Zvyšovanie bezpečnostného povedomia

Školenia na zvyšovanie bezpečnostného povedomia či na ochranu osobných údajov tradične vyvolávajú u zamestnancov vo verejnej správe, ale i v súkromnom sektore povzdych a otrávenie. Ide však len o nutné zlo, ktoré treba pretrpieť a ktoré prináša benefit jedine v podobe oddychu od bežných pracovných povinností, možnosti hrať sa na telefóne a pochutenia si na pripravenom občerstvení?

Áno, ale iba pokiaľ sú školenia zamerané na zvyšovanie povedomia v oblasti bezpečnosti vnímané vedením organizácie len ako nutná zákonná požiadavka, ktorú treba splniť objednaním si dodávateľa, ktorý rutinne a po stýkrát prednesie tú istú prezentáciu. Prednášajúci už ani sám neverí tomu, čo hovorí a zamestnanci zaspávajú alebo sa venujú hocičomu inému, len nie rozvoju svojho povedomia o bezpečnostných hrozbách. V tomto prípade je to skutočne len nutné a hlavne zbytočné zlo. Podľa prieskumu o programoch na zvyšovanie bezpečnostného povedomia, ktorý vykonal americký výskumný a vzdelávací inštitút SANS, je vo všeobecnosti táto problematika stále len v plienkach. Interní pracovníci vykonávajúci vzdelávaciu činnosť v oblasti informačnej bezpečnosti sú nedostatočne školení, majú nedostatok času, nedostatok zdrojov a slabý rozpočet. Takéto školenia často vedú ľudia s dobrým technickým zázemím, predovšetkým zamestnanci IT oddelení, ktorým ale chýbajú tzv. jemné zručnosti (soft skills), tj. schopnosť komunikácie, jasného a zrozumiteľného vyjadrovania sa, ale aj pochopenia súvislostí a správnej interpretácie myšlienok druhých ľudí. Aj podľa výsledkov prieskumu stavu informačnej bezpečnosti vo verejnej správe v SR, ktorý v roku 2013 vykonalo Ministerstvo financií SR, vykonávajú školenia najčastejšie zamestnanci oddelenia IT alebo informatici. Dobré komunikačné vlastnosti sú pre prednášajúceho potrebné, pretože zvyšovanie bezpečnostného povedomia je viac o ľuďoch a snahe zmeniť ich správanie k lepšiemu, ako len o technických aspektoch informačnej bezpečnosti. Samotný inštitút SANS považuje za potrebné poskytnúť adekvátnu podporu pre vzdelávacie aktivity zo strany vedenia. Zodpovední zamestnanci by sa mali školiť aj v oblasti komunikačných zručností a mal by im byť vyčlenený dostatok času a zdrojov na prípravu vzdelávacieho programu.

Čo je na programoch zvyšovania bezpečnostného povedomia také dôležité? Odpoveď je jednoduchá – je to človek. Človek, ktorý informačné systémy navrhuje, spravuje či používa, predstavuje zraniteľnosť prítomnú v každom informačnom systéme. V prípadoch, kedy sú informačné systémy organizácie technicky dobre zabezpečené, sa prípadnému útočníkovi najviac vyplatí pokúsiť sa zneužiť zraniteľnosť práve v podobe človeka. Má na to viacero možností. Dokonca pri niektorých z nich dokonca nie sú potrebné žiadne technické schopnosti. Príkladom môže byť sociálne inžinierstvo alebo špionáž. Ďalšími hrozbami vyplývajúcimi z nedostatočného bezpečnostného povedomia sú slabé znalosti pravidiel organizácie a ich úmyselné alebo neúmyselné porušovanie. Ďalej sú to napríklad ľudské chyby, neautorizované používanie informačných systémov, nebezpečné používanie internetu a e-mailu, neopatrnosť pri narábaní s informáciami alebo nevhodná administrácia informačných systémov. Jediným účinným opatrením na riešenie problémov spojených s ľudským elementom v informačných systémoch je komplexný program vzdelávania zamestnancov.

