Informační technologie jsou již dlouhou dobu nedílnou součástí našich soukromých i pracovních životů. Poslední dobou jsme však svědky neustále rostoucí četnosti i sofistikovanosti kybernetických útoků a dalších podvodů v kyberprostoru vůči nám uživatelům.

V rámci projektu „Rozvoj integrovaného systému řízení kvality (CAF a ISO) v Kraji Vysočina“ spolufinancovaného z prostředků Operačního programu Zaměstnanost 2014 – 2020 s podílem žadatele ve výši 5 %. Projekt řešil vzdělávání různých skupin (intenzivní kurz pro interní auditory kybernetické bezpečnost, vzdělávání členů Výboru pro řízení kybernetické bezpečnosti a CAF týmu a taktéž tvorbu vzdělávacích modulů pro všechny zaměstnance) a taktéž následné prověřování nabytých vědomosti metodou „sociálního inženýrství“ (jde o netechnickou formu prolomení bezpečnostních postupů a opatření, nakolik jde o řízený útok založený na schopnosti ovlivňování a manipulace lidí. Sociální inženýrství těží z potenciálního selhání lidského faktoru, který je nedílnou součástí informační bezpečnosti a hlavním cílem útočníka je narušit vnitřní prostředí organizace nebo získat citlivé a důvěrné informace s využitím různých psychologických her, manipulace či dokonce výhružek). 

Nicméně  základním opatřením, které je nutné vzít v úvahu s ohledem na dlouhodobý systémový a komplexní přístup Kraje Vysočina v této oblasti, prezentovaný zavedeným certifikovaným systémem řízení bezpečnosti informací dle mezinárodně uznávané normy ISO/IEC 27001:2013 je vzdělávání všech uživatelů ICT v oblasti kybernetické bezpečnosti. 

I s ohledem na výsledky testování je důležité, aby zaměstnanci úřadu povinně opakovaně absolvovali kurzy e-learningového vzdělávání připravené odborem analýz a podpory řízení. Zároveň je velmi vhodné doporučit absolvování kurzů i členům rady kraje a zastupitelstva.

OAPŘ doporučuje vzít na vědomí výsledky testování odolnosti uživatelů vůči technikám sociálního inženýrství a uložit krajskému úřadu připravit analýzu výsledků tohoto testování a případné opatření pro minimalizaci systémových chyb.

Zároveň OAPŘ doporučuje zvážit absolvování připraveného e-learningového kurzu kybernetické bezpečnosti, který absolvovali všichni zaměstnanci úřadu, zastupitelům Kraje Vysočina, a to pro zvýšení aktuálního povědomí v této oblasti s doporučeným termínem nejpozději do konce roku 2023. Informaci o zapsání do kurzu získá každá zastupitelka/zastupitel e-mailem (krajský e-mail). 

závěry ze Závěrečné zprávy testu odolnosti uživatelů vůči technikám sociálního inženýrství dle materiálu RK-08-2023-09, př. 1;

Krajskému úřadu Kraje Vysočina provést podrobnou analýzu výsledků testů technik sociálního inženýrství a nastavit případná systémová opatření pro minimalizaci systémových chyb a o výsledku informovat Radu Kraje Vysočina;

zastupitelům Kraje Vysočina absolvovat do konce roku 2023 e-learningový kurz zaměřený na kybernetickou bezpečnost.