Kybernetická bezpečnost

Phishing je záludný, podlehne i zkušený ajťák. Na školení by měl jít každý, kdo může sáhnout na klávesnici

Lidské pochybení je zodpovědné až za 90 % kybernetických incidentů. Hackeři a útočníci, kteří ovládají sociální inženýrství, jsou hrozbou pro citlivá firemní data.
Phishing je záludný, podlehne i zkušený ajťák. Na školení by měl jít každý, kdo může sáhnout na klávesnici

Manipulaci zaměstnanců se dá předejít pouze pravidelným školením a správným nastavením technologických pravidel a opatření. Věnujete jim dostatečnou pozornost?

Se sociálním inženýrstvím se setkáváme každý den. Jde o manipulativní proces s cílem provedení nějaké akce nebo zisku dat. Můžeme ho najít například v marketingu a není to nic, co by nám mělo působit starosti. Odlišné je to v případě kyberbezpečnosti. Sociální inženýrství je totiž jedním z nejčastějších způsobů, jakým se útočníci zmocňují citlivých firemních dat.

Důmyslnými způsoby manipulují lidi, kteří jim pak nevědomě zpřístupňují cestu k útoku. Spíše než vyspělých technik využívají důvěry, naivity a neznalosti. Sází na emoce a psychologický nátlak. V dnešní době home officů tato hrozba ještě stoupá. Těmto útokům zcela logicky nejde zcela zabránit ani softwarovým, ani hardwarovým opatřením. Základem je vzdělávání, přezkoušení a neustálá obezřetnost.

Útok cílený přes lidi nevyžaduje tolik finančních ani hackerských schopností. Je to však druhý nejvyužívanější způsob ataku a ročně okrade firmy o miliardy dolarů. Bránit se proti němu je nesmírně obtížné a vyžaduje to komplexní přípravu, která obsahuje lidi i technologie. Jak vysvětluje manažer dohledového centra O2 Jiří Sedlák: „Otázka není, co si zvolit. Ke kybernetické bezpečnosti je nutné přistupovat komplexně. Moje doporučení je školit, ale zároveň nasazovat další technologická a procesní pravidla a opatření.“

Druhy útoků s využitím sociálního inženýrství

Útočníci využívají mnoho způsobů, jak se k datům dostat. Od těch nejprimitivnějších, kdy koukají přes rameno na hesla, až po sofistikované, kdy využívají získané důvěry ke zjištění citlivých údajů přes email, číslo nebo sociální sítě.

Ten největší strašák je tzv. phishing, při kterém se útočník vydává za důvěryhodné organizace, banky, přepravní společnosti nebo obchodní partnery a snaží se z obětí vylákat nejrůznější informace. Může to dělat přes email, SMS, sociální sítě nebo přes hovor (pak se používá výraz vishing). Útočník se snaží vyvolat dojem, že protistrana něco chce nebo potřebuje. Reporty z roku 2019 uvádějí, že jedna třetina všech zaznamenaných bezpečnostních porušení zahrnovala phishing. Ten je snadno dostupný, velmi přesně cílený a tedy i úspěšný. Lidé obvykle nemají čas se problémem zabývat hlouběji a informace protistraně zkrátka předají. Nutno podotknout, že škůdci bývají dobře informovaní a využívají originální grafické prvky, úplné informace o společnosti nebo osobní údaje odesílatele.

Mezi další útoky patří třeba USB dropping, kdy se na zaměstnance nastraží zavirované nebo upravené USB. Hackeři také při tzv. dumpster divingu prohrabují vyhozené desky, telefony a snaží se z nich získat potřebná data a využívá se také shoulder surfing, při kterém jsou informace obyčejně ukradeny koukáním přes rameno, třeba ve frontě nebo autobusu. Hrozby nejsou ušetřeni ani vysoce postavení manažeři. Na ty cílí tzv. CFO fraud útoky, které z nich sofistikovaně mámí peníze.

