Petr Mojžíš navrhuje hry, stolní i počítačové. A navíc ví, jak se ubránit krádeži osobních dat nebo kyberšikaně
koláž Hrot24 / Canva / Anect / Berenika Slánská
Jak na kyberbezpečnost
Rozhovor
Jeho hra učí, jak se bránit hackerům. Bezpečnostní návyky získáváme podprahově, říká Petr Mojžíš
Je to opravdová škola hrou. Tou počítačovou. V Clashingu se nahánějí hackeři a zaměstnanci, jedni se snaží „nabourat“ systém firmy, druzí ho zuřivě brání. Pak se prohodí. To vše se děje virtuálně, ovšem jako v deskové hře – vykládáte karty s tahy a protitahy a během toho se mimoděk učíte skutečným zásadám bezpečnosti na internetu. Chytré? Firmy většinou bezpečnostní školení neumějí, říká v rozhovoru pro Hrot24 spoluautor hry Petr Mojžíš ze společnosti Anect.
redaktor
Právě proto, že je výuka bezpečnostních návyků u zaměstnanců velkou slabinou českých společností, našli v Anectu díru na trhu. „Hledali jsme jiný způsob, jak u lidí zvýšit kybernetickou gramotnost. A napadlo nás vytvořit hru Clashing,“ líčí Mojžíš.
Sám je autorem historických deskových her třeba o mnichovské krizi nebo husitských válkách. O hraní a tom, jak působí na naši psychiku, toho ví skutečně hodně. I proto se zapojil do firemní iniciativy na vytvoření vzdělávací onlinovky.
Hráči při ní podprahově získávají dovednosti a i díky pocitům, jako je radost z výhry nebo smutek z prohry, si fixují návyky, které mají dodržovat ve světě internetu.
Vzhledem k tomu, že složitost virtuálního světa spíše roste, bude takových návyků podle něj nutné ovládat stále víc. „Mělo by se to učit jako předmět ve škole,“ zdůrazňuje Mojžíš.
Kyberbezpečnosti bychom v současnosti měli patrně učit už i ty nejmenší děti. Jak nejlépe?
Nutné především je, aby rodiče v kyberprostoru byli. Platí to i u starších dětí. Pokud byste nepustili své děti samotné v noci do lesa, nepouštějte je úplně samotné ani na internet. Tahle poučka funguje pro nejmenší děti i pro náctileté. Když rodiče dají dětem do ruky elektronické zařízení, musejí vědět, co s ním děti dělají.
V Anectu k tomu přistupujeme podle hesla Škola hrou. Nejen děti, ale i zaměstnance nebo manažery totiž potřebujete učit na příkladech a na příbězích. Musíte jim ukazovat obě strany mince. To, co se může v různých situacích stát. Nesmíte používat pouze příkazy a zákazy.
Musíte naopak vysvětlit, proč je potřeba postupovat určitým způsobem. Proč po nich například některé stránky chtějí, aby heslo bylo dvanáctimístné a obsahovalo číslice a speciální znaky. Bez kontextu nevíte, proč to děláte. Budete tomu vzdorovat a chovat se nebezpečně. A to platí pro cokoliv z kyberbezpečnosti.
Jak je to s tím heslem? Platí, že čím je složitější, tím hůře jde prolomit?
Délka hesla reprezentuje jeho složitost. Když si navolíte heslo třeba v e-shopu nebo v bance, bude tam uložené v šifrované podobě. Ale pokud je jednoduché, dá se rozšifrovat ve zlomku sekund.
Každou organizaci mohou napadnout hackeři a hesla ukrást. Pokud máte stejné a snadno dešifrovatelné heslo na více místech, koledujete si tím o problém na všech těchto místech. Protože heslo je téměř vždy v systému uložené vedle vašeho e-mailu. Útočník tak získá všechno, co potřebuje.
Umí to firmy na školeních o kyberbezpečnosti dobře vysvětlit?
Většinou ne. Tato školení bývají skutečně velkou slabinou společností. Většinou postupují tak, že pustí lidem videa nebo jim dají přečíst nějaké informace. A poté formou testu ověří, zda si ty poučky prošli. Tím mají hotovo, ale neznamená to, že u někoho vybudují jakýkoliv bezpečnostní návyk.
Hledali jsme tak jiný způsob, jak u lidí zvýšit kybernetickou gramotnost. A napadlo nás vytvořit hru Clashing. Tuto platformu jsme začali používat i pro vzdělávání dětí na druhých stupních základních škol.
Jak taková hra funguje?
Bezpečnostní návyky učíme podprahově. Zaměstnance necháváme hrát proti sobě. Někteří jsou hackery, jiní se jim brání. Učí se při tom – a ani nevědí, že se učí.
Neustále sledují, jaká hrozba se zrovna objevila a co mají udělat, aby ji odrazili. Nebo jako hackeři hledají slabá místa, kudy by se šlo k tomu druhému dostat. Což má úplně stejný vzdělávací efekt. Situace se opakují a tím si je lidé fixují.
Používáme i emoce. Když odvrátíte útok, vyskočí vám o tom oznámení, což vás potěší. A nebo naopak, když prohráváte. Podobně postupujeme u dětí, ale tam je ještě více hrozeb.
Clashing je online karetní hra. Jaké v ní nastávají základní herní situace?
