Digitálna gramotnosť
Zrejme nikto nepochybuje o tom, že informačné a komunikačné technológie tvoria významný fenomén súčasnej ekonomiky. Aktuálne beží na Slovensku rozsiahly program informatizácie spoločnosti, s cieľom postupného prechodu k maximálnemu využívaniu informačných a komunikačných technológií vo všetkých oblastiach spoločenského, politického a hospodárskeho života. Avšak spolu s konštatovaním dobre mienenej aktivity, je žiaľ potrebné povedať, že digitálna gramotnosť používateľov vo väčšine prípadov nezodpovedá reálnym potrebám organizácií.
Ešte o niečo viditeľnejšia je priepasť v úrovni bezpečnostného povedomia. Inými slovami – znalosť základných princípov informačnej bezpečnosti je na Slovensku nedostatočná. Pri zvyšujúcej sa úrovni informatizácie tento stav predstavuje hrozbu pre bezpečnosť informačných aktív, čo nutne vedie ku škodám, mnohokrát aj ku priamym finančným stratám jednotlivcov.
Preto vláda SR, vedomá si tohto nedostatku, relatívne nedávno schválila dokument „Národná stratégia pre informačnú bezpečnosť v SR“ a následne na to aj dokument „Návrh systému vzdelávania v oblasti informačnej bezpečnosti“.
V digitálnom priestore pôsobí čoraz viac ľudí. Pravidlá pre korektné pôsobenie v tomto prostredí sú nejasné, keďže pravidlá reálneho sveta nie je možné automaticky aplikovať v kybernetickom svete. A keby aj áno, ťažko by sa presadzovali. Z toho logicky vyplýva, že v digitálnom priestore sa vyskytujú aj zlomyseľní jedinci či skupiny, ktorí stav nejasnosti a nedostatočné znalosti bežných používateľov cieľavedome využívajú. Avšak aj slušní ľudia sú omylní a preto aj neúmyselné chyby môžu mať v digitálnom priestore ďalekosiahle následky.
Každý dobromyseľný „bežný“ používateľ informačných a komunikačných technológií by mal disponovať aspoň základnými znalosťami. To znamená, že by mal vedieť, ako konať spôsobom, aby svojou činnosťou neohrozil ostatných používateľov a zároveň, aby sa dokázal efektívne brániť prípadným hrozbám prichádzajúcim zvonku.
To podstatné, čo používateľov začleňuje do rôznych skupín, sú ich znalostné potreby v oblasti informačnej bezpečnosti.
Kategorizácia používateľov podľa rôznych znalostných potrieb
Vedeckí pracovníci
Tí, ktorí v informačnej bezpečnosti disponujú najvyšším množstvom vedomostí, sú výskumní pracovníci a pedagógovia vyučujúci informačnú bezpečnosť na univerzitnej úrovni. Je to napríklad aj z toho dôvodu, že oni sami tie vedomosti tvoria. Táto skupina má komplexný prehľad a všetky potenciálne dostupné zdroje informácií o celej problematike bezpečnosti a v porovnaní s ostatnými skupinami je schopná túto problematiku tvorivo rozvíjať.
Špecialisti informačnej bezpečnosti
Okrem vedeckých pracovníkov je toto jedna z dvoch skupín profesionálov, ktorá je sofistikovane zameraná na oblasť informačnej bezpečnosti.
Bezpečnostní architekti, bezpečnostní manažéri, administrátori bezpečnostných systémov, špecialisti manažmentu IT rizík, audítori bezpečnosti informačných systémov, bezpečnostní analytici, kryptológovia, vyšetrovatelia bezpečnostných incidentov – to všetko sú pracovné role, ktoré sa v každodennej praxi zaoberajú otázkami ochrany informačných aktív, oblasťou manažmentu rizík IKT, forenznou informatikou, testovaním alebo auditom bezpečnosti, návrhom architektonických riešení IKT odolných hrozbám a implementáciou bezpečnostnej infraštruktúry.
Rád by som povedal, že aj legislatívou, z praxe je však žiaľ skôr pravidlom, že zákony týkajúce sa bezpečnosti tvoria úradníci a právnici, mnohokrát bez akejkoľvek znalosti problematiky.
Riadiaci zamestnanci mimo IT
Špecificky sú to manažéri a vedúci pracovníci organizácie, ktorí nie sú zodpovední za kvalitu IT služieb a správnu funkciu IKT. Do tejto skupiny radíme aj zamestnancov so zvláštnymi privilégiami v systémoch.
Informatici
Už z názvu tejto skupiny vyplýva, že sem zahŕňame IT manažérov, správcov systémov a vývojárov systémov a aplikácií.
