Člověk byl, je a bude nejslabším místem IT zabezpečení a týká se to bohužel i těch zkušených, upozorňoval v nedávném rozhovoru ředitel bezpečnosti O2 Radek Šichtanc. Data mu dávají jednoznačně za pravdu. A ruku na srdce, kdo z vás někdy neodešel na toaletu bez zamknutí počítače, nebo nestáhnul neověřený dokument či fotku?
Chyby se mohou stát z nedbalosti, nevědomosti nebo úmyslně, ale stojí majitele firem miliony korun a spoustu času. Proto je v zájmu všech kolegů tato rizika eliminovat. Kde začít? Třeba přečtením tohoto článku.
Maximální možné zabezpečení před útoky hackerů by v dnešní době měly mít úplně všechny firmy. Říkáte si, že je to zbytečné a že se vám to určitě nestane? Tak považte, že se s útoky hackerů potýkalo 64 % všech existujících firem. To už stojí za trochu času a peněz na ochranu.
Základem obrany je prevence
Znáte takové to, že nejlepší obranou je útok? Tak to bohužel u kyberbezpečnosti vůbec nefunguje. Naprosto zásadní je proto prevence a ta u lidských pochybení znamená vzdělávání, informování a přezkoušení. Mnoha problémům se můžete vyhnout zvýšenou bezpečností. Obzvlášť u emailů buďte velice opatrní. Tady je základní přehled největších prohřešků na pracovišti, které vedou k útoku. Schválně, v kolika z nich jste někdy pochybili i vy:
- Špatně uložená firemní data
- Vyzrazení důvěrných informací nepovolané osobě vědomě i z nedbalosti (např. neuzamčeným počítačem, odesláním zprávy špatnému příjemci, přístupnými daty atd.)
- Používání neznámých USB disků
- Otevírání nebezpečných e-mailů, příloh a odkazů
- Stahování neznámých souborů a dokumentů
- Oddalování aktualizace softwaru
- Nezabezpečený telefon, na kterém jsou firemní data
Podle studie společnosti IBM je lidská chyba hlavní příčinou 95 % případů narušení kybernetické bezpečnosti. Vzděláváním a pravidelným testováním předejdete mnoha komplikacím, bohužel to dnes ale nestačí, což potvrzuje i výše zmíněný odborník Radek Šichtanc z O2: „Vzdělání zaměstnanců je extrémně důležité. Navzdory tomu i zkušený a vzdělaný uživatel může udělat chybu, včetně admina po 20 letech v IT bezpečnosti. O to horší ta chyba může být.“
Co ale dělat víc? Nevěste hlavy, pokud selžete vy, záda vám kryje technika. Pokud jste jí ovšem věnovali péči a peníze. Řeč je o technologických opatřeních, která minimalizují vystavení zaměstnanců riziku. Jsou to např. antiviry, pokročilé firewally, dohledová centra, která kontrolují IT provoz a odhalí případné útoky či nestandardní chování nebo nastavení MDM, která umožní spravovat firemní mobilní zařízení a chránit firemní data. Mnoho lidí se spokojí se základním antivirem v počítači, ale to je úplně nezbytné minimum. Mnoho útoků totiž začíná tzv. phishingem, při kterém se útočník vydává za důvěryhodnou osobu a snaží se různými způsoby vylákat z oběti důležitá data, nebo jí podstrčit závadný dokument. I v takovém případě existují bezpečnostní nástroje, které umí podezřelé aktivity podchytit.
Pomsta za miliony
Je tedy něco, čemu nejde zcela předejít? Bohužel naše odpověď zní ano. Jde o úmyslnou chybu zaměstnance, který může být zhrzený kvůli financím, neshodám nebo odchází. V zahraničí to není vůbec nic neobvyklého. Naštvaný kolega podlehne nabídce hackerů, kteří za vyzrazení klíčových údajů vyplácí i 10% podíl. Jak se na možnost úmyslného úniku dat tváří odborník?
„Pro útočníky to může být spolehlivý a rychlý způsob, jak se dostat k informacím. Nicméně na firmě pak je rozhodnutí, zda si vybuduje schopnost takové jednání rozpoznat a následně zabránit případným důsledkům,“ dodává Radek Šichtanc.
Žádná technologie vám v tomto případě nepomůže stoprocentně, zabránit tomu ale lze i vnitřním nastavením a politikou firmy. Např. zaměstnanec ve výpovědi nebo na určité pozici nesmí stahovat a přeposílat větší objemy dat. Citlivá data lze také klasifikovat, monitorovat a aplikovat na ně další bezpečnostní opatření.
Dočetli jste náš článek a tím splnili první krok k úspěšnému vzdorování hackerskému útoku. Jak pokračovat? Erudujte své kolegy nebo zaměstnance a domluvte si workshop k IT bezpečnosti a možnosti pochybení na pracovišti. Lidé by měli znát rizika i aktuální hrozby a umět se s nimi vypořádat. O největších nebezpečích se také zmiňujeme v článku o zaměstnancích a sociálním inženýrství. Kromě vzdělávání nepodceňujte ani další technologická opatření, která vám pomůžou. Obraťte se na odborníky, kteří s vámi nastaví výše zmíněné nástroje přímo na míru vaší firmě.
Tematický speciál Kybernetická bezpečnost připravuje Živě ve spolupráci s O2.