Rozhovor
Domníváte se, že současná podoba českého vzdělávání v oblasti kybernetické bezpečnosti (CS) je dostatečná?
Na základě praktických zkušeností naší firmy není. Vyvíjíme software mj. pro ekonomické agendy a personalistiku a u našich více než 6000 zákazníků, zejména z veřejné správy, jsme na bezpečnost naráželi velice často. Především na obrovské nedostatky ve vnímání a chování se k informačním technologiím a tím pádem na fakt, že člověk je nejslabším článkem v celé CS.
Z čeho podle vás vychází většina přešlapů, kterých se uživatelé dopouštějí?
Z nedostatečné zodpovědnosti, chybí zdravý přístup k technickým zařízením od chytrých telefonů až po počítače. Vkládáme do nich spoustu dat a dokud se nerozšířily hackerské útoky, třeba ještě před 10 lety, to uživatelé celé brali jen jako formální záležitost. Zatímco citlivá data vytištěná na papíře zamykali do trezoru nebo aspoň do šuplíku, na počítačích tomu nevěnovali takovou pozornost. Je tedy potřeba vychovávat v lidech takovou tu běžnou obezřetnost, s jakou si ve fyzickém světě třeba chrání své obydlí nebo své důvěrné informace.
Jaká konkrétní opatření jim doporučujete?
Snažíme se reagovat na sociální inženýrství používané hackery a vštěpovat základní návyky – třeba používání dostatečně silných hesel, která si neschováváme pod klávesnici nebo nelepíme na monitor. Aby heslo také nevycházelo z prostředí, ve kterém žiji, ze jmen mých blízkých, z nějakých předmětů v prostředí kanceláře nebo slovníkových seznamů. A samozřejmě, pokud odcházím z kanceláře, tak odhlásím počítač a nenechám rozdělanou práci na stole. I objektová bezpečnost je ve firmě velice důležitá, zamykat za sebou. Ale i u OSVČ, kteří třeba pracují doma a sdílí techniku s někým jiným, jsou potřebné některé návyky – aby do svého profilového přihlášení nepouštěli nikoho jiného nebo aby si data na discích šifrovali, zvlášť když jde o mobilní zařízení. Bez šifrování dat už dnes elektronický život není vlastně vůbec možný.
Jakým způsobem s tím bojujete?
Jelikož jsme softwarová firma, vytvořili jsme program pro podporu bezpečnostních analýz a analýz rizik ve firmách, v souladu se zákonem o kybernetické bezpečnosti, směrnici GDPR a ISO 27000. Ten pomáhá analytikům u našich zákazníků dlouhodobě implementovat změny v technice a legislativě, což je nikdy nekončící proces. Samozřejmě také nabízíme online i prezenční kurzy pro dospělé, pro naše zákazníky i všeobecně pro kohokoliv. Ono se totiž neustále hovoří o nutnosti vzdělávat zaměstnance ve firmách, ale spousta lidí pracuje jako OSVČ a nemají nikoho nad sebou, kdo by jim nařídil, ať jdou na školení, závisí to na nich osobně. A kromě toho se účastníme osvětových projektů pro širokou veřejnost jako například iniciativy Kybez, která soustřeďuje technické firmy a akademické subjekty a snaží se šířit určité „duševno“ o CS – nabízíme mj. vzdělávací rozhovory s různými odborníky na toto téma. Vytvořili jsme také portál vimkamklikam.cz určený pro všechny věkové kategorie. Je to docela pecka, když vám dospělý zákazník otevřeně přizná, že bez přemýšlení klikne na stránce na cokoliv, co tam vidí.
Pracujete s dospělými uživateli, co vás přivedlo k myšlence věnovat se mladším generacím?
Když jsme rozjeli školení pro naše zákazníky, začali jme se rozhlížet, jak a jestli vůbec funguje nějaké vzdělávání na ZŠ, SŠ potažmo VŠ. A zjistili jsme, že úroveň je velice slabá. Pustili jsme se do toho v našem regionu na Vysočině, kde náš generální ředitel Jaromír Řezáč připravoval balíčky pro prvňáčky s říkankami, takové první seznámení vyloženě jednoduchou formou, jak se správně chovat ke komunikační technice. Začali jsme také pořádat na středních školách různé přednášky pro studenty a přímo podporovat finančně i naším know-how některé školy, které se orientují přímo na obor CS.
Už od prvního ročníku spolupracujete také na národní Kybersoutěži pro studenty.
Ta má ale jiný účel, podporuje a motivuje talenty, kteří už mají nějaký zájem a zkušenosti v oblasti CS. Těm pak jakožto členové soutěžního výboru nabízíme letní soustředění i různá odborná působení ve firmách, aby se mohli dál rozvíjet. V profesionálním světě je velký nedostatek specialistů. Účastníci Kybersoutěže nám ale také hodně dávají, díky tomu, jaké kladou otázky a jak reagují, získáváme přehled, jak oni dnes o informatice vůbec přemýšlejí. A to se pak snažíme předat i těm běžným uživatelům z řad studentů, kteří o CS nejeví až takový zájem.
Jakým způsobem CS se studenty probíráte na zmiňovaných přednáškách?
Spíše prostřednictvím příběhů ze života, zkušeností, třeba i z vyprávění jejich vrstevníků, aby jim to bylo bližší. Nejde o suché formální školení. Ono ať přineseme jakékoliv téma, stejně se to nakonec zvrhne do diskuse o tom, co je nejvíc zajímá. Sami začnou rozvíjet myšlenky a my už se je pak snažíme jen motivovat k zamyšlení, proč například nemají zamčený telefon, nebo proč jsou tak často na sociálních sítích.
