Pouze 42 % zaměstnanců dodržuje bezpečnostní opatření firmy. Jak předejít hrozícímu problému?

Pouze polovina zaměstnanců považuje bezpečnostní opatření za důležitá a rozumí jim

Například v České republice má podle studie zhruba polovina zaměstnanců pozitivní přístup k opatřením pro zajištění kybernetické bezpečnosti. Podle 52 % zaměstnanců jsou bezpečnostní pravidla ve firmách důležitá pro ochranu dat a zdrojů společnosti. Pouze 46 % zaměstnanců však deklaruje jejich znalost a dodržování. Téměř pětina považuje bezpečnostní opatření dokonce za překážku při jejich práci a 7 % přiznává úmyslné nedodržování zásad.

V Maďarsku zná a dodržuje bezpečnostní opatření své firmy pouze 45 % a v Polsku dokonce pouze 42 % zaměstnanců.

Téměř čtvrtina zaměstnanců se neorientuje v bezpečnostní politice své firmy

Důležitost bezpečnostních opatření si uvědomuje více než polovina respondentů, méně než polovina je však dodržuje. Každý desátý zaměstnanec tvrdí, že si je bezpečnostních zásad ve své společnosti vědom, ale nikdo mu je nevysvětlil.

Až 13 % zaměstnanců nezná bezpečnostní politiku své firmy, 7 % tvrdí, že jejich společnost žádnou bezpečnostní politiku nemá. Že bezpečnostní opatření nejsou nutná, protože daná společnost ještě nezažila žádný útok, se domnívá 6 % respondentů a každý svačin si myslí, že zásady kybernetické bezpečnosti nemají na jeho práci žádný vliv.

Vědí zaměstnanci, co s podezřelým emailem?

Každý dvanáctý respondent v Čechách a Maďarsku si není jistý, zda by rozpoznal hrozbu nebo neví, co dělat, když zaznamená podezřelý email, událost nebo program. V Polsku tuto vědomost nemá dokonce každý desátý zaměstnanec.

Podezřelou událost by v Čechách nahlásilo příslušné osobě v IT oddělení 72 % zaměstnanců, naopak každý pátý (20 %) by situaci ignoroval nebo podezřelý email smazal. Maďaři jsou na tom trochu lépe, ale Polsku incident nahlásí jen 58 % zaměstnanců a celá třetina by situaci odignorovala.

58 % zaměstnanců nedodržuje kyberbezpečnostní opatření ve své firmě. Pětina je dokonce považuje za překážku při své práci. Téměř třetina zaměstnanců podezřelou událost odignoruje.

Prostor pro velké zlepšení

Lidský faktor je stále klíčovou a problematickou součástí opatření k zajištění IT bezpečnosti. Průzkum ukazuje, že podniky mají v oblasti vzdělávání zaměstnanců stále co zlepšovat.

Aby mohly bezpečnostní zásady dodržovat, musí hlavně vědět, proč jsou tak důležitou součástí ochrany firmy před kybernetickým útokem. Kromě zavedení politiky kybernetické bezpečnosti je zásadní ukázat zaměstnancům, jak jejich každodenní chování ovlivňuje bezpečnost firmy.

Slovensko a bezpečnost IT

Přestože se průzkum neopírá o údaje ze Slovenské republiky, je naivní se domnívat, že by byla diametrálně lepší než data z Čech, Maďarska či Polska.

Podle Národního centra kybernetické bezpečnosti SK-CERT až 60% Slováků ve věku 15 až 34 let eviduje důležitost kybernetické bezpečnosti. Slováci mezi hlavní porušení bezpečnosti radí: odcizení peněz z účtu, zneužití přihlašovacích údajů, únik či zveřejnění citlivých fotografií či osobních údajů, nabourání profilu a kompromitace na sociální síti a únik citlivé komunikace.

Návod jak to změnit - interní vzdělávací workshopy

ANASOFT je softwarová firma, jejímž jedním z pilířů je také kybernetická ochrana firem. Proto se rozhodla věnovat poměrně velkou část vzdělávání vlastních zaměstnanců právě na téma kybernetických útoků.

Peter Roth, CIO ANASOFTu: „Zvolili jsme formu krátkých pravidelných interních školení, která se s měsíční periodicitou vtipně a odlehčeně přimlouvají našim ANASOFŤákům. Prostřednictvím online vysílání se promlouváme vždy jedním z témat, které se dotýkají našeho firemního ale i soukromého IT bezpečí.

Jsou to témata jako sociální inženýring, phishing, ransomware, bezpečné používání internetu či bezpečnost mobilních zařízení. Tuto sérii workshopů jsme nazvali „Beru to osobně“, protože útoky, které číhají na nás ve firmě, mohou rovněž zasáhnout naše soukromí, naše osobní citlivá data či dokonce bankovní konto.

Každé setkání je obohaceno reálným, někdy bohužel i smutně skončeným příběhem z reálného života, které představí hlavní host vysílání. Po tomto příkladu si řekneme, jak lze předejít podobnému případu, a když už situace nastane, jak je možné minimalizovat případné škody.“

Zábavné interní kampaně

Spolu s interními miniškoleními jsou součástí strategie boje proti kyberútokům vizuální minikampaně, které připomínají každodenní nebezpečí. Jedním z nich byla například výroba triček potlačených bezpečnostními pořekadly.

„Díky těmto aktivitám se bezpečnost IT stala v ANASOFTu oblíbeným a ne nechtěným tématem. Realizované aktivity jsou zábavné, snadno pochopitelné a občas přinesou i dárek pro zaměstnance. Kromě toho, že vzděláváme všechny zaměstnance, v ANASOFTu působí i Divize security, která se stará o bezpečnost velkých a náročných klientů. Vyvinuli jsme vlastní produkt DECEUS, který nabízí cyber deception technologii.

Hovoříme-li o kyberútocích, otázkou není zda k nim dojde, ale kdy. Jsem proto velmi rád, že se naši klienti mohou cítit bezpečně i díky tomu, že povědomí ochrany proti kyberútokům je v ANASOFTu velmi často a vhodně skloňované téma.“ dodává Peter Roth.