NIS2 READY
Školenie bolo ukončené. Prezentácia mala desiatky snímok. Na konci bol test a všetci ho úspešne zvládli. O týždeň neskôr však prišiel phishingový e-mail. Niekto klikol. A incident bol na svete.
Následná reakcia bola takmer automatická:
„Ale veď sme ich školili.“
Z formálneho hľadiska mala organizácia pravdu. Školenie prebehlo, existuje prezenčná listina aj vyplnený test. V praxi však školenie nesplnilo svoj účel. Zamestnanci si neuvedomovali, že ide o rizikovú situáciu, nevedeli, ako majú reagovať, ani na koho sa v takom prípade obrátiť.
Častým omylom je predstava, že najväčším rizikom v kybernetickej bezpečnosti sú ľudia. V skutočnosti nie sú rizikom ľudia, ale ľudia, ktorí nie sú pripravení konať v rozhodujúcej chvíli. Útočníci to dobre vedia. Neútočia len na technológie, ale na pozornosť, únavu a rutinu.
Európska smernica NIS2 preto hovorí o potrebe primeraného povedomia a školení. Nehovorí o prezentáciách ani o testoch. Hovorí o tom, že organizácia má zabezpečiť, aby ľudia vedeli rozpoznať rizikovú situáciu a reagovať na ňu správnym spôsobom. Povedomie sa nepreukazuje dokumentom, ale správaním.
Zmena správania nevzniká zo dňa na deň. Vyžaduje si opakovanie, konzistentnosť a spoločnú zodpovednosť naprieč tímami. Preto sme sa tejto téme venovali podrobnejšie aj v článku „Cybersecurity Isn’t a Sprint, It’s a Team Run“, kde vysvetľujeme, prečo udržateľná bezpečnosť závisí od dlhodobého nastavenia myslenia, nie od jednorazových aktivít.
Problém mnohých školení je v tom, že sú príliš všeobecné a odtrhnuté od reality. Vysvetľujú pojmy, definície a typy útokov, ale chýba im to najdôležitejšie – konkrétne situácie a jasný ďalší krok. Zamestnanci nepotrebujú vedieť, čo je spear phishing. Potrebujú vedieť, čo majú urobiť, keď majú pochybnosti.
Fungujú školenia, ktoré sú krátke, zrozumiteľné a zamerané na jednu konkrétnu situáciu. Päť až desať minút, jeden scenár, jedna jasná odpoveď. Ako vyzerá podozrivý e-mail u nás, komu ho nahlásiť a čo sa stane potom. Keď to ľudia vedia, správajú sa inak. A práve to je cieľ.
V rámci platformy Tazilla pristupujeme k školeniam ako k súčasti riadenia rizík, nie ako k jednorazovej povinnosti. Každé relevantné riziko je prepojené s konkrétnym povedomím, ktoré vychádza z reálnych situácií a očakávaného správania ľudí. Cieľom nie je, aby ľudia poznali správnu odpoveď v teste, ale aby urobili správnu vec práve vtedy, keď na tom záleží.
V aplikácii Tazilla sú dostupné aj školenia, ktoré poskytujú základné povedomie, no ich skutočný význam vzniká až v kombinácii s riadením rizík a jasným očakávaným správaním ľudí.
Ponaučenie je jednoduché. Školenie, ktoré nemení správanie, je len iný druh dokumentácie. A dokumentácia sama o sebe nikoho neochráni. NIS2 to vie. Útočníci to vedia. Otázka je, či to vieme aj my.