Hlavním tématem druhého ročníku konference bylo rostoucí množství kybernetických útoků na jednotlivce ve firmách v roce 2021. Diskuze představila možné hrozby na aktuálních případech českých firem a přiblížila vhodné metody školení. Aktéři zdůrazňovali, že v důsledku pandemie a přesunu do online prostředí už není nejčastější útok na firemní IT systémy, ale na zaměstnance.

„Amatéři útočí na firmy, profesionálové na lidi,“ prohlásil v úvodu konference bezpečnostní konzultant firmy Gordic Jan Dienstbier. Toho si podle všech zúčastněných musí být ředitelé firem vědomi. „Bohužel drtivá většina společností nevěnuje ani elementární pozornost zabezpečení. Vůbec si neuvědomují možnost nějaké hrozby. Nadpoloviční většina firem neškolí své zaměstnance,“ říká Marko Antič za Colonnade Insurance. Dodává, že nejdůležitější a nejlevnější prevence je právě edukace zaměstnanců.

Obr. 1: Do diskuze se zapojil bezpečnostní konzultant společnosti Gordic Jan Dienstbier (třetí zprava), Marko Antič za Colonnade Insurance (druhý zprava) a etický hacker za společnost Cyber Rangers Daniel Hejda (zprava)

Třetí účastník debaty, etický hacker Daniel Hejda ze společnosti Cyber Rangers, zmínil důležitost školení jak zaměstnanců, tak administrátorů, jakožto nejexponovanějších osob hned po výkonném řediteli. „Pro útočníka jsou tím nejlepším cílem. Pokud se dostane k administrátorskému účtu, ovládne celou společnost,“ varuje Hejda. Dále objasnil spojitost mezi pandemií, kdy je větší množství zaměstnanců na home office, a vyšším počtem kybernetických útoků. Nepozornost v domácím prostředí roste a je snazší věřit masově rozesílaným podvodným e-mailům. V takovém množství lidí se vždy najde někdo, kdo na obsah klikne, ať už má firma implementované vzdělávací procesy v kybernetické gramotnosti či ne. K již zmíněnému phishingu se mezi další typy útoků řadí úniky telefonních čísel, útoky na cloudové služby, navádění obětí na podvodné internetové stránky, podvodné webové aplikace a zneužívání mobilních aplikací jako je WhatsApp či Signal. Aktuální trend je smishing, který představuje zasílání podvodných SMS zpráv a telefonní čísla jsou zneužívána v rámci útoku zvaném vishing.

Obr. 2: O know-how firemního vzdělávání se podělil kybernetický konzultant společnosti Gordic František Janů (zprava) a ředitel odboru informaticky IKEM Petr Raška (uprostřed)

O know-how firemního vzdělávání ve společnosti Gordic se podělil kybernetický konzultant František Janů spolu s ředitelem odboru informatiky IKEMu Petrem Raškou. Školení kybernetické bezpečnosti je podle Františka Janů „nová norma“, která se nesmí podceňovat, jelikož jsou útoky čím dál sofistikovanější. „Je potřeba vzdělávat úplně všechny, nehledě na to, zda jsou to IT specialisté nebo běžní uživatelé. K těmto dvěma oblastem je ale potřeba přistupovat rozdílně.“ Hlavní znaky úspěšného školení jsou systémovost, lidskost a krátkost interaktivních videí. Podle Petra Rašky je zásadní najít rozumnou míru omezení zaměstnanců zaměstnavatelem tak, aby převažoval partnerský vztah a důvěra v IT experty. Klíčové je i hledání způsobů školení, které jsou pracovníkům blízké. „Ideální je zaměstnancům ukázat, co jim hrozí na konkrétním příkladu, který je pro ně představitelný – například kybernetické útoky hrozící jejich dětem.“

Pandemická situace změnila organizaci práce ve společnostech po celém světě a firemní vzdělávání je jednou z nejúčinnějších cest, jak digitálním hrozbám předejít. „Vnitrofiremní komunikace nikdy nehrála větší roli, s přesunem do digitálního prostředí vytváří větší prostor pro neporozumění a pochybení. Kybernetický incident vnese do firmy chaos a pokud firma nezareaguje správně a včas, utrpí i reputační ztráty. Ty tvoří dle průzkumů 25 % z celkových škod,“ vysvětluje spolupořadatel akce ze společnosti Strateggo Jan Císař.