Inovativní kurz přežití v digitální džungli
Vítejte ve světě, kde kybernetická bezpečnost není jen módním slovem, ale základním pilířem našich životů. Vítejte v digitální džungli, kde každý klik může být pastí a každý e-mail hrozbou. Zatímco ještě na začátku našeho tisíciletí patřily zkušenosti s počítačovými viry do kategorie veselých historek z natáčení, dnes už jsou hackerské útoky často otázkou bytí či nebytí!
Text: Marek Prorok, ZEBRA SYSTEMS
Foto: Archiv ZEBRA SYSTEMS
Uživatel jako nejslabší článek
Co je největší hrozbou české ekonomiky? Byrokracie, nedostatek investic, malá technologická a inovační vyspělost? Jsou to právě kybernetické útoky! Průzkumy v této oblasti se dělají velmi obtížně, protože řada organizací se k selhání vůbec nepřizná. Podle často citovaného průzkumu přibližně 60 % malých a středních společností zkrachuje do šesti měsíců po kybernetickém útoku.
Ztráta dat totiž něco stojí: peníze, čas, reputaci a někdy i motivaci začít znova. Na jedné straně je technologická část zabezpečení (hardware, software, aktualizace, zálohy, antivirus…), na druhé straně lidský faktor, tedy ta nevypočitatelná hmota mezi židlí a klávesnicí.
Organizace často investují nemalé prostředky do technického řešení, což je v pořádku. Zapomínají však, že lidská chyba stojí téměř za polovinou datových úniků. Podle společnosti CoxBlue se jedná o 48 % všech kybernetických útoků.
Vzdělávání v kyberbezpečnosti pokulhává
Inovace v oblasti technologického zabezpečení probíhají prakticky kontinuálně. Ve vzdělávání se pohybujeme spíše velkými nepravidelnými přískoky. Česká republika ještě v třetím tisíciletí čerpá z nejlepších tradic rakousko-uherského školství: učit se, učit se, učit se, a nejlépe nazpaměť.
Proto ještě dnes, nejen v tradičních školách, ale i v kyberbezpečnostním vzdělávání převažuje frontální výuka, přednášky, případně e-learning, který zvládnete vyplnit během přípravy oběda nebo vyřizování e-mailů. A výsledek podle toho vypadá.
„Pro mě je ideální způsob školení napsat e-mail zaměstnancům, aby neklikali na odkazy a soubory v podezřelých e-mailech,“ svěřil se nedávno jeden nejmenovaný šéf IT oddělení velké mezinárodní společnosti. Takové školení je zadarmo a určitě funguje, alespoň u těch lidí, kteří si e-mail přečtou, a do té doby, než třeba vedoucímu účetního oddělení napíše rozzuřený šéf, aby urychleně opravil vystavenou fakturu.
V okamžiku, kdy pana vedoucího upozorníme na drobnou změnu písmenka v e-mailové adrese, už je většinou pozdě – koneckonců, dobrý hacker se dokáže dostat přímo do firemního e-mailu. Každopádně výsledek většinou bývá tristní, protože následky útoku (ať už se jedná o zaslání peněz na jiný účet, ransomwarový útok, nebo únik dat) stojí společnost nakonec více peněz než efektivní proškolení zaměstnanců.
Škola hrou
Učení prostřednictvím prožitku není nový koncept. Propagoval ho už Jan Amos Komenský a vystopovat ho můžeme v ještě vzdálenější historii, kdy třeba dva velkostatkáři přivedli na hranici svých pozemků malého chlapce a uštědřili mu pořádný výprask, díky kterému si až do smrti pamatoval, kde k nešťastné události došlo. Lépe než hraniční kámen, který je možno v noci nepozorovaně přemístit.
V dnešní civilizované době, kdy už se děti veřejně bít nesmí, je třeba volit jiné metody zážitkového učení. A virtuální realita je žhavým kandidátem, který už dnes pomáhá dětem i dospělým osvojit si specifické dovednosti, ke kterým by se jinak dostali jen stěží.