Na túto profesijnú skupinu sú kladené vyššie požiadavky na znalosti z oblasti IT bezpečnosti, napriek tomu, že sa s tou oblasťou stretávajú len nepriamo. Práve oni sú však tí, ktorí prostredníctvom technológií rozhodnú, či nejaký systém je, alebo nie je odolný voči známym hrozbám.
K tejto skupine z hľadiska znalostných potrieb patria aj pedagógovia, vyučujúci stredoškolskú informatiku, keďže majú najvýznamnejšiu možnosť ovplyvniť celoživotné návyky budúcich používateľov IKT v pracovnom prostredí.
Profesionáli mimo IT
Je tu potom jedna veľká skupina profesionálnych používateľov, ktorí síce nie sú informatici, ale potrebujú mať špecifické znalosti z informačnej bezpečnosti. Sú to napríklad zamestnanci bánk, alebo vo všeobecnosti zamestnanci organizácií, ktoré narábajú s citlivými, alebo zneužiteľnými informáciami.
Do tejto skupiny by som z hľadiska očakávaných potrieb znalosti informačnej bezpečnosti radil aj učiteľov na úrovni základných škôl, vzhľadom na fakt, že deti sú najnáchylnejšie podľahnúť manipulatívnym technikám a sociálnemu inžinierstvu, čo sú v prevencii kybernetickej kriminality majoritné problémy.
Laickí používatelia
Z hľadiska početnosti sú najväčšou skupinou laickí používatelia informačných a komunikačných technológií. Typický „bežný“ používateľ nemá žiadne nadštandardné privilégiá v systémoch a nie je zodpovedný za kvalitu IT služieb a správnu funkciu IKT.
Pre vysvetlenie problematiky bezpečnostného povedomia si ďalej dovolím použiť práve skupinu laických používateľov.
Bezpečnostné povedomie
Je potrebné povedať, že zvyšovanie povedomia nie je rovnaký pojem, ako školenie.
Školenie, alebo tiež tréning, je zameraný na profesionálov vykonávajúcich určitú konkrétnu činnosť, v ktorej im školenie má dopomôcť ku zvýšeniu kvality vykonávania tejto činnosti.
Účelom programov pre zvyšovanie povedomia je však iba zamerať pozornosť používateľov aj na otázky súvisiace s bezpečnosťou, navnadiť ich vnímať bezpečnosť ako problematiku, nad ktorou by sa mali aspoň okrajovo zamyslieť pri výkone bežných činností, pri ktorých používajú informačné a komunikačné technológie.
Zvyšovanie povedomia má umožniť jednotlivcom, aby rozpoznávali bezpečnostné hrozby a naučiť ich reagovať na tieto hrozby zodpovedajúcim spôsobom. Študent je v tomto prípade iba pasívnym príjemcom informácií, zatiaľ čo študent v školiacom procese má oveľa aktívnejšiu úlohu.
Programy zvyšovania bezpečnostného povedomia sa snažia zasiahnuť čo najväčšiu cieľovú skupinu pomocou atraktívnejšieho podania problematiky. Školenia a tréningy sú oveľa viac formálne metódy, ktorých účelom je v ohraničenej skupine budovať vedomosti a zručnosti s cieľom uľahčiť výkon konkrétnych pracovných činností.
Štruktúra vzdelávania podľa NIST
Skratka NIST znamená „National Institute of Standards and Technology“, čo je v USA ústredná vládna agentúra zabezpečujúca úlohy súvisiace s technickou normalizáciou. NIST je zameraná na rôzne oblasti, avšak vydáva a udržuje množstvo veľmi zaujímavých a použiteľných štandardov aj v oblasti informačnej bezpečnosti.
Jedným z týchto štandardov (ktoré sa inak vydávajú pod názvom „Special Publication“) je „NIST Special Publication 800-16 Information Technology Security Training Requirements: A Role-and Performance-Based Model“.
Nižšie uvedený obrázok rozdeľuje používateľov IKT prehľadne podľa „vrstiev“ z hľadiska znalostných potrieb a zároveň aj z hľadiska náročnosti vzťahu ku problematike informačnej bezpečnosti v kontexte práce (oficiálny slovenský preklad, pokiaľ mi je známe, nejestvuje, čitatelia mi preto hádam odpustia vlastný preklad).
Rozdelenie je podobné rozdeleniu zverejnenému v dokumente „Návrh systému vzdelávania v oblasti informačnej bezpečnosti“. V oboch materiáloch sú najvyššie nároky na rozsah vedomostí kladené na vedeckých pracovníkov a špecialistov informačnej bezpečnosti. Avšak najväčšou cieľovou skupinou ktorá môže ovplyvniť úroveň bezpečnosti spracúvania informačných aktív sú laickí používatelia.