Vždy se pohybujeme v určitém dějišti. Protože když chcete někoho naučit, jak se chovat třeba při práci z domova, je to něco jiného, než když se zaměříte na jeho pohyb na sociálních sítích.
Hráči ale vlastně ve všech případech zjišťují, jak je důležité mít silné heslo, nedávat na sociální sítě příliš informací nebo nevkládat osobní údaje do umělé inteligence.
Dozvíte se třeba i to, jak je důležité zamykat se v autě, když máte notebook v jeho kufru, tak aby vám ho někdo neukradl. Když se zase hráč vyskytuje v kanceláři, zjišťuje třeba, že nemá otevírat makra v excelu nebo se naopak má vždy podívat, kam vede link, na který chce kliknout.
Zaměstnanci si odnesou znalosti pro svůj osobní život. Třeba varování před propojováním se s neznámými profily na sociálních sítích. Další věci se týkají práce s informacemi, toho, jak si je ověřovat a jak se nenechat nachytat dezinformacemi. Pracovník se učí primárně pro firmu, ale i pro sebe.
Jak je potřeba nastavit takovouto hru, aby skutečně fungovala?
Nejčastější chybou vzdělávacích her je, když funguje herní část samostatně a na ní je jen uměle našroubována ta vzdělávací. Jako kdybyste vzali Člověče, nezlob se a zavedli pravidlo, že když vstoupíte na určité políčko, přečtete si nějakou informaci.
Tohle nezabírá. Je třeba propojit herní mechaniky s cílem gamifikace (zavádění prvků her a herního designu do jiných sfér života – pozn. red.). Když má hra vzdělávat, měly by její mechaniky vzdělávání zajistit. Jestli má být hra soubojem hackera a zaměstnance, měli by se hráči cítit jako oni.
Ale i my přidáváme do Clashingu perličku ve smyslu dodatečných zajímavostí. Po odehrání určité situace třeba hráčům řekneme, jestli věděli, že k podobnému útoku došlo v roce 2024 a způsobil takové a takové škody.
Zmiňoval jste, že u dětí pracujete s ještě více hrozbami než jen těmi hackerskými. Jak tedy hra funguje v této verzi?
Dětský Clashing je určený hlavně dětem na druhém stupni základních škol. Je tam víc příběhů, všechno je nakreslené na obrázcích. Hackery tam v pravém slova smyslu nemáme, jsou tam ale jiní zlí aktéři.
Jedním z nich je spolužák, který se dopouští kyberšikany. Pak je tam dospělý predátor. Někdo, kdo se může na dítě pověsit a čekat na něj třeba v bílé dodávce před domem. Což může udělat, když dítě zveřejní někde na sociálních sítích svou adresu. Máme tam také sexting, kybernetické vydírání a podobně.
Třetím nebezpečím je abstraktní postava démona, která symbolizuje různé závislosti, které mohou u dětí vzniknout. V současnosti třeba na krátkých videích.
Připravujete ještě nějakou další verzi?
Nově jsme se začali zaměřovat na manažery zodpovědné za chod firem. Máme pro ně speciální verzi Clashingu. Jde o stejnou platformu, obsahem však nejsou návyky jednotlivce, ale bezpečnostní principy, které by měly ve firmě fungovat.
Manažeři se dozvídají, že by měli být v bezpečnosti proaktivní nebo že by síť i koncová zařízení měla být zabezpečená, a to nejen antiviry. Že je třeba monitorovat a reagovat na bezpečnostní incidenty i události.
Na jaká další témata se v kyberbezpečnosti zaměříte? Na umělou inteligenci?
Té už se také věnujeme, ale přidáme s ní další obsah. Budeme reagovat na konkrétní hrozby. Ukážeme třeba lidem, že i deepfaky jde rozpoznat.
U deepfaků ukážeme všechny variace, v nichž se mohou vyskytovat, i to, jak přijít na to, že jde skutečně o falešný obsah. Každá fotka a každé video obsahuje metadata, z nichž velmi dobře zjistíte, o co jde. Nabízíme i odkazy na různé internetové ověřovny. Pořád se dá zjistit, co je pravda. Jen to někdy vyžaduje o kliknutí navíc.
Můžou si školy nebo zaměstnanci hru někde vyzkoušet?
Nejlepší je nás kontaktovat. Pokud jde o verzi pro zaměstnance, obratem můžete získat demoverzi pro dva uživatele, aby bylo možné si vyzkoušet i vzájemný souboj. Dětskou verzi pak nabízíme třeba dětem zaměstnanců organizací, které si Clashing už vyzkoušeli. Organizují se také různé související akce, třeba turnaje. Jak pro děti, tak pro dospělé. I to jsme schopni nabídnout, zorganizovat jen turnaj.
Podporujeme také korporace, které v tomto začnou pomáhat školám. Protože na celé této věci jsou nejpotřebnější ambasadoři. Poskytnout licence není tak těžké, ale potřebujeme nadšené učitele, kteří to na školách rozjedou.
Petr Mojžíš
Information Security Architect společnosti Anect
Zpracovává bezpečnostní strategie a související studie
Je hlavním autorem vzdělávací hry o kyberbezpečnosti Clashing
Připravuje rovněž historické deskové hry, aktuálně chystá ty související s mnichovskou krizi a husitskými válkami
V minulosti pracoval například pro Raiffeisenbank
Vystudoval telekomunikace na Českém vysokém učení technickém v Praze
