- Agáta Křečková
Cybersecurity is all around us, and anyone who says otherwise is talking nonsense. Thinking about security should therefore be a natural part of our rituals, not just the work-related ones. I personally have the (mis)fortune of being part of a company that advises clients on cybersecurity. Security is so deeply rooted in our DNA that you can see it at every turn here, not just on projects. Take my back office role, for example. You'd probably think that someone at the reception desk doesn't do anything that could pose a threat to the company in any way. But that's just not the case. Where all do you encounter cybersecurity in everyday operations, and how can you build simple security habits?
In bold you'll find my security habits, and in parentheses the specific security measuresyou'll find in the Cybersecurity Act.
The day begins: Doors, emails, and coffee
I enter the building, greet the doorkeeper, and use my access card (physical security) to get into our offices. I unlock the cabinet with my laptop, connect it to the docking station, turn it on, and go make myself some tea. While I'm at it, I check that there are cookies in the drawers, cola in the fridge, and coffee in the coffee machine. Having happy employees is, in its own way, also a kind of security measure.
I enter my laptop password – a capital letter, twelve keystrokes, a special character, and a number (Identity management and verification). I also connect to the company wifi, not the guest one, but the wifi that has a VPN.
I open my email and read through the new messages. One of the emails has Meta as the sender and looks pretty urgent. It demands immediate action from me – apparently all I need to do is click on "this link" and everything will be sorted out, otherwise it'll block our company Facebook and stop all our ads. That is perhaps even suspiciously urgent. So I take a look at the address the email came from. And lo and behold, it has nothing to do with Meta. I immediately delete the email and report it as spam (human resources security, i.e. employee training). Fortunately, no more phishing emails are waiting for me today, so I forward the relevant messages and flag the ones I need to reply to later.
A quick dip into HR matters: Documents, access, and AI
I print a document, and because I'm working with personal data, I take my laptop over to the printer and only print there. I tap my card on the printer so I only print what I myself sent to it (identity management and verification and access rights and permissions management). I don't leave important documents on the printer.
I return to the reception desk, unlock the cabinet with the employees' personnel files (physical security) and put the paper into the new colleague's folder. Speak of the devil… someone is waiting for me at the reception desk with a question. "Give me a moment, I'll go look into it right away," I reply, and lock the cabinet with the documents. Before I leave to help my colleague, I lock my laptop too – so I press Windows and L (physical security).
Problem solved, I return to my place and enter a capital letter, twelve keystrokes, a special character, and a number (Identity management and verification). Today is not my day, so I open ChatGPT to help me come up with replies to emails. I log in with multi-factor authentication – besides the password, I also enter a code from my email (Identity management and verification).
In the AI prompt, I don't write names or other sensitive data (management and human resources security). I always phrase things only in general terms. I know this, by the way, because I took an AI Act course from our Cybrela academy. I copy the answer over and then fill in the specific information. I tap away again for a while, replying, forwarding.
Are you using AI safely?
The day continues: Marketing and an almost-incident
It's time to go check on my work-wife in marketing and see if she needs help with anything. I lock my computer and run off (physical security). My work-wife had a good weekend – she'll tell me all about it over lunch. Meanwhile I can help her by doing some translations for the website. She sends them to me over the company Teams (encryption). So I'll be spending with AI a fair bit of time today.
I return to my workstation and, for what must be the hundredth time, enter the PC password = a capital letter, twelve keystrokes, a special character, and a number (Identity management and verification). I open the browser and the website admin panel. To get in, I enter another password, which I remember and don't write down on post-it note anywhere (identity management and verification and human resources security).
Překládám, překládám a najednou slyším šramot před dveřmi. Automaticky dávám Windows + L, čipem odemykám dveře (physical security) a koukám ven. Na chodbě stojí cizí muž, s sebou má kufr a vypadá, že sotva stojí, vyloženě povlává a táhne to z něj. Prý má schůzku se svým kamarádem a svojí maminkou, ale nepamatuje si, jak se jmenují. Ptám se ho, kdo ho pustil dovnitř. Nakonec mu doporučím kanceláře o patro výš. Poděkuje a odchází. Chvilinku počkám, zavřu za sebou a sjedu výtahem na vrátnici, kde jim o možném incidentu řeknu (physical security).
Vracím se na místo a pokračuju spokojeně v překladech. Po AI vše pečlivě pročtu a případně upravím. Za správnost informací získaných z AI totiž zodpovídám já (bezpečnost lidských zdrojů a řízení rizik).
