Kybernetická bezpečnost bývá často popisována v jazyce technologií – mluvíme o firewallech, šifrování, umělé inteligenci nebo segmentaci sítí. Ale právě tenhle technicistní pohled zakrývá skutečnost, že většina úspěšných útoků neprojde kvůli chybě v software, ale kvůli selhání člověka. Kliknutí na podvodný odkaz, slabé heslo, ztracený nezabezpečený disk. To vše jsou lidské momenty, které rozhodují o tom, zda systém zůstane bezpečný. Ať už jde o zaměstnance v call centru, vedoucí účetnictví, nebo IT specialistu, každý z nich je potencionálním vektorem útoku i obrany. Organizace proto musí přestat vnímat bezpečnost jako ryze technologický problém a začít ji chápat jako komplexní sociální disciplínu. A právě zde přichází ke slovu školení, ale ne to formální, jednorázové a zapomenuté hned po kliknutí na „dokončit kurz“. Skutečně účinná bezpečnostní osvěta musí být praktická, zábavná, opakovaná a především propojená s realitou zaměstnanců. Jinými slovy: nejde o to, co lidé vědí, ale co dělají. A už vůbec ne o to, co jim říká směrnice, ale co jim připadá normální. Následující odstavec shrnuje, jak by měla vypadat kampaň, která se nesnaží lidi přeučit, ale naučit – a především: zapojit je jako klíčové hráče v obraně proti každodenním hrozbám.
Co spojuje phishingový e-mail, ztracený USB disk a heslo „123456“ nalepené na monitoru?
Ne, není to selhání IT oddělení. A není to ani zlá umělá inteligence nebo „nefunkční firewall“. Je to člověk. Lidská bytost. Někdo, kdo zrovna pospíchal, měl špatný den, nebo prostě jen netušil, co dělá. Člověk je ve světě kybernetické bezpečnosti paradoxem – současně nejslabším i potenciálně nejsilnějším článkem. A právě na něm stojí nebo padá, jak dobře se organizace dokáže ubránit dnešním hrozbám.
ABC of ICT: Nejde o abecedu, ale o přežití
Začněme konceptem „ABC of ICT“, který by měl být povinnou četbou každého bezpečnostního manažera. Tato zkratka neznamená „učíme se písmenka“, ale Attitude (Postoj), Behavior (Chování) a Culture (Kultura).
Tři jednoduchá slova, ale pokud je ve firmě zvládnete ovládnout, z obyčejného zaměstnance uděláte firewall na dvou nohou. Pokud ne, pak vás od incidentu dělí jen jeden nešikovný klik.
Attitude: Postoj rozhoduje víc než checklist
Představte si zaměstnance, který si odsedí školení, získá certifikát, dokonce dostane i firemní muffin na závěr. A druhý den klikne na e-mail: „Vaše zásilka byla zadržena – klikněte pro doručení“. Proč? Protože jeho postoj ke kybernetické bezpečnosti zůstal nezměněn. Informaci slyšel, ale neuvěřil jí. Nechápal, proč by se měla týkat jeho. A hlavně: nepovažoval ji za důležitou.
Postoj není o tom, co víme. Je to o tom, čemu věříme – a čemu dáváme v každodenní praxi prioritu. Pokud lidé považují bezpečnost za otravný byrokratický rituál, budou ji ignorovat. Pokud jim ale dáme smysl, kontext a důvody, začnou ji brát vážně.
Behavior: Jak se chováme, když se nikdo nedívá
Chování je test reality. Je to rozdíl mezi „vím, co bych měl dělat“ a „co skutečně dělám“. Firemní směrnice možná přikazuje složitá hesla, ale pokud někdo použije „Jarvis2024“, protože tak se jmenuje jeho pes, pravidla selhala.
Chcete-li změnit chování, nestačí frontální útok pomocí e-learningu a PDF prezentací. Potřebujete dlouhodobou práci s návyky, pravidelné testování (například simulovaný phishing), zábavné kampaně, gamifikaci a hlavně: neustálé opakování. Lidský mozek je líný, pohodlný a nepamatuje si, co mu říkáte jednou za rok. Chování se navíc mění i skrze „mikro-návyky“. Pokud je normální, že lidé zamykají obrazovky, nenosí cizí flashky a pravidelně hlásí podezřelé e-maily, vzniká pozitivní návyk.
Culture: Tichý šéf, který rozhoduje o (ne)bezpečnosti
Kultura ve firmě není jen o tom, jestli chodíte v obleku nebo džínách. Je to kolektivní norma toho, co se „považuje za běžné“. Pokud šéf přeposílá důvěrné informace na osobní Gmail nebo diktuje heslo asistentce přes recepci, nastavuje tím bezpečnostní standard celé firmy. A opačně – když vedení jde příkladem, pravidla platí pro všechny a bezpečnost je součástí každodenního života, vzniká prostředí, kde se zaměstnanci nebojí jednat zodpovědně. Nahlášení incidentu je pak oceněno, ne zesměšněno.