Co je to nejpodstatnější téma, nad kterým by podle vás stálo se zamyslet?
Jak k technice přistupovat a vnímat ji. Nebrat ji pouze jako konzumní záležitost a uvědomovat si důležitost našich osobních a potažmo i firemních dat, jak je ochránit a zpřístupnit pouze tomu, komu dáme souhlas. Dnešní studenti si strašně rychle zvykli od malička na techniku jako takovou, my jim říkáme elektronické děti. Ve velice mladém věku pronikají díky kolektivu do sociálních sítí, jenže každý kamarád jim vysvětlí, jak si založit účet, přihlásit se a jak se tam má pohybovat. Ale už potom nevnímají ten zbytek, a hlavně to sdílení osobních dat, které tam na sebe prozradí. Co všechno je vhodné o sobě říkat v prostoru, kde se nic nedá vzít zpátky. Většina z nich nemá absolutně ani potuchy, když používají sociální sítě, kam se ta data vlastně ukládají, kde všude mohou být k dohledání. Vnímají to jako něco, k čemu mají zkrátka přístup z telefonu, nebo to vůbec neřeší.
Co studenty samotné zajímá, k čemu se s nimi v diskusi pravidelně dostanete?
Jak vlastně zabezpečit svá zařízení a proč, když přece ten telefon mám neustále u sebe, vždyť si ho hlídám. Ono stačí, když člověk jede v nějakém hromadném dopravním prostředku a hned si všimnete, kolik telefonů je odemčených úplně bez hesla. Nebo stačí si nad někoho stoupnout, vidíte mu do displeje a pokud má například nějaké jednoduché grafické heslo, je snadné si ho odpozorovat a potom už stačí ten mobil ukradnout. A samozřejmě šikana je taky často probíraná, na některých školách to přímo zažili. Jak se tomu vyhnout, jak se před ní chránit a jak přistupovat k těm sociálním sítím zralým způsobem, abych to nevnímal, nenechal se tím nějak zlomit.
Můžeme vůbec očekávat, že by v tomhle mohli studenty vzdělávat učitelé IT?
Nedávno jsem mluvil s jednou paní učitelkou IT a ptal jsem se jí ze zvědavosti, co tak zhruba nalévají do studentů na základní škole za informatické informace. Odpověď zněla samozřejmě učíme je Word, Excel, někdy PowerPoint… Zajímalo mě, jestli jim zkouší vysvětlit aspoň, co je to hardware, ty základní komponenty, aby měli ponětí, že je tam třeba nějaký harddisk, kam se ukládají data. Podle paní učitelky to ale není tak důležité. Učitelé s nimi tedy zvládnou spíše tu aplikační úroveň s produkty, které jsou u nás nejběžnější. CS už je dnes tak specifická a rozsáhlá disciplína, že už to po nich ani snad nemůžeme chtít.
Neměl by na to tedy existovat nějaký kurz typu plavecký výcvik?
Na základních školách se konají různé speciální dny, kdy si pozvou třeba hasiče, policii nebo záchranáře, aby jim řekli něco ze svých profesí. Jak si počínat na silnici, když jedu na kole apod. Takto by si mohli pozvat třeba i nějakého etického hackera, aby jim trochu osvětlil, jak plavat v kyberprostoru. A samozřejmě je nutné vzdělávat učitele, aby šířili osvětu na školách. Zatím to asi není v jejich silách a myslím si, že by se mělo začít na Ministerstvu školství, které by k tomu mělo dát nějaký tvrdý legislativní pokyn. Na tom, jak budeme mladší generace učit žít v kyberprostoru, záleží naše budoucnost.
To je silná myšlenka. Máte tím na mysli, že faktor lidské chyby může ohrozit další vývoj digitálních řešení typu bankovní identita, které nám jinak mohou významně usnadnit život? Nebo narážíte spíše na společenskou hrozbu?
Ono je to hodně provázané. Spíš mi tedy byl bližší ten první význam, aby mladí uměli dobře nakládat s technikou, aby si ochránili svá data a uměli se i zodpovědně rozhodnout, která data nasdílím a která si radši nechám třeba i pouze ve fyzické formě, vůbec je nezdigitalizuji. Chystá se například nová mobilní aplikace od státu, kam si budeme ukládat veškeré své doklady, občanku, řidičák, možná i rodný list, podobně jako dnes covidové certifikáty. A některá levnější zařízení nemají od výrobce tak hlídanou aktualizaci veškerých security updatů a je u nich těžké uchránit data mezi aplikacemi. Takže když si dítě stáhne v rámci nějaké hry do telefonu hackerské kódy, mohou potom vydolovat data z jiné aplikace. V takovém případě by riziko bylo velmi vysoké a nedoporučoval bych u nich takové aplikace používat. A to znamená vychovávat studenty, aby do telefonu nestahovali všechno, co je napadne, ale přemýšleli o tom, k čemu všemu ho používám a jaké aplikace tedy jsou pro mě opravdu nutné.
A ta společenská stránka věci, kdy sociální sítě nyní spíše prohlubují názorové rozdíly, než nějakou reálnou komunikaci?
Stálo by za to vychovávat uživatele, jak se na sociálních sítích chovat. Lidé si zvykli, že když to není face-to-face, můžou si sdělit, co je napadne. A děti to asi kopírují od rodičů i samy mezi sebou, pak vzniká ostatně i ta šikana. Nežinýrují se sdělit online cokoliv a jakýmkoliv způsobem. Určitá etika, jak se chovat na sociálních sítích, by mohla být v rámci výuky už na základní škole, třeba občanské nauky. Dovedl bych si představit, že to by učitelé snadno mohli zvládnout i bez hlubokých technických znalostí.
Děkujeme za rozhovor