Dr. Lee Casey je aplikovaný behaviorální vědec, který využívá své výzkumné a analytické dovednosti v oblasti kybernetické bezpečnosti k měření a ovlivňování behaviorálních rizik a k vývoji nových nástrojů. Mezi jeho významné příspěvky patří spolupráce na 2025 NATO/PfPC Cyber Reference Curriculum a tvorba zpráv, např. „Mimo rámec školení: Formování chování v oblasti kybernetické bezpečnosti na pracovišti“. Pravidelně také přednáší na téma kybernetického chování pro odbornou i akademickou sféru, např. na výroční konferenci SM-ITAM Britské výpočetní společnosti, kde hovořil o tom, jak mohou týmy kybernetické bezpečnosti a GRC podporovat přístup zaměřený na člověka. Má také zkušenosti se spoluprací s různými britskými firmami a specializovanými agenturami OSN ve Švýcarsku a Nizozemsku v rámci své pozice vedoucího analytika kybernetického chování ve společnosti Recyber. Rovněž působí jako externí lektor na Katedře psychologie na University of East Anglia a jako výzkumný asistent pro sběr dat v časopise Economic Inquiry 3* při Loughborough University.
Ve své přednášce tvrdíte, že konzistentnost lidského chování je spíše silnou stránkou než slabinou. Jak tento pohled mění praktické přístupy ke kyberbezpečnosti?
Lidé představují největší příležitost, jak snižovat riziko. Pro odborníky na kyberbezpečnost to znamená, že investice do „lidské“ stránky bezpečnosti se skutečně vyplácejí a že vedle technických řešení má smysl cíleně investovat i do práce s chováním uživatelů.
Jak lze v organizacích systematicky měřit behaviorální rizika? Existují nástroje, které kvantifikují rizikové chování uživatelů?
Měření stojí na jasné taxonomii. Nejdřív si pro vaši organizaci popíšete všechny relevantní typy rizikového chování – třeba práci s e-mailem, nakládání s přílohami, sdílení souborů, správu přístupů. Tuhle taxonomii pak naplníte behaviorální threat intelligence: tedy reálnými signály z prostředí. V praxi mohou pocházet např. z phishingových simulací, interních hlášení či dalších pozorování chování uživatelů. Výhoda je jednoduchá: všechna data mluví jedním jazykem, takže s nimi lze konzistentně pracovat napříč týmy i časem. Příkladem nástroje je ReCyber Republic: shromažďuje data o behaviorálních rizicích, vkládá je do taxonomického „enginu“ a na jejich základě automaticky doručuje bezpečnostní intervence. To umožní reagovat cíleně tam, kde chování opravdu zvyšuje riziko, a zároveň budovat dlouhodobou změnu. Taxonomický přístup tak dává měření i zlepšování lidského faktoru pevný rámec, který se dá opakovat a škálovat.
Vnímáte rozdíly v přístupu k behaviorální kyberbezpečnosti ve Spojeném království oproti střední Evropě, např. v Česku či na Slovensku?
V Británii je velmi rozšířená spolupráce mezi behaviorální vědou a kyberbezpečností, což přináší i důraz na psychologickou bezpečnost. Když chcete měnit chování, nesmíte lidi poškozovat. Typickým příkladem je phishing: pokud někdo klikne, klíčové je, co organizace udělá potom, jak nález zpracuje, jak podpoří nápravu a prevenci, aniž by člověka stigmatizovala. Cílem je vyhnout se reakcím, které vedou k vyhýbavému či deviantnímu chování a ve výsledku zhorší bezpečnost. Prakticky to znamená prostředí, kde je bezpečné incident nahlásit, kde po pochybení následuje edukativní zpětná vazba a jasný postup nápravy, ne „hledání viníků“. Takový přístup udržuje ochotu spolupracovat, zvyšuje kvalitu hlášení a pomáhá dělat následná lepší rozhodnutí. Rozdíl, který chci zdůraznit, tedy není v technologiích, ale v tom, jak s lidmi zacházíme při změně jejich kybernetického chování – a právě to vnímám jako zásadní posun v UK.
Které behaviorální teorie či modely se podle vás nejlépe uplatňují při návrhu bezpečnostních strategií v praxi?
Základ tvoří teorie očekávané hodnoty kontroly (Expected Value of Control), na níž jsem stavěl i v doktorském výzkumu. Popisuje, jak lidé napříč kontexty dělají rozhodnutí na základě průběžných odhadů nákladů a přínosů budoucích výsledků. Pokud chceme těmito odhady cíleně hýbat, je praktický model COM-B (Michie a kol.), který říká, že chování je dáno kompetencí (Capability), příležitostí (Opportunity) a motivací (Motivation). Společně poskytují robustní teoretický rámec.