Podpora vedenia a model vyspelosti

Ako ale pripraviť dobrý program na zvyšovanie bezpečnostného povedomia? V prvom kroku je potrebné získať podporu vedenia organizácie a adekvátny rozpočet. Na tento účel je možné zorganizovať stretnutie a na ňom prezentovať materiál (prezentáciu), v ktorom odôvodníme potrebu vzdelávania zamestnancov a vysvetlíme riziká, ktoré s nimi súvisia. Obsahom by mohlo byť objasnenie súčasnej situácie, v ktorej sú už implementované technologické opatrenia ako firewally, IDS/IPS zariadenia a antivírusy a to, čo chýba, je zabezpečenie „ľudského operačného systému“. Tento stav je možné ilustrovať aj porovnaním nákladov, ktoré organizácia vynaložila na technologické zabezpečenie s nákladmi na zabezpečenie bezpečného správania sa zamestnancov. Je pravdepodobné, že výsledkom bude zistenie, že organizácia vynakladá približne 20x viac finančných prostriedkov na technológie. Preto sú práve zamestnanci zväčša tým najslabším článkom v pomyslenej reťazi informačnej bezpečnosti. Vhodné je tiež vizualizovať vzťah človeka s bezpečnostnými technológiami a zdôrazniť, že komplexné a hĺbkové zabezpečenie útočníci obchádzajú zameraním sa na zamestnancov s využitím techník ako phishing, sociálne inžinierstvo či podhodené USB kľúče obsahujúce škodlivý kód.

Dobrým argumentom pre vedenie je aj poukázanie na nedávne útoky, pri ktorých útočníci zneužili ľudský element. Vhodné je aj odvolanie sa na relevantné články v renomovaných magazínoch a štatistiky. Pokiaľ boli vo vašej organizácii zaznamenané incidenty vyplývajúce zo zlyhania ľudského faktora, je priam žiaduce tieto fakty pripomenúť. Môže sa jednať o nákazy PC škodlivým kódom, reakcie na phishingový e-mail, stratu USB alebo notebooku s dátami a podobne. Potrebné je tiež prezentovať výhody, ktoré plynú zo zabezpečenia ľudského faktora vhodným vzdelávacím programom. Vedenie bude zaujímať aj návratnosť investície do takéhoto zabezpečenia. Zníženie nákladov spojených s odstraňovaním škodlivého kódu z pracovných staníc, predchádzanie sankciám vyplývajúcim z nedodržania legislatívnych či zmluvných požiadaviek, udržanie dobrého mena a porozumie potrebe dodržiavať politiky a smernice u zamestnancov a ich participácia na udržiavaní informačnej bezpečnosti sú relevantné argumenty.

