Vlákno názorů k článku Regulace podle NIS2: Dvoufaktorová autentizace bude standardem, dočasně ji půjde nahradit složitějším heslem od RRŠ - Mně se to tenkrát podařilo vylepšit použitím automatického...

Mně se to tenkrát podařilo vylepšit použitím automatického nahlášení podezřelého e-mailu, což vedlo k okamžité blokaci jak domény odesílatele, tak té v odkazech, pro celou firmu.

Když ono to bylo s gramatickými chybami, neobratnou češtinou, rozpadlým formátováním, externími odkazy, navíc s texty odkazů neodpovídajícími jejich cíli, z domény s podivným jménem, a k dovršení všeho to mělo krátký termín a hrozilo sankcí za nesplnění, tedy klasické navození časového tísně... Prostě: ukázkový exemplární příklad phishingu. ;oD

Pokud není některá odpověď viditelně nejdelší a nejkomplikovanější, pak většinou funguje zvolit tu nejpřísnější variantu (nejkratší lhůta, nejstriktnější omezení, nejvyšší pokuta atd.). Jen výjimečně člověk narazí na chyták, kdy to tak není. :-) Mimochodem, nejméně jeden provozovatel bezpečnostních školení má svou webovou aplikaci navrženou tak prakticky, že se test otevře v novém okně a v tom původním lze dál procházet kursem. (Tím samozřejmě nikoho k ničemu nenavádím.)

Pokud by se někomu nelíbilo, že tady diskutujeme podvádění při tak důležitém školení, pak k tomu mohu říci jen tolik, že veškeré zábrany jsem ztratil ve chvíli, kdy jsem hned v prvním testu z požární ochrany po nástupu do firmy dostal v testu otázku, jak vysokou pokutu může dostat organizace za nedodržení požárních předpisů. Až mi někdo srozumitelně a věrohodně vysvětlí, jak mi znalost této částky pomůže předcházet požáru nebo dokonce řešit situaci, kdy skutečně hoří, tak svůj přístup možná přehodnotím.

Pravidelná školení o kyberbezpečnosti bohužel znám z praxe… Poprvé to může být celkem zábavné, pokud má člověk smysl pro specifický smysl zvráceného humoru. Pak už je to jen neskutečná otrava a pět minut až půl hodiny (podle toho, jak moc nástroj umožňuje zrychlovat a přeskakovat přehrávání) naprosto zabitého času každých pár měsíců.

No a potom se firmy, kde mají povinná pravidelná školení o kyberbezpečnosti, dělí na dvě skupiny. V jedné management a občas přesně titíž lidé, kteří po zaměstnancích vyžadují ta phishingová školení, běžně rozesílají maily typu Potřebujeme vyplnit tenhle dotazník, klikněte tady a když se nevěřícně zeptáte, jestli to myslí vážně, odpoví vám Yes, it's legit. a z následné konverzace zjistíte, že vůbec nechápou, v čem je problém. V té druhé vám čas od času takový mail přijde také, ale slouží jako test, jestli opravdu chápete, co to ten phishing je a na co si máte dávat pozor.

To mě připomíná, že jsme si také zaplatili bezpečnostní školení od instructor.cz (budou rádi za zmíňku), ač spolupráce byla dohodnuta jinak, poslali na všechny zaměstnance email od sebe, skončili samozřejmě na pernament blacklistu, ukázkový phishing :).

Od chvíle, kdy máme všechna školení elektronicky, zábavnou interaktivní formou, jsem zjistil, že je vůbec nečtu, protože musím na stránce najít všechna místa, kam je povinně potřeba kliknout, aby mne to pustilo dál. Následně je tam test, který buď dovolí neomezený počet pokusů (zkusím "a", pak "b"...) nebo ne ("správná je ta nejdelší a nekomplikovanější odpověď") - a pokud je požadovaná správnost 90 %, nebývá s tím problém.

1. BLA-13
2. BLE-13
3. BLA-17
4. BLE-17

Potrebujete to vedet z presne stejneho duvodu, z jakeho v testech autoskol byl dotaz tusim na srdecni chorobu, na ktery nedokazali odpovedet ani lekari ... pripadne u maturit ukol, najit epizeuxis, protoze to je naprosto krucialni vedomost.

Jsou to pouze blaboly pro blaboly.

Nebo snad znate ve svem okoli alespon jedinou osobu, ktera by alespon vedela, kde v zamestnani jsou hydranty pripadne jine prostredky, a potazmo mela moznost si to vyzkouset? To by totiz davalo smysl, a proto se to neskoli.

Skoleni "bezpecnosti" IT jsou pak jeste radove horsi, a v prakticky 100% vedou spis k presnemu opaku. Zamestnanci se tam tak maximalne dozvi, jak to "ojebat" zpusoby, ktere by je nikdy nenapadly.

Ad: Zamestnanci se tam tak maximalne dozvi, jak to "ojebat" zpusoby, ktere by je nikdy nenapadly.
V takovém případě je to školení efektivní a produktivní - ne, že by pak zaměstnanci používali bezpečná hesla, ale používají hesla v souladu s vnitrofiremními předpisy pro bezpečnost hesel.

Jediné e-maily v mé služební e-mailové schránce, které vypadají jako phishing, jsou: 2× do roka test, zda poznáme phishing (= kdo klikne, musí na další školení, při opakovaném prohřešku si popovídá s paní z HR), nebo e-maily našich zahraničních kolegů, poslané na nesprávnou adresu; plus jeden silně podezřelý e-mail, z nějž se nakonec vyklubala pozvánka na antihishingové školení objednané u externí firmy.

To je ještě dobré, buď za to rád. Zase procházíme pravidelnou obnovou ISO 9(14,27,50)001 a vstupních podkladů pro prostudováním každým zaměstnancem/par­tnerem je 600 normostran textu.

NIS2 jde úplně stejným směrem. Vůbec nevím, jak se v praxi bude řešit seznamování zaměstnanců s postupy. Teda vím, ale nechci to vědět, bude to zase jen formálně bez toho, aby to většina četla.

Jo, tak to už jsem taky kdysi zažil: oznámení o povinném školení o phishingu ve formě e-mailu: Tady klikněte, přihlašte se a absolvujte školení. Přitom to vůbec nebylo potřeba, protože ta webová aplikace se školením byla jako odkaz přímo na Okta dashboardu.

Sakra, to zní nějak povědomě... GDPR? Nebo takový ten mezinárodní protikorupční kurs (neplést s českým), tam byla IIRC nějaká otázka, jak se jmenuje příslušná směrnice v kterém státě.

Těsně vedle: datová bezpečnost. ;oD

Tak to budete nadšen komerčních certifikační zkoušek :-) . Zcela běžná je otázka "co je správná syntaxe":
a) fw tab -t connection -s
b) fw tab -s -t connections
c) fw tab -t connections -s
d) fw tab -t -s connections

A takových je třetina testu.

Být to v našich testech, byla by správná odpověď: fw tab -t connections -s - ale bez znalosti problematiky si netroufnu ani odhadnout, zda to tak je. To je něco kolem firewallů?