Kyberbezpečnost a psychologie. Jak moc spolu tyto dva obory souvisí?

Podívali jsme se do hlavy hackerům i obětem jejich útoků – terčem se může stát každý, kdo je online.

Kyberbezpečnost a psychologie. Jak moc spolu tyto dva obory souvisí?
C3 Prague
24/08/2021
Když píšete o kyberbezpečnosti, často se pohybujete na hraně několika oborů. Jak upozorňují odborníci ze slovenské softwarové společnosti ESET, kybernetická bezpečnost už není jen výsadou IT odborníků – ve skutečnosti vyžaduje mnohem komplexnější přístup.

Co letí v oblasti kyberbezpečnosti? Právě o tom pro ESET píšeme v rámci mezinárodního content hubu Digital Security Guide. Zabýváme se nejen nejnovějšími typy kyberútoků, ale i tím, jak můžou firmy pomocí osobnostních testů a dalších nástrojů pro sebepoznání vytvořit jak komplexnější bezpečnostní protokoly, tak i efektivnější kybernetické strategie.

Na konci roku 2020 vydal ESET ve spolupráci se společností The Myers-Briggs, která se zaměřuje na personální poradenství, studii s názvem Cyberchology: The Human Element. Výzkum se zabývá tím, jak působí stres na různé typy osobností a na které slabiny pak můžou tyto typy osobností doplatit, pokud je vystavíte kybernetické hrozbě.

Takové téma bylo v době, kdy studie vyšla, velmi aktuální. Kvůli pandemii covidu-19 čelily firmy řadě různých technických i provozních komplikací a zaměstnanci pracující na dálku se stali hlavním terčem přibývajících útoků. V kombinaci s dalšími stresovými situacemi, které vznikaly opakovaným zaváděním lockdownů a nutností přizpůsobit se jinému životnímu stylu, se mnozí z nás stali vůči hackerům ještě zranitelnější.

ESET dlouhodobě upozorňuje na to, že velká část úspěšných kyberútoků vede přes chybný úkon člověka – a že bez kontinuálního vzdělávání zaměstnanců budou firmy před hackerskými útoky chráněné jen částečně.

Má vůbec smysl propojovat kyberbezpečnost s psychologií?

Rozhodně. Ve chvíli, kdy se v otázkách souvisejících s kybernetickou bezpečností dostává do ústřední role člověk, může kontext osobnostních typů a od nich se odvíjejících vlastností čtenářům odhalit důležité souvislosti.

Vzhledem k tomu, že IT odborníci tvrdí, že bezpečnost firem závisí na budování tzv. cyber aware culture, která nevynechává žádného člena organizace, logicky by se do hry měly zapojit i další týmy, jako třeba oddělení personálních vztahů. To pak může spolupracovat s odborníky z oblasti psychologie či pedagogiky, a společně s IT specialisty připravovat školení o kyberbezpečnosti.

Na co si dát pozor při posuzování relevance psychologické perspektivy?

Hackeři často útočí na naše slabiny. Snaží se v nás vyvolat nejistotu, strach, stud, pocity viny a osobního selhání. Jsou schopní velmi účinně klamat své oběti a tyto dovednosti zdokonalují spolu s tím, jak postupně začínají využívat umělou inteligenci a strojové učení. Součastí školení o kyberbezpečnosti se proto stávají i kvízy, pomocí kterých si můžou členové organizací otestovat například svou schopnost rozpoznat phishingové útoky nebo rozdíl mezi deepfakem a skutečným videem.

To ovšem hackery nezastaví, protože vědí, že lidé mají odlišnou míru odolnosti vůči stresu a v kritických obdobích můžou být zranitelnější – nebo se dokonce o kyberbezpečnost vůbec nezajímají. Psychologické studie ve spolupráci s IT odborníky umožňují tyto faktory pojmenovat – a zasadit je do kontextu bezpečnostních opatření.

Můžeme se na studie zcela spolehnout?

Vždy je důležité znát kontext, v němž takové studie vznikají. Myers-Briggsův typový indikátor (MBTI), který ESET ve studii využívá, patří mezi nejpoužívanější osobnostní testy využívané (nejen) ve firmách. Sloužit má k předpovídání úspěšnosti lidí v různých zaměstnáních, řada psychologů ho však podle zpravodajského serveru Vox kritizuje pro jeho nízkou validitu a reliabilitu. Stejně tak ale řada psychologů test obhajuje a jako argument na jeho obranu uvádí různé studie, zkoumající nejen přesnost samotného testu, ale i jeho aktualizované verze s vylepšenou metodikou. Například Aqualus Gordon, docent psychologie na University of Central Missouri, uvádí, že současné verze Myers-Briggsova typového indikátoru vykazují dobrou reliabilitu i validitu.

Aqualus Gordon kromě toho uvádí, že si po absolvování tohoto testu mnoho lidí konečně uvědomí své dobré i špatné stránky – a že to samo o sobě není málo. A přesně s tím studie vyhotovená ve spolupráci s ESETem pracuje. Ukazuje například, které vlastnosti zvyšují pravděpodobnost, že zaměstnanec zpanikaří a klikne na nebezpečný odkaz, nebo kdo bude mít větší tendenci nenahlásit kyberútok svému IT týmu. Člověk, který takový test absolvuje, pak lépe chápe, které hrozby se ho týkají a kde by měl být zvlášť opatrný. To pomáhá otevřít diskusi, identifikovat nové slabiny a nastavit lepší bezpečnostní opatření.

Psychodiagnostika ve firmách

Psychologická diagnostika je psychologická disciplína, která slouží ke zjišťování psychických vlastností a schopností. Její součástí nejsou pouze testy, ale také pozorování a rozhovor. Psychologové přitom čerpají jak z psychologie osobnosti, tak z oblasti kognitivní a vývojové psychologie, metodologie a psychometriky.

Firmy využívají psychodiagnostiku nejčastěji ve formě testů v rámci výběrového řízení či v assesment centrech. Podle odborníků na pracovní psychologii je ale možné psychodiagnostické metody uplatnit všude, kde chceme o člověku zjistit komplexní údaje. Je však nutné, aby s nimi zacházel odborník, který psychodiagnostickou metodu ovládá a jedná v souladu s etickým kodexem svého povolání. Jedině ten dokáže citlivě interpretovat výsledky podobných testů a pomoci tak zefektivnit školení, třeba právě o kyberbezpečnosti. Ideální je využít více metod.

Přečtete si celou studii.

Začtěte se dál...

Zajímá vás, co může obsah přinést vám?

Dáme vaší značce obsah. publikum. dosah. relevanci. pozornost.