Na modeli vyspelosti bezpečnostného povedomia je možné porovnať, kde sa vaša organizácia nachádza a kde by ste chceli, aby sa nachádzala. Model vyspelosti má podľa inštitútu SANS päť stupňov. Prvý stupeň označuje neexistujúci program na zvyšovanie povedomia. Druhý stupeň označuje program, ktorý je zameraný predovšetkým na zabezpečenie súladu so zákonnými požiadavkami. Môže sa jednať o vyššie spomenuté každoročné školenie, pri ktorom sa prednesie prezentácia, podpíše sa prezenčná listina a zjedia sa chlebíčky. Nie je ale prítomná snaha o zmenu spôsobov správania sa zamestnancov. Zamestnanci si nie sú veľmi istí ich rolou v systéme bezpečnosti organizácie a nevedia, čo robiť v prípade podozrenia na bezpečnostný incident. Naopak, vedenie môže mať v tomto prípade falošný pocit bezpečia, pretože vedia, že nejaká aktivita na zvyšovanie povedomia sa vykonala a zaplatila sa. Ľudský element je teda podľa nich zabezpečený. Tretí stupeň už predstavuje snahu o zmenu správania sa zamestnancov a od druhého stupňa sa odlišuje svojou plánovitosťou a zameraním sa na oblasti, ktoré sú pre organizáciu najdôležitejšie. Nejedná sa však len o každoročné vzdelávanie, ale o kontinuálne posilňovanie povedomia a pripomínanie bezpečnostných princípov prostredníctvom rôznych foriem. Výsledkom sú zamestnanci, ktorí rozumejú bezpečnostným rizikám, poznajú bezpečnostné politiky a smernice a vedia ako a kam hlásiť bezpečnostné incidenty. Štvrtý stupeň je označenie pre vzdelávací program, ktorý je plánovaný na dlhšie obdobie a nie iba na jeden rok. Tento program sa periodicky vyhodnocuje a neustále zlepšuje. Sám o sebe tvorí integrálnu súčasť kultúry organizácie. Reaguje na neustále sa meniace faktory informačnej bezpečnosti, ako napr. technologické zmeny, štandardy, požiadavky prevádzky, zmluvy, ale aj nové hrozby, zraniteľnosti a techniky útočníkov. Piaty stupeň modelu vyspelosti predstavuje taký program vzdelávania, ktorý implementuje metriky na meranie jeho efektívnosti, návratnosti nákladov a vyhodnocuje dopady tohto programu.

Pri prezentovaní potreby vzdelávacieho programu vedeniu je teda potrebné poukázať na to, že sa jedná o ďalšie opatrenie, podobne ako opatrenia na riadenie prístupu, šifrovanie či zálohovanie. Navyše je potrebné podčiarknuť, že toto opatrenie ako jediné vie efektívne minimalizovať riziká spojené s ľudským faktorom, ktorý je často najslabším článkom v zabezpečení organizácie. Navyše, aby bol takýto program naozaj efektívny, je potrebné k nemu pristupovať ako k dlhodobému projektu a neorientovať sa iba na prevenciu. Je vhodné naučiť zamestnancov čo sú to indikátory zneužitia a trénovať ich v schopnostiach rozpoznať pokusy o útok a vedieť ako ich hlásiť. Ak sa vám podarí presvedčiť vedenie o potrebe vzdelávacieho programu a ono pochopí závažnosť rizík, ktoré vyplývajú z jeho absencie, tak skôr uvoľní prostriedky na jeho realizáciu v potrebnej miere.

Plánovanie

Po tom ako sme získali podporu vedenia, prichádza na rad plánovanie. Na začiatku je potrebné stanoviť si ciele, ktoré chceme vzdelávacím programom dosiahnuť. Typickými cieľmi môžu byť popularizácia informačnej bezpečnosti medzi zamestnancami, poskytnutie základných znalostí, ale aj praktických skúseností z tejto oblasti. Hlavným cieľom by mala byť zmena správania sa zamestnancov a zvýšenie ich schopnosti reagovať správne (obozretne) v situáciách, pri ktorých hrozí strata dôvernosti, dostupnosti alebo integrity informácií a informačných systémov. Pri úvodnom plánovaní je dobré zamyslieť sa nad skupinami zamestnancov, ktoré máme záujem vzdelávať. Je rozdiel zvyšovať bezpečnostné povedomie bežných používateľov, manažmentu a administrátorov, prípadne aj externých zamestnancov. Tieto skupiny zamestnancov majú veľmi rozdielne úrovne znalostí o informačnej bezpečnosti a teda je potrebné využiť rôzne formy prístupu a rôzne vzdelávacie metódy. Po identifikácií skupín je potrebné identifikovať ich potreby. Na základe posúdenia ich doterajších znalostí je následne možné identifikovať oblasti a rozsah vzdelávania. V každom prípade za zváženie stojí zavedenie školení novo prijatých zamestnancov, školení o základoch informačnej bezpečnosti, bezpečnostných politikách a pravidlách a zvyšovanie bezpečnostného povedomia pre všetkých zamestnancov. Odporúčame tiež koncentrovanejší kurz pre samotné vedenie a poskytnutie špecifických zručností a znalostí pre administrátorov.

