- Agáta Křečková
Kybernetická bezpečnost je všude kolem nás a kdo říká, že ne, tak kecá. Myslet na bezpečnost by proto mělo být přirozenou součástí našich rituálů, nejen těch pracovních. Já osobně mám to (ne)štěstí, že jsem součást firmy, která radí zákazníkům s kyberbezpečností. Bezpečnost je tak v naší DNA zakořeněná, což u nás vidíte na každém kroku, nejenom na projektech. Třeba moje back office role. Asi si řeknete, že na recepci člověk nedělá nic, co by mohlo firmu nějak ohrozit. Jenže to tak není. Kde všude na kyberbezpečnost v běžném provozu narazíte a jak si vybudovat jednoduché bezpečnostní návyky?
Tučně zvýrazněné máte moje bezpečnosti návyky, v závorkách pak konkrétní security measures, které najdete v zákoně o kybernetické bezpečnosti.
Den začíná: Dveře, maily a kafe
Vcházím do budovy, pozdravím vrátnou a čipem (fyzická bezpečnost) se dostanu do našich kanceláří. Odemknu skříňku se svým laptopem, připojím ho na dokovací stanici, zapnu a jdu si udělat čaj. U toho zkontroluju, že v šuplících jsou sušenky, v lednici cola a v kávovaru kafe. Mít šťastné zaměstnance je svým způsobem taky takový bezpečnostní opatření.
Zadávám heslo do laptopu – velké písmeno, dvanáct kláves, speciální znak, číslo (Identity management and verification). Připojuju se také na wifi firmy, ne na guest, ale na tu wifi, co má VPN.
Otevírám e-mail, pročítám nové zprávy. Jeden z e-mailů má v odesílateli Meta a vypadá dost urgentně. Vyžaduje se po mě akce, stačí prý kliknout na „tenhle odkaz“ a všechno bude vyřešené, jinak nám to zablokuje firemní Facebook a zastaví všechny reklamy. To je možná až podezřele urgentní. Podívám se proto na adresu, ze které e-mail přišel. A hle, nemá s Metou nic společného. E-mail okamžitě mažu a nahlašuju jako spam (bezpečnost lidských zdrojů, tj. školení zaměstnanců). Další phisingové maily na mě dnes už naštěstí nečekají, přeposílám tak relevantní zprávy a označuju ty, na které potřebuju odpovědět později.
Na skok do HR agendy: Dokumenty, přístupy a AI
Máme novou zaměstnankyni, takže řeším nějaké papírování. Tisknu dokument a protože pracuju s osobními údaji, laptop si beru k tiskárně a tisknu až tam. K tiskárně přiložím kartičku a tisknu tak to, co jsem na tiskárnu poslala já (správa a ověřování identit a řízení přístupových práv a oprávnění). Nezapomínám důležité dokumenty na tiskárně.
Vracím se na recepci, odemykám skříňku s personálními složkami zaměstnanců (physical security) a vložím papír do složky nové kolegyně. My o vlku a vlk… na recepci, přichází s dotazem. „Dej mi chvilinku, hned se na to půjdu podívat.“ Odpovídám a zamykám skříňku s dokumenty. Než odcházím pomoc kolegyni, zamknu taky laptop – mačkám proto Windows a L (physical security).
Problém vyřešen, vracím se na místo a zadávám velké písmeno, dvanáct kláves, speciální znak, číslo (Identity management and verification). Dneska mi to moc nemyslí, takže si k vymýšlení odpovědí na e-maily otevřu ChatGPT. Přihlašuju se přes multifaktor – kromě hesla zadám ještě kód z e-mailu (Identity management and verification).
Do promptu pro AI nepíšu jména ani jiné citlivé údaje (řízení aktiv a bezpečnost lidských zdrojů). Vždycky zadávám jen obecně. Tohle mimochodem vím, protože jsem si prošla kurz na AI Act z naší Cybrela akademie. Odpověď si překopíruju a pak doplním konkrétní informace. Nějakou dobu zase ťukám, odpovídám, přeposílám.
Používáte AI bezpečně?
Den pokračuje: Marketing a málem incident
Je čas jít zkontrolovat svoji work-wife v marketingu a zjistit, jestli nepotřebuje s něčím pomoct. Zamykám počítač a běžím (physical security). Work-wife se měla o víkendu dobře, o všem mi povypráví na obědě. Moc jí ale pomůže, když udělám nějaké překlady na web. Posílá mi to přes firemní Teamsy (šifrování). Dneska si teda s AI docela posedím.
Vracím se na své pracovní místo a už asi po sté zadávám heslo do PC = velké písmeno, dvanáct kláves, speciální znak, číslo (Identity management and verification). Otevírám prohlížeč a administraci webu. Abych se dovnitř dostala, zadávám další heslo, který si pamatuju a nepíšu si ho nikam na papírek (správa a ověřování identit a bezpečnost lidských zdrojů).
