New Work: Nové pracovní metody a nové technologie znamenají, že rizikovým faktorem číslo 1 zůstávají lidé
Co přinesl CIS Compliance Summit 2023 / část první
Na obrázku zleva doprava: Christoph Mondl (ředitel Quality Austria GmbH), Marlies Temper (vedoucí studijních programů FH St. Pölten), Harald Erkinger (ředitel CIS - Certification & Information Security Services GmbH) © Anna Rauchenberger
Představitelé předních rakouských společností společně s dalšími účastníky ze zahraničí si na letošním CIS Compliance Summitu 19. září 2023 vyměnili názory na výzvy a příležitosti související s New Work a digitalizací. Přibližně 250 zástupců z Rakouska i zahraniční přijalo pozvání Haralda Erkingera, výkonného ředitele CIS, a diskutovalo o opatřeních v oblasti kybernetické bezpečnosti.
Digitalizace se svými komunikačními kanály urychlila globalizaci, a tím také podpořila samotnou existenci New Work. Zejména nedávné období pandemie pak "práci na dálku" katapultovalo do nového normálu. Zaměstnavatelé a zaměstnanci již o světě VUCA nediskutují - jsou již uprostřed něj. "Když mluvíme o New Work, stále se příliš často přehlíží, že nové flexibilní pracovní standardy se netýkají pouze fyzického místa. Zavedení různých nástrojů pro práci na dálku do každodenního pracovního života otevírá četné brány pro kybernetické útoky, které je třeba uzavřít," řekl Harald Erkinger. Je naléhavě nutné jednat, protože podle studie americké společnosti Tenable Inc. zabývající se kybernetickou bezpečností je nyní přibližně 67 % kybernetických útoků poškozujících podniky zaměřeno právě na lidi pracující na dálku. "Kombinace komplexní informovanosti zaměstnanců, odborného školení a nejvyšších standardů řízení a bezpečnosti by měla být zavedena lépe dnes než zítra," doporučuje H. Erkinger. Společnosti, které chtějí zůstat pro zaměstnance atraktivní, musí umožnit flexibilní a agilní pracovní modely. To představuje pro zaměstnavatele výzvu zejména v oblasti ochrany sítí a dat, zejména pokud se zaměstnanci připojují prostřednictvím soukromých nebo dokonce veřejných sítí WLAN. Cloudové služby, aplikace, mobilní práce a přístup k citlivým datům musí být regulovány, zabezpečeny a neustále testovány.
Umělá inteligence - přítel nebo nepřítel?
Nové způsoby práce se netýkají pouze fyzického místa, kde zaměstnanci vykonávají svou práci. Již dlouho jde také o AI, nové způsoby a kanály komunikace s klienty. Je třeba zabezpečit všechny aspekty práce.
"Zejména pokud jde o umělou inteligenci, jsme ve fázi vývoje. Jak se vypořádáme se zaměstnanci používajícími AI? Co budeme dělat, když se dodavatelé budou spoléhat na AI? A jaké problémy a výzvy mohou vzniknout při používání programů, jako je ChatGPT? Kromě osobní odpovědnosti a vytváření povědomí a know-how jsou naléhavě zapotřebí závazné předpisy, jako je například plánovaný zákon o AI," uvedla Marlies Temper, vedoucí programu Data Intelligence a Data Science and Business Analytics na Univerzitě aplikovaných věd v St. Pöltenu.
Aby byly organizační struktury i v tomto ohledu flexibilní, je třeba zaměstnance školit a zvyšovat jejich odbornou způsobilost. Většina problémů a výzev se totiž týká interních informačních technologií. "Musíme nejprve interně proškolit naše zaměstnance, rozšířit komunitu a učit se tak jeden od druhého, abychom se pak mohli chránit před vnějšími hrozbami," řekl Erkinger. Bezpodmínečně nutné je to také vzhledem k novým požadavkům na vykazování, jako je například NIS 2.0. Podle konceptu nulové důvěry musí společnosti předpokládat, že jejich systémy jsou vždy napadnutelné, tj. ohroženy útoky zvenčí. V případě útoků nebo narušení dat musí bezpečnostní systémy v síťovém světě nutně fungovat napříč společnostmi.
NIS 2.0 jako součást balíčku opatření
Řešení problémů a nebezpečí spojených s digitalizací a New Work musí probíhat na několika úrovních současně. Jedním z důležitých konkrétních opatření je směrnice EU o bezpečnosti sítí a informačních systémů, která přináší především ohlašovací povinnosti pro podniky. "Společnosti by si již nyní měly urychleně ujasnit, do jaké míry se jich nová směrnice o bezpečnosti sítí a informací týká. Je třeba včas naplánovat zdroje a především vyjasnit odpovědnosti. Hlavní operativní odpovědnost za implementaci nařízení by měl mít ve firmě jeden člověk," doporučuje Erkinger.
Lidé v centru dění
Odborníci na summitu CIS se shodli, že středobodem všech opatření by měl být člověk. Jsou to totiž právě lidé, kteří jsou jak cílem útoků, tak bezpečnostním faktorem. Systémy umělé inteligence mohou pomoci sledovat aktivity v síti a chování uživatelů a rychle reagovat na neobvyklé události. Pravidelné automatické bezpečnostní aktualizace, skenování infrastruktury a správa zranitelností by měly být standardem. Aby byla tato opatření účinná, je třeba mít pohotovostní plány, které zaručí okamžité řešení bezpečnostních incidentů. I v případě rozumného využití umělé inteligence a masivního zvýšení bezpečnosti dat je třeba vzdělávat a zvyšovat informovanost zejména lidských zaměstnanců.
Odborníci doporučují vyjasnit si odpovědnost, zvýšit informovanost a naučit se žít s nejistotou.
"Pravidelná požární cvičení jsou ve většině firem standardem. Podobným způsobem by se měly nacvičovat i bezpečnostní incidenty a přehrávat možné scénáře,"
doporučil H.Erkinger.
Zaměstnanci by měli být především průběžně školeni ve svých povinnostech. CIS nabízí akreditovaná školení pro manažery a auditory informační bezpečnosti a také školení o ochraně dat a kybernetické bezpečnosti.
Příští CIS Compliance Summit se bude ve Vídní konat 18. září 2024.