Používatelia

Všetci zamestnanci, ktorí používajú informačné technológie musia byť poučení o zásadách bezpečného používania týchto prostriedkov. V organizácií musí existovať bezpečnostná politika a smernica o používaní informačných systémov, s ktorou budú všetci zamestnanci oboznámení. Nemalo by to však byť len o tom, že si budú vedomí existencie týchto predpisov, ale predovšetkým budú znalí správneho používania informačných systémov a toho, čo v žiadnom prípade robiť nesmú. Ideálnym stavom je poskytnutie výkladu o dôvodoch pre tieto pravidlá spolu s objasnením dôsledkov ich nedodržania.

Pre bežných používateľov je vhodné pripraviť školenia o základoch informačnej bezpečnosti a o bezpečnostných zásadách na pracovisku. Ako sme už spomínali vyššie, je potrebné objasniť motiváciu pre dodržiavanie zásad bezpečnosti. Na tento účel je vhodné prezentovať vhodné štatistiky o informačnej bezpečnosti, príklady bezpečnostných hrozieb, zraniteľností a incidentov. Zamestnancom je potrebné vysvetliť absolútne základy informačnej bezpečnosti a jej základné princípy – dôvernosť, integritu a dostupnosť. Keďže si človek nezaoberajúci sa touto problematikou často neuvedomuje, prečo je vlastne potrebné implementovať rôzne bezpečnostné opatrenia, je dôležité mu vysvetliť dôvody útočníkov pre ich činnosť. Je možné spomenúť, že k nim patrí priemyselná špionáž, prieskumy konkurencie, zvedavosť, ale aj kriminálne dôvody. Súčasťou školení by malo byť aj predstavenie organizácie informačnej bezpečnosti v inštitúcii – aké sú jej bezpečnostné ciele, aká je štruktúra bezpečnostných politík, ktoré oddelenia a ktoré osoby sú zodpovedné za jednotlivé úlohy súvisiace s informačnou bezpečnosťou a koho je možné kontaktovať v prípade podozrenia na bezpečnostný incident.

Najdôležitejšou súčasťou školení na zvyšovanie povedomia je poučenie o základných pravidlách pre zamestnancov, teda aký je obsah jednotlivých bezpečnostných politík, ako tvoriť a používať bezpečné heslá, ako bezpečne používať e-mail a internet, ako sa chrániť pred škodlivým kódom a ako vykonávať zálohovanie dôležitých dát. Zamestnanci vedia zásadným spôsobom vplývať na bezpečnosť organizácie svojim vlastným konaním. Je žiaduce poukázať na časté chyby pri používaní informačných systémov, aby si ich zamestnanci uvedomili a vyhýbali sa im. K takýmto chybám patria neopatrné zaobchádzanie s heslami, nepoužívanie šifrovania pri prenose citlivých dát, neadekvátna ochrana zverených informácií v elektronickej i papierovej podobe, nedostatok zdravej nedôvery či odkladanie notebooku v aute alebo pripájanie sa na diaľku do informačných systémov organizácie z nedôveryhodných wifi sietí.

Ďalšími oblasťami, ktoré by mali byť školeniami pokryté, sú zabezpečenie prístupu k dátam a informačným systémom, základy „technickej“ bezpečnosti, vysvetlenie čo je to škodlivý kód, aké druhy škodlivého kódu existujú a čo je potrebné robiť na ochranu pred ním. Tiež je potrebné zamestnancom na školení vysvetliť a objasniť legislatívne požiadavky a spôsob riešenia bezpečnostných incidentov vrátane spôsobu ich detekcie, hlásenia, komunikačných kanálov pre ich nahlasovanie a eskalačných pravidiel.