Systém vzdelávania v informačnej bezpečnosti
Nie je v možnostiach tohto článku podrobne popísať obsah študijných programov, dať odporúčania na kvalifikačné potreby, opísať obsah vzdelávania pre jednotlivé kategórie, navrhnúť ciele, úlohy a aktivity v oblasti vzdelávania v informačnej bezpečnosti. Nakoniec – to je predsa predmetom už spomínaného materiálu „Návrh systému vzdelávania v oblasti informačnej bezpečnosti“, schválenom uznesením vlády Slovenskej republiky č. 391 z 27. mája 2009. Dokument je voľne dostupný na internete.
Spomínané uznesenie vlády uložilo ministrovi financií v spolupráci s ministrom školstva vypracovať štandard základných znalostí v oblasti informačnej bezpečnosti pre jednotlivé kategórie používateľov a zároveň implementovať systém vzdelávania v oblasti informačnej bezpečnosti v SR pre cieľové skupiny a zaradiť ho do všetkých vzdelávacích programov formálneho a neformálneho vzdelávania. Nateraz by bolo veľmi odvážne tvrdiť, že sú tieto uznesenia vlády splnené. Ale život ide ďalej a niektoré problémy sa riešia aj samé.
Vedeckí pracovníci a špecialisti informačnej bezpečnosti poznajú svoje kvalifikačné nedostatky a svoje vzdelávacie potreby vedia presne definovať a plánovať. Ak odmyslíme formálne vzdelávanie, profesijné organizácie ponúkajú niekoľko rôznych certifikačných schém. Niektorými certifikátmi je možné hodnoverne preukázať, že ich vlastník je kvalifikovaným odborníkom v oblasti informačnej bezpečnosti.
Na opačnej strane pomyselnej úsečky znalostí v informačnej bezpečnosti je skupina laických používateľov. Požiadavka na ich bezpečnostné povedomie môže byť dočasne pokryté altruistickými projektami rôznych mimovládnych organizácií, občianskych združení a zainteresovaním špecialistov informačnej bezpečnosti do vzdelávacích programov. Programom zvyšovania bezpečnostného povedomia laickej verejnosti sa venuje napríklad projekt zodpovedne.sk alebo projekt preventista.sk.
Čo však učiniť s potrebami manažérov? Čo s profesionálnymi informatikmi, ktorí priamo nevykonávajú úlohy v informačnej bezpečnosti? Čo s pedagógmi na stredných a základných školách, ktorí majú deti a mládež sami naučiť základy informačnej bezpečnosti? A čo so všetkými ostatnými zamestnancami, ktorých jedinou väzbou s IT svetom je len ich pracovný nástroj – počítač?
Toto je skupina, ktorá je z hľadiska kvalifikačných potrieb vo vrstve nazvanej „odborné školenia“. Tu sa dá spoľahnúť len na organizácie, ktoré sa venujú práve problematike vzdelávania v oblasti IT.
Aký certifikát, aké školenie by som tejto skupine odporúčal? V poslednej dobe sú na trhu dve novinky. Jedna z dielne ISACA (Asociácie audítorov bezpečnosti informačných systémov) a nazýva sa CSX („Cybersecurity Nexus“). Jedná sa o školenie a certifikáciu v oblasti kybernetických hrozieb. Druhá, podstatne dostupnejšia je ISF („Information Security Foundation“) promovaná aj poskytovateľmi nezávislých certifikácií v oblasti informačného manažmentu.
Stručne ku vzdelávaniu na záver
Podstatné je zdôrazniť, že najúčinnejší spôsob, ako zvýšiť úroveň informačnej bezpečnosti na Slovensku – je sústrediť sa na dve najväčšie cieľové skupiny, jednak na laických používateľov a programy zvyšovania ich bezpečnostného povedomia a popritom na školenia informatikov, ktorí nevykonávajú prax v informačnej bezpečnosti.
Prvá, masová skupina, samozrejme predstavuje najväčšie riziká, pretože je najviac a najčastejšie vystavená všeobecným hrozbám pochádzajúcim z digitálneho sveta.
Naproti tomu vhodný prístup je začať tiež postupne školiť skupiny profesionálov, ktorí sú v úzkom pracovnom kontakte s citlivými informačnými aktívami a učiteľov, ktorí zodpovedajú za zvyšovanie bezpečnostného povedomia mládeže.
Kým prvá skupina spadá do roviny „zvyšovanie bezpečnostného povedomia“, tá druhá je o prístupe zvanom „bezpečnostné školenia“. Ktorý z týchto prístupov je účinnejší, ukáže čas.
Vyjadrite váš názor v komentároch