, kdo se přihlásil, co nastudoval, jak mu to šlo. Může na pár kliknutí vytvořit phishingovou kampaň, zacílit ji na konkrétní tým a pak vidí, kdo klikl, kdo vyplnil osobní údaje. Výsledky jsou propojené s dalším vzděláváním. Když někdo klikne, okamžitě dostane zpětnou vazbu – přesměrování na interní směrnice firmy nebo na video, které mu vysvětlí, že právě klikl na cvičný phishing, a vysvětlí mu, co přesně bylo na daném e‑mailu podezřelé. Když to zaměstnanec zažije opakovaně a třikrát za sebou na něj takto vyskočí varování, psychologie zafunguje a příště si dá velký pozor.

A systém navíc umožňuje cílené doškolování. Už neškolíme účetní, adminy a manažery stejným plošným obsahem. Každý má jiný přístup k datům a dostává takový obsah, který odpovídá jeho skutečným slabinám a reálnému riziku. Z toho pak vzniká naprosto detailní a exaktní auditní stopa, která je zásadní nejen pro bezpečnost, ale i pro management při dokládání plnění legislativy.

Foto: 4cyber s.r.o.

Kybernetická bezpečnost

Stáhněte si přílohu v PDF

A tato vaše platforma je již dokončená? Kde se 4cyber vidí za pět let?

LP: Naši platformu 4CyberCity dál rozšiřujeme směrem k bezpečnému používání umělé inteligence ve firmách. Aktuálně dokončujeme moduly zaměřené na AI gramotnost zaměstnanců a bezpečnou práci s AI nástroji. Dalším krokem je posun od řízení lidského rizika k širšímu řízení firemní compliance a bezpečnostního rizika napříč celou organizací. Chceme vytvořit platformu, do které firma nahraje své dokumenty, interní směrnice a bezpečnostní politiky, napojí používané AI nástroje a získá automatizovanou analýzu, nakolik splňuje požadavky NIS2, GDPR, AI Actu nebo dalších standardů. Systém zároveň pomůže identifikovat chybějící pravidla, navrhnout potřebné směrnice, řídit nápravná opatření a průběžně sledovat riziko firmy v čase.

V Česku zatím neexistuje platforma, která by propojovala vzdělávání, testování a reporting do jednoho celku. V horizontu pěti let je naším velkým cílem expandovat dál na světové trhy. Aktuálně již aktivně řešíme vstup do Polska, Velké Británie i USA. Chceme se stát rovnocennou konkurencí pro největší globální hráče v kybernetické bezpečnosti. Důkazem, že jdeme správným směrem, je i fakt, že už dnes k nám od světových gigantů přecházejí korporátní klienti s tisíci uživateli.

Článek vznikl ve spolupráci se společností 4cyber.

Článek byl publikován ve speciální příloze HN Kybernetická bezpečnost.