Vedúci pracovníci

Okrem znalosti základov informačnej bezpečnosti a zásad používania informačných systémov na pracovisku by vedúcim pracovníkom malo byť navyše poskytnuté detailnejšie školenie o legislatíve, reguláciách a štandardoch súvisiacich s informačnou bezpečnosťou, pretože oni nesú zodpovednosť za dodržanie súladu s týmito dokumentmi. Patrí sem napr. zákon o ochrane utajovaných skutočností, zákon o ochrane osobných údajov, zákon o informačných systémoch verejnej správy spolu s výnosom o štandardoch pre informačné systémy verejnej správy a mnohé ďalšie. K štandardom, ktoré môžu vedúcim zamestnancom pomôcť pri zavádzaní bezpečnosti do organizácie patria napr. ISO 27001, BSI IT Grundschutz, špeciálne publikácie NIST rady SP-800 a ďalšie. Vedúci zamestnanci by mali byť aj detailnejšie oboznámení so systémom riadenia informačnej bezpečnosti v ich organizácií. Dôvodom je fakt, že títo zamestnanci by mali tiež prispievať k jeho rozvoju za svoje oddelenie, napr. pri zavádzaní nových technológií, organizačných zmenách či zmenách legislatívy. Mali by mať vedomosť o stratégií informačnej bezpečnosti, o spôsobe výkonu analýzy rizík a poskytovaní vstupov do procesu riadenia rizík a podieľaní sa na rozhodovaní o akceptácií rizík, výbere opatrení a dohľadu nad bezpečným správaním sa zamestnancov. Na integráciu informačnej bezpečnosti do procesu plánovania, rozhodovania a projektového riadenia by títo zamestnanci mali získať aj vedomosti o ekonomických výhodách informačnej bezpečnosti, spôsobe výpočtu nákladov na informačnú bezpečnosť, spôsobe zavedenia bezpečnosti do celého životného cyklu informačného systému vrátane jeho plánovania, obstarávania, vývoja, testovania, akceptácie, nasadenia, prevádzky, údržby, vyhodnocovania či vyraďovania.

Administrátori

Administrátori by okrem základov, ktoré sú poskytnuté používateľom, mali mať znalosti aj o riadení rizík. Samozrejmosťou je rozlišovanie pojmov riziko, hrozba, zraniteľnosť, nedostatok či bezpečnostný cieľ. Taktiež by mali mať prehľad o bežných hrozbách súvisiacich s vyššou mocou, organizačnými nedostatkami, ľudskými omylmi, technickými zlyhaniami či úmyselnými hrozbami. Vhodná je tiež znalosť spôsobu výkonu analýzy rizík a spôsoboch ich zmierňovania. Dôležitými oblasťami znalostí administrátorov by tiež mali byť bezpečnostné aspekty pri celom životnom cykle informačného systému, ale aj znalosti prevádzkovej bezpečnosti, technických aspektov implementácie opatrení, riadenia a plánovania kontinuity činností a prehľad o súčasných trendoch v IT.