Jak se útokům bránit

Útočníci vždy začínají pečlivým shromaždováním informací a budováním důvěry, kterou následně zneužijí a na závěr z obětí vylákají peníze, nebo ukradnou informace, které následně prodají. Je proto nezbytné neustále opakovat základní pravidla:

  1. neotvírejte emaily z neznámých adres a v žádném případě neotevírejte podezřelé přílohy
  2. používejte silná hesla a dvoufázová ověření
  3. nepoužívejte neznámé USB disky nebo nezaheslovaná úložiště

Pravidel je samozřsejmě daleko více a bude velmi dobré, pokud je vašim zaměstnancům nebo kolegům předá odborník. Ten je individuálně připraví na možné hrozby, prozkouší je např. pomocí interních phishingových kampaní a navrhne, jak vhodně postupovat. Zároveň nabídne nasazení technologií, které lidské chyby eliminují. Což mohou být různé emailové antispamy, které lidi k případné chybě vůbec nepustí.

Jak vysvětluje ředitel útvaru bezpečnosti O2 Radek Šichtanc, pouhé vyškolení obvykle nestačí: „I zkušený a vzdělaný uživatel může udělat chybu. Včetně admina po 20 letech v IT bezpečnosti. O to horší ta chyba může být. Proto je důležitá ta záchranná brzda v podobě bezpečnostních nástrojů, automatizovaných technologií, bezpečnostního monitoringu atp.“

Tematický speciál Kybernetická bezpečnost připravuje Živě ve spolupráci s O2.

Diskuze (12) Další článek: Vezmete nás s sebou? ESA chce dostat Evropana na Mars. Spoléhat se ale musí na ostatní

Témata článku: Bezpečnost, Kybernetická bezpečnost, Phishing, SMS, Školení, Hrozba, Firemní data, Účtárna, Inženýrství, Boženka, Ajťák, Data, Sociální inženýrství



MacBook Air M2 bude hit. Apple vsadil na nový design, vrátil MagSafe a displej ozdobil výřezem

MacBook Air M2 bude hit. Apple vsadil na nový design, vrátil MagSafe a displej ozdobil výřezem

** Po dlouhých letech se mění ikonický design MacBooku Air ** Apple zlepšil výkon, obraz i zvuk ** Zůstává přitom pořád skvělá výdrž a dokonale tichý chod

Lukáš Václavík
MacBookApple
Skenujte telefonem. Podívejte se, co všechno umí bezplatná aplikace Microsoft Lens

Skenujte telefonem. Podívejte se, co všechno umí bezplatná aplikace Microsoft Lens

Aplikací pro skenování dokumentů je celá řada, nicméně Lens od Microsoftu těží z napojení na OneDrive nebo možností přímého exportu do Wordu.

Jakub Michlovský
NávodyMobilní aplikaceMicrosoft
Jak vysoké jsou dotace na fotovoltaiku. Dotační program Nová zelená úsporám překvapí lidským přístupem

Jak vysoké jsou dotace na fotovoltaiku. Dotační program Nová zelená úsporám překvapí lidským přístupem

Od 1. října 2021 platí upravené podmínky pro dotaci na FVE, přičemž v platnosti by měly zůstat až do roku 2025. Důležitou informací je, že jde o podmínky velmi štědré.

Jiří Kuruc
DotaceEnergetikaFotovoltaika
Recenze cykloradaru Garmin Varia RCT715. Bílé dodávky, všechny si vás natočím

Recenze cykloradaru Garmin Varia RCT715. Bílé dodávky, všechny si vás natočím

** Garmin do svého stále unikátního cykloradaru přidal kameru ** Snímá a ukládá, co se při jízdě děje za sedlem ** Kromě toho je to jedna z nejsilnějších svítilen na kolo

Marek Lutonský
Testy
Jak stáhnout video z Youtube: 10 nejlepších nástrojů

Jak stáhnout video z Youtube: 10 nejlepších nástrojů

** Vybrali jsme deset nejlepších nástrojů pro stahování videa z YouTube ** Můžete si vybrat, jestli chcete aplikaci, doplněk do browseru nebo webovou službu ** Videa z YouTube poté můžete sledovat offline

Karel KiliánStanislav Janů
TipyNejlepší programy