V České republice existuje řada inovačních start-upů, které pokrývají celé spektrum aktivit, od vzdělávacích, až po terapeutické. Českobudějovický Virtual Lab se například věnuje výuce studentů ve zdravotnictví (VR ICU®) i na běžných základních a středních školách (VR EDU®). Je prostě rozdíl, když si o složení lidského těla čtete v učebnici, nebo když si na jednotlivé orgány a kosti lidského těla můžete doslova sáhnout.
VR Vitalis pro změnu vytvořil certifikovaný zdravotnický prostředek pro rehabilitaci ve virtuální realitě. Znáte ty měsíce čekání, než vás někde vezmou? Díky virtuální realitě budete moci rehabilitovat dříve.
Projekt Company (Un)Hacked
Company (Un)Hacked je projekt kybernetického tréninku ve virtuální realitě, který vyvinula vratislavská firma Sun Capital. Během tréninku se zaměstnanec vžije do role hackera a v deseti na sebe navazujících scénářích projde všemi nástrahami moderního digitálního světa. Důležité je to obrácení rolí, protože účastník tréninku si konečně uvědomí, jak uvažuje predátor a kolik úsilí je ochoten vynaložit, než se pustí do finální fáze útoku.
Inovační potenciál tréninku kyberbezpečnosti ve VR spočívá ve třech základních bodech:
1. Prostředí virtuální reality je tzv. imerzivní, což je slovo, které ještě v češtině není příliš zažité, ale nejlépe vyjadřuje naprosté ponoření, pohlcení prostředím alternativní reality. Když má uživatel na hlavě headset pro virtuální realitu, dostavuje se efekt kasina – nikde žádná okna, žádné hodiny – je plně ponořen do akce a jeho mozek toto prostředí bere jako skutečnost, což zjistí v okamžiku, kdy se v hackerově doupěti poprvé opře o virtuální desku stolu.
2. Obrácení rolí znamená, že se dostává do situace, ve které 99,9 % lidí nikdy nebude, ale která pomůže uvědomit si, co všechno je hacker pro svůj úspěch schopen udělat. V jednom scénáři si dokonce povzdechne, jak úmorná a namáhavá je to práce.
3. Gamifikace neznamená, že se účastníci tréninku místo práce flákají a hrají hry. Zařazení herních prvků umožňuje autentický prožitek. Po celou dobu vzdělávání se nikdo nic „neučí“ ani „nememoruje“. Ve výsledku ovšem dochází k propojení zkušeností potenciální oběti a útočníka.
Doba vzdělávacích e-mailů je nenávratně pryč
Star Trek a podobné seriály kdysi zpopularizovaly myšlenku transportérů, které nás v okamžiku přenesou na libovolné místo ve vesmíru. Technologická evoluce se však vydala trochu jiným směrem. Dnes už transportéry k dispozici máme, jenom fungují trochu jinak. Nepřenášejí Mohameda k hoře, ale horu k Mohamedovi.
Ve virtuální realitě se prostě můžeme, stále věrněji a přesvědčivěji, podívat kamkoli. Najednou je možné navštívit sedm divů světa, zkusit řídit Formuli 1, nebo si vyzkoušet, jaké to je být hackerem. Cílem posledně jmenovaného samozřejmě není vytvořit novou generaci hackerů. Cílem je pomoci „digitálně slabším“, aby se nestali příliš snadným soustem rychle se rozrůstajícího nového průmyslového odvětví.
To je možná ještě jedna mini-inovace, která je ve světě kybernetické bezpečnosti zásadní – trénink je určen řadovým zaměstnancům firmy a je koncipovaný tak, aby ho zvládli absolvovat i lidé, kteří v životě žádný headset na hlavě neměli a nejsou schopni rozeznat phishing od ransomwaru.
Naopak, jsou to často právě IT specialisté, kterým je třeba zdlouhavě vysvětlovat, že vzdělávacím cílem tréninku je větší obezřetnost zaměstnanců vůči bezpečnostním hrozbám, nikoli správná technika nastavení pirátské wi-fi. A hlavně, že doba vzdělávacích e-mailů už je nenávratně pryč!