Metódy a prostriedky pre zvyšovanie povedomia

Okrem klasických školení s prezentáciou existuje viacero možností ako šíriť osvetu o informačnej bezpečnosti. Je možné zriadiť informačné fórum na intranete, rozosielať zamestnancom e-maily ohľadom súčasných bezpečnostných hrozieb alebo upozornenia na prihlasovacej obrazovke pri prihlasovaní sa do pracovnej stanice. Ďalšou formou je rozosielanie obežníkov alebo magazínov zaoberajúcich sa touto problematikou, vylepenie plagátov upozorňujúcich na bezpečné správanie sa, zanechávanie brožúr na miestach, kde zamestnanci na niečo čakajú a radi by tento čas „zabili“ čítaním (napr. výťah, kuchynka či miesto na fajčenie). Ďalšou možnosťou je účasť zamestnancov na seminároch, konferenciách či iných udalostiach zaoberajúcich sa informačnou bezpečnosťou, či umožnenie sledovania edukačných videí alebo účasť na e-learningových kurzoch odporučených bezpečnostným manažérom. Najefektívnejším prostriedkom na zvyšovanie povedomia je vykonávanie simulácií a cvičení. Keďže klasické formy zvyšovania povedomia sú niekedy vnímané ako trochu ťažkopádne a náročné na pozornosť, žiaduci efekt môžu priniesť práve cvičenia a tréningy, pri ktorých sa využije hranie rolí a simulovanie situácií, ktoré vyžadujú aktívnu participáciu zúčastnených. Keď majú zamestnanci možnosť otestovať si svoje znalosti a zručnosti v dobre pripravenom cvičení, takto získané skúsenosti sa im dlhšie udržia v pamäti a v prípade reálneho incidentu budú zamestnanci lepšie reagovať na vzniknutú situáciu. V prípade vykonávania takýchto cvičení je potrebné udržiavať konštruktívnu atmosféru, vyhýbať sa stresu a zameriavať pozornosť cvičiacich na dôležitosť informačnej bezpečnosti v organizácií.

Vyhodnocovanie úspešnosti a efektívnosti vzdelávacieho programu a jeho zlepšovanie

Pre napredovanie a zlepšovanie vzdelávacieho programu je potrebné vyhodnocovať viacero faktorov. V prvom rade či boli vzdelávacie aktivity efektívne a či bola ich úroveň nastavená adekvátne pre vybrané skupiny zamestnancov. V druhom rade či tento program zasiahol všetkých dotknutých zamestnancov. Na vyhodnotenie úspešnosti je možné použiť viacero nástrojov. Klasickou metódou sú dotazníky, ktoré umožnia zamestnancom vyhodnotiť kvalitu školení, opýtať sa na otázky týkajúce sa obsahu týchto školení a poukázať na problémy s porozumením danej problematike. Prostredníctvom dotazníkov je tak možné zistiť prípadné nedostatky a potrebu ďalšieho vzdelávania. Ako ďalšia forma vyhodnocovania úspešnosti vzdelávania je aj viditeľná zmena správania sa zamestnancov. Jednou z možností je vyhodnotenie log záznamov, ktorých výpovednou hodnotou môže byť, že zamestnanci začali po školení na zvyšovanie povedomia uzamykať svoje pracovné stanice pri odchode na obed alebo prestávku. Dobrým ukazovateľom je aj skutočnosť, že zamestnanci nechávajú svoj pracovný stôl čistý bez rozhádzaných dokumentov obsahujúcich citlivé informácie.

V prípade informačnej a počítačovej bezpečnosti, ktorá sa prudko rozvíja a napreduje, je potrebné udržiavať tempo s aktuálnymi trendmi. Raz nadobudnuté vedomosti rýchlo strácajú na svojej aktuálnosti a je teda potrebné ich pravidelne obnovovať a rozširovať. Neustále prichádzajú nové technológie, útočníci využívajú čoraz sofistikovanejšie metódy prenikania do počítačových systémov, nachádzajú nové zraniteľnosti a využívajú nové vektory útoku. Práve z týchto dôvodov nepostačuje poskytovane školení len novo prijatým zamestnancom, ale je potrebné poskytovať školenia na osvieženie pamäti a doplnkové aktivity v pravidelných a plánovitých intervaloch.

Referencie

  1. ISO/IEC 27001:2013
  2. ISO/IEC 27002:2013
  3. IT-Grundschutz-Catalogues
  4. 2015 Security Awareness Report – SANS Institute
  5. Prieskum stavu informačnej bezpečnosti vo verejnej správe v Slovenskej republike v roku 2013 – Ministerstvo financií SR
  6. http://www.securingthehuman.org/
  7. https://www.sans.org/course/securing-human-build-maintain-measure-security-awareness-program
Posledná aktualizácia