Mýtus o školení kybernetické bezpečnosti pro zaměstnance

Dnešní téma bude asi trochu kontroverzní, protože se ohradím proti mainstreamovému názoru na školení kybernetické bezpečnosti pro zaměstnance – běžné uživatele počítačů. Mně osobně přijde, že obecně koluje názor, že:

Nepoučení (nevyškolení) uživatelé jsou hlavní příčinou velkých kybernetických incidentů. Proto bychom je měli školit, i když o to ani nestojí!

Já s tím nesouhlasím. Myslím si, že hlavním problémem nejsou zaměstnanci… tedy respektive jsou, ale úplně jiní, než si všichni typicky představí. Největší podíl na bezpečnosti mají na bedrech zaměstnanci v IT odděleních. My správci.

Ok, máme za sebou trochu bulvárnější úvod a teď se pojďme podívat na mé argumenty.

Proč školení kybernetické bezpečnosti pro zaměstnance není to, co většina firem potřebuje

Školení zaměstnanců na téma kyberbezpečnosti je samozřejmě legitimní opatření. Jde však o to, že toto opatření v poměru „přínos/cena“ není úplně hitparáda.

Ne všechny útoky jsou vedeny skrze zaměstnance

V médiích se mluví hlavně o „phishingových e-mailech“, které z uživatelů lákají přihlašovací údaje či spuštění zavirovaných příloh. Málokdy se tam ovšem dočtete o firmách napadených skrze neopravenou zranitelnost, špatnou konfiguraci nebo slabá hesla u administrátorských účtů. Přitom tyto prvotní vektory tvoří nezanedbatelnou část (zde si opět dovolím ukázat nejnovější graf z dílny Coveware).

Rád bych k tomu dodal ještě další vlastnosti, o kterých se málokdy mluví:

• E-mail phishing – i když se útočníkům podaří obelstíti uživatele, stále nemají vyhráno. Mají totiž pouze uživatelské přístupy, se kterými nemohou smazat zálohy, zašifrovat veškerá data a zastavit servery. Po získání uživatelských práv útok pokračuje. Tentokrát stojí útočníci proti správcům a teprve až „obehrají“ i je, síť je ztracena.
• Zranitelnosti, slabé administrátorské účty, špatná konfigurace – v tomto případě se útok běžných zaměstnanců vůbec netýká, vše je o správcích. Tyto útoky bývají zpravidla velice rychlé, protože již od začátku mají útočníci neomezený přístup po síti.

Jak vidíte, ne vždy jdou útoky skrze běžné uživatele. Nicméně IT správci v nich figurují pokaždé. Proto bychom měli školit hlavně správce.

Kybernetické útoky jsou sofistikované, až je těžké je rozeznat

Občas se na nějaký šikovně udělaný „social engineering“ (např. phishing) nachytají i lidé z IT oboru, někdy přímo z IT bezpečnosti. Přemýšlím, jak pak může být v našich silách vyškolit i běžné (ne IT) uživatele, když stoprocentní nejsou ani profíci?

Samozřejmě, že nic není černobílé a nejspíše tam bude zase klasický Paret. 😊 Vhodným školením zvládneme vyškolit zaměstnance, aby poznali 80 % útoků. A těch nedetekovaných 20 % prostě akceptujeme (musí být pokryty jinými opatřeními).

Při školení však nesmíme zapomínat, že zaměstnanci nejsou studenti, jejichž hlavní náplní je učit se nové věci. Zaměstnanci mají své pracovní povinnosti, osobní strasti a radosti a rozdílný přístup k výpočetní technice.

Myslím, že jako IT správci, bychom uživatelům měli hlavně dělat „bezpečné a jednoduché“ prostředí, kde nemohou nic pokazit.

Zaměstnanců je příliš, na to aby nikdo z nich neudělal chybu

Jakmile má firma několik stovek zaměstnanců, je těžké všechny vyškolit – vždy se najde někdo nemocný, na dovolené, na služební cestě, nemá čas nebo nově nastoupil. Čím více pak spoléháte na školení svých zaměstnanců (máte méně dalších obranných opatření), tím obtížněji udržíte všechny „proškolené“. Krom toho, již jsem psal, že ne všechny útoky jsou vedeny skrze ně.😉

Kde ale naleznete výrazně méně lidí? Ve vašem IT oddělení! Přitom skrze ně prochází (hrají v nich roli) veškeré útoky.

Z těchto důvodů věřím, že levněji vyškolíte své 3 IT zaměstnance, než jejich 300 kolegů z ostatních oddělení.😊

Kudy vede cesta?

Můj názor je, že pokud chceme zvyšovat bezpečnost, měli bychom primárně investovat do svých IT zaměstnanců. Ti by pak následně měli svým uživatelům vytvářet bezpečné a jednoduché prostředí.

Občas se objeví technologie, která dokáže zvýšit zabezpečení a zároveň i uživatelský komfort. Příkladem dávám často čtečku otisků prstů/obličeje na mobilech. Do té doby jsme museli buď používat PIN, či kreslit obrazec. To zdržovalo a navíc stačilo, aby se vám jednou někdo podíval přes rameno (a okoukal PIN). Nyní s čtečkami otisků 👆🏼 máme telefony všichni zabezpečené (a šifrované), aniž by nás to nějak obtěžovalo. To je podle mne cesta vpřed.

Samozřejmě, vymyslet vhodné řešení bezpečnosti není jednoduché, ale věřím, že to jde.😊 Zde jsou dva postřehy, které mohou řadě lidem pomoci:

• Zakázání maker: velká část phishingových e-mailů spočívá v donucení uživatele spustit makra. Řada firem se tuto hrozbu snaží řešit školením zaměstnanců, antispamem, antivirem, sandboxem. Z mé zkušenosti však většina firem vůbec makra nepotřebuje (případně jen pár zaměstnanců ve firmě). Říkám si, proč je tedy rovnou nezakázat (nebo omezit jen na digitálně podepsaná makra)? Vyřeší to problém s makry a je to zdarma.👍🏼
• Application control: neboli určování, které aplikace mohou uživatelé spustit a které ne. Většina uživatelů potřebuje jen omezené množství aplikací. Proč jim tedy nepovolit spouštět jen je a zbytek zakázat? Nemusíte pak řešit, že by uživatelé používali software, který jste neschválili, nebo omylem pustili nějaký malware (ono to totiž nepůjde). Application control se dá například nasadit skrze SRP (Sofrware restriction policies), AppLocker, často to zvládne i váš antivirus.

Závěr

Co si o tom myslíte vy? Přesvědčil jsem vás, nebo vás napadají nějaká „ALE“. Budu rád, když se o svůj názor podělíte.

Mějte se krásně, nechť jsou vaše sítě (i v listopadu) bezpečné.

Martin