Kyberbezpečnost a psychologie.
Jak moc spolu tyto dva obory souvisí?

Proč se na kyberbezpečnost dívat optikou psychologie? - Blog C3 Prague

Když píšete o kyberbezpečnosti, často se pohybujete na hraně několika oborů. Jak upozorňují odborníci ze slovenské softwarové společnosti ESET, kybernetická bezpečnost už není jen výsadou IT odborníků – ve skutečnosti vyžaduje mnohem komplexnější přístup.

Co letí v oblasti kyberbezpečnosti? Právě o tom pro ESET píšeme v rámci mezinárodního content hubu Data Security Guide. Zabýváme se nejen nejnovějšími typy kyberútoků, ale i tím, jak můžou firmy pomocí osobnostních testů a dalších nástrojů pro sebepoznání vytvořit jak komplexnější bezpečnostní protokoly, tak i efektivnější kybernetické strategie.

Na konci roku 2020 vydal ESET ve spolupráci se společností The Myers-Briggs, která se zaměřuje na personální poradenství, studii s názvem Cyberchology: The Human Element. Výzkum se zabývá tím, jak působí stres na různé typy osobností a na které slabiny pak můžou tyto typy osobností doplatit, pokud je vystavíte kybernetické hrozbě.

Takové téma bylo v době, kdy studie vyšla, velmi aktuální. Kvůli pandemii covidu-19 čelily firmy řadě různých technických i provozních komplikací a zaměstnanci pracující na dálku se stali hlavním terčem přibývajících útoků. V kombinaci s dalšími stresovými situacemi, které vznikaly opakovaným zaváděním lockdownů a nutností přizpůsobit se jinému životnímu stylu, se mnozí z nás stali vůči hackerům ještě zranitelnější.

ESET dlouhodobě upozorňuje na to, že velká část úspěšných kyberútoků vede přes chybný úkon člověka – a že bez kontinuálního vzdělávání zaměstnanců budou firmy před hackerskými útoky chráněné jen částečně.

Má vůbec smysl propojovat kyberbezpečnost s psychologií?

Rozhodně. Ve chvíli, kdy se v otázkách souvisejících s kybernetickou bezpečností dostává do ústřední role člověk, může kontext osobnostních typů a od nich se odvíjejících vlastností čtenářům odhalit důležité souvislosti.
 
Vzhledem k tomu, že IT odborníci tvrdí, že bezpečnost firem závisí na budování tzv. cyber aware culture, která nevynechává žádného člena organizace, logicky by se do hry měly zapojit i další týmy, jako třeba oddělení personálních vztahů. To pak může spolupracovat s odborníky z oblasti psychologie či pedagogiky, a společně s IT specialisty připravovat školení o kyberbezpečnosti.

Na co si dát pozor při posuzování relevance psychologické perspektivy?

Hackeři často útočí na naše slabiny. Snaží se v nás vyvolat nejistotu, strach, stud, pocity viny a osobního selhání. Jsou schopní velmi účinně klamat své oběti a tyto dovednosti zdokonalují spolu s tím, jak postupně začínají využívat umělou inteligenci a strojové učení. Součastí školení o kyberbezpečnosti se proto stávají i kvízy, pomocí kterých si můžou členové organizací otestovat například svou schopnost rozpoznat phishingové útoky nebo rozdíl mezi deepfakem a skutečným videem.
 
To ovšem hackery nezastaví, protože vědí, že lidé mají odlišnou míru odolnosti vůči stresu a v kritických obdobích můžou být zranitelnější – nebo se dokonce o kyberbezpečnost vůbec nezajímají. Psychologické studie ve spolupráci s IT odborníky umožňují tyto faktory pojmenovat – a zasadit je do kontextu bezpečnostních opatření.

Můžeme se na studie zcela spolehnout?

Vždy je důležité znát kontext, v němž takové studie vznikají. Myers-Briggsův typový indikátor (MBTI), který ESET ve studii využívá, patří mezi nejpoužívanější osobnostní testy využívané (nejen) ve firmách. Sloužit má k předpovídání úspěšnosti lidí v různých zaměstnáních, řada psychologů ho však podle zpravodajského serveru Vox kritizuje pro jeho nízkou validitu a reliabilitu. Stejně tak ale řada psychologů test obhajuje a jako argument na jeho obranu uvádí různé studie, zkoumající nejen přesnost samotného testu, ale i jeho aktualizované verze s vylepšenou metodikou. Například Aqualus Gordon, docent psychologie na University of Central Missouri, uvádí, že současné verze Myers-Briggsova typového indikátoru vykazují dobrou reliabilitu i validitu.
 
Aqualus Gordon kromě toho uvádí, že si po absolvování tohoto testu mnoho lidí konečně uvědomí své dobré i špatné stránky – a že to samo o sobě není málo. A přesně s tím studie vyhotovená ve spolupráci s ESETem pracuje. Ukazuje například, které vlastnosti zvyšují pravděpodobnost, že zaměstnanec zpanikaří a klikne na nebezpečný odkaz, nebo kdo bude mít větší tendenci nenahlásit kyberútok svému IT týmu. Člověk, který takový test absolvuje, pak lépe chápe, které hrozby se ho týkají a kde by měl být zvlášť opatrný. To pomáhá otevřít diskusi, identifikovat nové slabiny a nastavit lepší bezpečnostní opatření.

Přečtěte si celou studii

c3_logo_footer

C3 Prague s.r.o.
IČO: 05081319
DIČ: CZ05081319

Přemyslovská 43
130 00, Praha – Žižkov

+420211589533

© 2021 C3 Prague

Všechna práva vyhrazena