jo, snažíš se, ale stále nic nechápeš.

Tvůj problém je, že vše vidíš technokraticky, domníváš se, že vše se dá zabezpečit. Tak ti znova napíšu: NEDÁ. Ucpeš jednu díru a uživatel ti udělá druhou, protože "to přestalo fungovat, a já POTŘEBUJU tohle dostat sem." Nehledě na to, že i samotný MS má chyby, o kterých se ví, a které jsou neopravené. V důsledku bys musel uživatele od všech systémů úplně odstřihnout, a to jak sám jistě uznáš, nejde.

Všechy útoky si můžeš rozdělit na několik skupin (od těch nejméně pravděpodobných a nejtěžších, po ty nejlehčí a nejpravděpodobnější):

1. Obecně neznámá chyba v aplikaci, firmware - zde máš prostě smolíka. Útočníci si našli díru, kterou zneužívají, IT s tím nemůže udělat vůbec nic. Jediná možnost je nevystavovat nic do internetu, nebo do WAN. Ochrana je jediná: malý footprint systémového řešení, což v mnoha případech (viz třeba ty nemocnice technicky možné není). Velké štěstí je, že počet lidí schopných najít a zneužít takové chyby je velmi malý.

2. Chybná konfigurace aplikace/firmware - zde je to (ale jen potenciálně) chyba IT. Ale pouze potenciálně, protože IT je pouze interní servisní organizace a podléhá vedení společnosti, které mu může nařídit potenciálně nebezpečné nastavení. Pokud IT manažer důrazně upozorní na bezpečnostní rizika, je z toho IT venku. Sem typicky patří otevření RDP do internetu, protože management nechce používat VPN.

3. Vadné chování uživatelů - no a jsme na cílové rovince. Nejčastější a nejnebezpečnější skupina, protože přimět uživatele k škodlivé akci je dětsky jednoduché. Někteří dokonce na bezpečnost prdí zvysoka. Nejčastější útoky probíhají právě na uživatele, a to proto, že jsou velmi levné a vysoce účinné. Sociální inženýrství (phishing, spear-phishing, scam apod.) prostě zabírá a nepotřebuješ k tomu vůbec žádné technické schopnosti, stačí umět správně formulovat věty a případně modulovat hlas. S příchodem cloudu je např. velmi jednoduché a účinné podvrhnout mail, který bude uživatele vyzývat k tomu, aby zadali své heslo někde na webu. A ty uživatele můžeš školit jak moc chceš, značná část si ty zažité informace ze sebelepšího školení prostě do praxe nepřenese. Kdybych to opakovaně neviděl na vlastní oči (já si třeba své užovky slepě testuju), tak tu o tom nepíšu. A tady ti nepomůže nic. Jistě si můžeš vybudovat superzabezpečený endpoint (ten ale bude uživatele omezovat v práci a brzdit je), můžeš si prosadit nákup stovek L3 switchů za desítky milionů, můžeš do sítě zařadit IDS/IPS - opět za těžké peníze. Ale podobné katastrofě jako byla v Benešově nezabráníš. Jediné co můžeš udělat, je mít funkční, kvalitní a dobře zabezpečené zálohy.

Za sebe můžu říct, že znám prostředí firem od malých jednomužných, až po velikánské korporace, kde na nějaký ten dolar na bezpečnost nehledí. Nemůžu ti dát ani tréninkové manuály, které psali ti nejpovolanější - bývalí hackeři, kteří dnes pracují pro tyto velké firmy. A vysvětlovat ti teorii deterministické automatizace vs. stochastické chování uživatele už asi bude úplně nad rámec. Všechno ale potvrzuje to, co ti opakovaně píšu: největší bezpečnostní riziko je VŽDY uživatel.