Fyzická bezpečnost na každém kroku (doslova)
Dnes mi to překládání pěkně odsýpá, ale najednou zvonek. Tohle už znáte – Windows a L, čip a dveře (physical security). Vidím, že je to opravář. „Dobrý den, ano, vím o vás, přišel mail od správy budovy, kontrola vzduchotechniky, pan? Ano, ano, pojďte dál.“ Možná jsem paranoidní, že by se někdo mohl vydávat za opraváře, ale to neznamená, že se to nemůže stát. Takže ověřím, že je to fakt ten člověk, který měl přijít (physical security).
Záhy zjistíme, že vzduchotechnika ke kontrole je v kanceláři, kde má kolega právě schůzku se zákazníkem. „Bohužel, omlouvám se, do této kanceláře vás nyní nepustím, bylo by totiž nutné abyste podepsal mlčenlivost a ta se mi jen tak neváli na stole… Já to chápu, je to nepříjemné. Můžu vám nabídnout kávu? Ne? Končí za dvě hodiny. Dorazíte jindy? Aha, tak na shledanou“.
Blíží se dvanáctá, skočím tedy pro oběd šéfové, nemít hladovou šéfovou taky určitě mitiguje nějaká rizika. Čip ven, čip dovnitř (physical security), vyzvedávám svoji work-wife a dáváme si taky oběd. Dobře jsme si popovídaly. Můj oběd teda nic moc, ale to je zase riziko použití náhodného neoznačeného koření ze špajzu, a ne kyberbezpečnostní riziko. Takže zpátky ke strojům – a capital letter, twelve keystrokes, a special character, and a number (Identity management and verification).
Na závěr dne: Peníze, překvapení a aktualizace
Vesele si dalších pár hodin klapu na klávesnici a vyruší mě akorát zpráva na soukromém telefonu. Na pracovním ne, protože tam nemám přihlášené osobní účty a neřeším přes něj soukromé věci (asset management). Whatsapp zpráva je od mojí maminky. První zvláštní věc je, že přes Whatsapp si v rodině nepíšeme a ještě podivnější je, že po mě chce, abych jí poslala nějaký peníze. Spěchá to, potřebuje zaplatit pokutu za rychlost. To je dokonale alarmující, protože vždycky jezdí jak hlemýžď. Volám mamince, samozřejmě nic neposílala, mažu zprávu, nahlašuju (human resources security).
Nahlášeno, zažehnáno, jdu si radši udělat čaj. Zamykám laptop (physical security). Ohřát vodu, sáček, zalít. Hned jsem zpět na místě, takže opakuju po sté – a capital letter, twelve keystrokes, a special character, and a number (Identity management and verification). Překlady mám hotové, je teď ještě objednat nějaký proviant do kanceláře. Dochází nám káva a čokoláda. (To by mohl být teda fest incident.)
Otevírám stránku, lovím z paměti další heslo. Vybírám pro jistotu tři druhy čokolády – mléčná, oříšková, bílá – a objednávku odesílám. Na platební bráně zadám údaje karty a přesměrujeme mě na dvoufaktorové ověření přes klíč mojí banky. Otevírám bankovnictví, zadávám další heslo, potvrzuji (Identity management and verification).
To už je tolik hodin? Páni, ten čas letí. Vypínám laptop, ale potřebuje aktualizovat, tak ještě aktualizaci nechám proběhnout (acquisition, development and maintenance). Aktualizace je totiž důležité nenechávat vyhnít, protože nás chrání i před novými hrozbami, nejde jen o software. Všechny svoje špinavé hrnečky odnesu do kuchyňky a umývám kávovar, uklízím svůj pracovní stůl (politika čistého stolu) a zamykám laptop do skříňky (physical security). Všude zhasnu, stáhnu topení, kabát na sebe, čip do ruky, vyjít ven, čip schovat a neztratit a… nezlomit si nohu na schodech, když pospíchám na tramvaj.
Děkuju za přečtení!
Doufám, že vás článek povzbudil v tom, že na tom s firemní kyberbezpečností nejste vůbec špatně. Mým hlavním cílem bylo ukázat, že na kyberbezpečnost se musíme dívat ze všech možných úhlů, nejen z pohledu IT oddělení ale i ze strany „obyčejných“ zaměstnanců jako jsem já. Kyberbezpečnost je totiž, jak vidíte, doopravdy všude kolem nás a je proto nutné ty malé (ne)podstatné návyky zanést do našich každodenních životů, ne protože to vyžaduje vyhláška nebo zákon, ale protože to má smysl pro lepší a bezpečnější prostředí.