V prezentaci zmiňujete reálný případ. Jaký typ lidské chyby byl kritický a jak jí šlo předejít?
V té ukázce pracuji s phishingem, protože je to nejběžnější vektor. A pointa není v tom, že existuje jedna konkrétní slabina, která někoho dovede ke kliknutí. To samé chování může mít pokaždé jiné příčiny: někdo je ten den pod tlakem a spěchá, jiný je naopak čerstvě po simulaci a hrozbu rozpozná. Proto se výsledky liší – někdo klikne, jiný e-mail ignoruje, nahlásí ho nebo ho prostě smaže. Důležité je přijmout tu variabilitu jako fakt a podle ní navrhovat prevenci. Neptám se tedy jen, proč klikl, ale co v tom kontextu rozhodlo a co můžeme příště změnit. Když chování způsobují různé determinanty, musí mít i zásah různé podoby. Jinak řečeno: není to o hledání jediné chyby, ale o pochopení situace, ve které to rozhodnutí vzniklo.
Je reálné integrovat data z psychologických mmdelů do technických nástrojů typu SIEM či SOAR? Jaké etické či praktické limity z toho plynou?
Určitě ano. To je právě silná stránka taxonomického přístupu — behaviorální data mají jednotný formát a dají se přirozeně posadit vedle technické threat intelligence v nástrojích typu SIEM nebo SOAR. Prakticky to znamená, že stejné rozhraní, které dnes zpracovává technické indikátory, umí přijmout i signály o chování a pracovat s nimi v rámci incident response. Tam, kde musíme být obezřetní, je etika. Klíčová je anonymizace a celkové nastavení tak, aby byla zachovaná psychologická bezpečnost. Cílem není lovit „černé ovce“ a ukazovat prstem na jednotlivce, ale využít ta data produktivně: dát týmům lepší vhled a podklady pro cílené, konstruktivní intervence. Když to uděláte tímhle způsobem, integrace dává smysl jak technicky, tak organizačně, a hlavně podporuje změnu chování, která snižuje riziko, místo aby vytvářela strach a vyhýbavé reakce.
Které typy organizací dnes nejlépe integrují behaviorální principy do bezpečnostních programů a proč?
Řekl bych, že dnes jsou nejdál hlavně silně regulované sektory, typicky finance. Jednak proto, že na ně dopadá regulace typu DORA, jednak proto, že auditně i provozně dlouhodobě vnímají, jak velkou roli hraje lidské chování v celkové odolnosti. A pak je tu i reputace: když se něco stane, je to vidět. Stačí si vzpomenout na nedávný supply-chain útok na tradiční britskou značku M&S – to vytváří velmi konkrétní motivaci investovat do lidí, ne jen do techniky. Podobně bych zmínil i vzdělávací sektor, kde je tlak na bezpečnost a zároveň velká heterogenita uživatelů. Společný jmenovatel je jasný: silný dozor, vymahatelnost a vysoké reputační riziko. Tohle prostředí přirozeně tlačí organizace k tomu, aby braly behaviorální riziko vážně, měřily ho systematicky a stavěly programy, které kombinují technologie s promyšlenou prací s chováním.
Jaký má být první krok manažera kyberbezpečnosti, který chce do strategie začlenit behaviorální přístup, a na jaké nástrahy se připravit?
Začněte jasnou definicí. Potřebujete vlastní taxonomii behaviorálních rizik, ne obecný seznam. Klidně si vezměte k ruce experty a veřejné metodiky typu NCSC a přetavte je do jazyka vaší organizace. Pak přijde druhý krok: zmapovat, jaká data už máte. Běží vám phishingové simulace? Máte kulturní nebo klimatické sondy? Interní hlášení incidentů? Všechno, co dnes vzniká, potřebuje společný rámec. Třetím krokem je sjednocení – přepište ta různorodá pozorování do jedné taxonomie, aby šla porovnávat v čase i napříč týmy. Tím získáte „velký obraz“: co je skutečný problém, co se zlepšuje a kde intervence fungují. A nástrahy? Nezapomenout na psychologickou bezpečnost a data nepoužívat k „lovu viníků“. Pokud chcete, aby se chování zlepšovalo, musí být bezpečné chybu přiznat, dostat jasnou zpětnou vazbu a vědět, co udělat příště lépe. Bez toho ten rámec nebude dlouhodobě fungovat.
Děkuji za rozhovor.
Za DSM se ptal Martin Haloda