Překládám, překládám a najednou slyším šramot před dveřmi. Automaticky dávám Windows + L, čipem odemykám dveře (physical security) a koukám ven. Na chodbě stojí cizí muž, s sebou má kufr a vypadá, že sotva stojí, vyloženě povlává a táhne to z něj. Prý má schůzku se svým kamarádem a svojí maminkou, ale nepamatuje si, jak se jmenují. Ptám se ho, kdo ho pustil dovnitř. Nakonec mu doporučím kanceláře o patro výš. Poděkuje a odchází. Chvilinku počkám, zavřu za sebou a sjedu výtahem na vrátnici, kde jim o možném incidentu řeknu (physical security).
Vracím se na místo a pokračuju spokojeně v překladech. Po AI vše pečlivě pročtu a případně upravím. Za správnost informací získaných z AI totiž zodpovídám já (bezpečnost lidských zdrojů a řízení rizik).
Fyzická bezpečnost na každém kroku (doslova)
Dnes mi to překládání pěkně odsýpá, ale najednou zvonek. Tohle už znáte – Windows a L, čip a dveře (physical security). Vidím, že je to opravář. „Dobrý den, ano, vím o vás, přišel mail od správy budovy, kontrola vzduchotechniky, pan? Ano, ano, pojďte dál.“ Možná jsem paranoidní, že by se někdo mohl vydávat za opraváře, ale to neznamená, že se to nemůže stát. Takže ověřím, že je to fakt ten člověk, který měl přijít (physical security).
Záhy zjistíme, že vzduchotechnika ke kontrole je v kanceláři, kde má kolega právě schůzku se zákazníkem. „Bohužel, omlouvám se, do této kanceláře vás nyní nepustím, bylo by totiž nutné abyste podepsal mlčenlivost a ta se mi jen tak neváli na stole… Já to chápu, je to nepříjemné. Můžu vám nabídnout kávu? Ne? Končí za dvě hodiny. Dorazíte jindy? Aha, tak na shledanou“.
Blíží se dvanáctá, skočím tedy pro oběd šéfové, nemít hladovou šéfovou taky určitě mitiguje nějaká rizika. Čip ven, čip dovnitř (physical security), vyzvedávám svoji work-wife a dáváme si taky oběd. Dobře jsme si popovídaly. Můj oběd teda nic moc, ale to je zase riziko použití náhodného neoznačeného koření ze špajzu, a ne kyberbezpečnostní riziko. Takže zpátky ke strojům – velké písmeno, dvanáct kláves, speciální znak, číslo (Identity management and verification).
Na závěr dne: Peníze, překvapení a aktualizace
Vesele si dalších pár hodin klapu na klávesnici a vyruší mě akorát zpráva na soukromém telefonu. Na pracovním ne, protože tam nemám přihlášené osobní účty a neřeším přes něj soukromé věci (asset management). Whatsapp zpráva je od mojí maminky. První zvláštní věc je, že přes Whatsapp si v rodině nepíšeme a ještě podivnější je, že po mě chce, abych jí poslala nějaký peníze. Spěchá to, potřebuje zaplatit pokutu za rychlost. To je dokonale alarmující, protože vždycky jezdí jak hlemýžď. Volám mamince, samozřejmě nic neposílala, mažu zprávu, nahlašuju (human resources security).
Nahlášeno, zažehnáno, jdu si radši udělat čaj. Zamykám laptop (physical security). Ohřát vodu, sáček, zalít. Hned jsem zpět na místě, takže opakuju po sté – velké písmeno, dvanáct kláves, speciální znak, číslo (Identity management and verification). Překlady mám hotové, je teď ještě objednat nějaký proviant do kanceláře. Dochází nám káva a čokoláda. (To by mohl být teda fest incident.)
Otevírám stránku, lovím z paměti další heslo. Vybírám pro jistotu tři druhy čokolády – mléčná, oříšková, bílá – a objednávku odesílám. Na platební bráně zadám údaje karty a přesměrujeme mě na dvoufaktorové ověření přes klíč mojí banky. Otevírám bankovnictví, zadávám další heslo, potvrzuji (Identity management and verification).
To už je tolik hodin? Páni, ten čas letí. Vypínám laptop, ale potřebuje aktualizovat, tak ještě aktualizaci nechám proběhnout (acquisition, development and maintenance). Aktualizace je totiž důležité nenechávat vyhnít, protože nás chrání i před novými hrozbami, nejde jen o software. Všechny svoje špinavé hrnečky odnesu do kuchyňky a umývám kávovar, uklízím svůj pracovní stůl (politika čistého stolu) a zamykám laptop do skříňky (physical security). Všude zhasnu, stáhnu topení, kabát na sebe, čip do ruky, vyjít ven, čip schovat a neztratit a… nezlomit si nohu na schodech, když pospíchám na tramvaj.
Děkuju za přečtení!
Doufám, že vás článek povzbudil v tom, že na tom s firemní kyberbezpečností nejste vůbec špatně. Mým hlavním cílem bylo ukázat, že na kyberbezpečnost se musíme dívat ze všech možných úhlů, nejen z pohledu IT oddělení ale i ze strany „obyčejných“ zaměstnanců jako jsem já. Kyberbezpečnost je totiž, jak vidíte, doopravdy všude kolem nás a je proto nutné ty malé (ne)podstatné návyky zanést do našich každodenních životů, ne protože to vyžaduje vyhláška nebo zákon, ale protože to má smysl pro lepší a bezpečnější prostředí.