GDPR, NIS2 a český ZKB: Právní rámec, který sází na člověka
Možná si říkáte: „To je hezké, ale jak to souvisí s regulacemi jako GDPR nebo NIS2?“ Zásadně. Právní předpisy totiž s lidským faktorem počítají – a rovnou ho staví do centra.
GDPR (čl. 39) výslovně ukládá povinnost školit zaměstnance a zvyšovat povědomí o ochraně osobních údajů. Nejde tedy jen o technické a organizační opatření, ale o vzdělávání.
Směrnice NIS2 klade důraz na odpovědnost vedení, řízení rizik a zahrnutí lidského faktoru do bezpečnostní strategie.
Zákon o kybernetické bezpečnosti (vč. nové připravované verze) počítá s tím, že člověk je zdroj rizika – a že organizace má udělat maximum pro snížení tohoto rizika. Ať už formou školení, testování, nebo budování bezpečnostní kultury.
Praktické kroky: Jak začít měnit lidi, ne jen firewally
Změnit lidské chování je těžší než koupit nový antivirus. Ale jde to – pokud se na to jde chytře:
Zjišťujte postoje – spusťte anonymní průzkum mezi zaměstnanci. Zeptejte se, co si opravdu myslí o bezpečnosti. Výsledky vás překvapí víc než audit.
Přestaňte přednášet, začněte vyprávět – vysvětlujte dopady porušení bezpečnosti pomocí příběhů a konkrétních příkladů z reálného světa.
Vedení musí jít příkladem – pokud šéfové nedodržují zásady, zaměstnanci to vnímají. A napodobují.
Simulujte, testujte, opakujte – například phishingové testy odhalí nejen technické mezery, ale hlavně slabiny v postoji a chování.
Vytvářejte bezpečnostní komunitu – oceňujte ty, kdo hlásí chyby, naslouchejte těm, kdo upozorňují na slabá místa. Budujte atmosféru důvěry, ne strachu.
Závěrem: Bez lidí to prostě nepůjde. Nikdy.
Praktická školicí kampaň zaměřená na lidský faktor v kybernetické bezpečnosti by neměla být jednorázovou událostí, ale spíš řízeným a cíleným procesem změny firemního klimatu, postojů i každodenních návyků. Taková kampaň musí kombinovat tři roviny – informování (postoj), praktický trénink (chování) a vytváření prostředí, ve kterém se bezpečnostní chování stává „normálem“ (kultura). Začít je vhodné silným úvodem, například e-mailem od vedení nebo krátkým videem, které vysvětlí, proč se bezpečnost týká každého a proč nejde jen o IT, ale o každodenní rozhodování každého zaměstnance. Navazovat by měly mikroformáty, což jsou například krátké edukativní spoty, „jednohubky“ s praktickými tipy (např. proč si nezapisovat hesla, jak poznat podvodný e-mail), minikvízy, simulované phishingové útoky nebo gamifikované výzvy. Vše by mělo být jasně propojeno se známými situacemi z praxe a žádné obecné přednášky, ale konkrétní příklady typu „kolegyně obdržela e-mail o nedoručené zásilce a klikla...“ nebo „co dělat, když najdu USB ve vestibulu firmy“. Nedílnou součástí má být i měření dopadu: anonymní před- a post-testy, výsledky phishingových simulací, úroveň zapojení do aktivit. Celý program by měl být zakončen shrnutím, co se povedlo, kde jsou mezery a jaké kroky budou následovat. Důležité je, aby zaměstnanci pochopili, že kyberbezpečnost není „další compliance nesmysl“, ale něco, co jim pomáhá chránit nejen firmu, ale i jejich vlastní digitální životy.
Kybernetická bezpečnost se často vykresluje jako souboj technologií – firewall proti hackerovi, AI proti ransomwaru. Ale realita je mnohem méně sci-fi a mnohem víc HR. Skutečná obrana začíná (a končí) u lidí. Koncept ABC of ICT ukazuje, že pokud nezměníme postoje, chování a kulturu, nezachrání nás ani ta nejdražší technologie. Ale když tyto tři oblasti zvládneme, pak i s průměrnou infrastrukturou můžeme být bezpečnější než konkurence s milionovým rozpočtem. Až budete příště plánovat školení, nezačínejte prezentací PowerPointu. Začněte otázkou:
„Co si naši lidé o bezpečnosti opravdu myslí – a co si opravdu pamatují?“ Pokud odpověď zní „skoro nic“, nepanikařte. Znamená to jen, že jste na začátku. A to je nejlepší chvíle začít něco opravdu měnit.