Každá instituce by měla dodržovat bezpečnostní pravidla své počítačové infrastruktury počínaje zabezpečením serverů a konče dostatečně silným heslem k počítači u všech svých zaměstnanců. Jenže kdo by měl tyto standardy alespoň obecně nastavit?
V případě českého státu a jeho institucí se nabízí především Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) a jeho složky – třeba Národní centrum kybernetické bezpečnosti (NCKB), které jen letos vydalo několik nových doporučení.
NCKB vydává zpravidla několik doporučení ročně
K těm odvážnějším patřil třeba červnový postup, jak by měly státní instituce komunikovat s veřejností. NCKB tehdy úřady vybízelo například k tomu, aby se, pokud se jich to týká, zapojily do vysvětlování nejrůznějších dezinformací a hoaxů na sociálních sítích.
Jak totiž praví klasik, mnohé konflikty zítřka se uskuteční bez jediného výstřelu, neboť žijeme v informačním věku a protivníka je možné rozložit i zevnitř třeba právě skrze masivní šíření dezinformací a ovlivňováním veřejného mínění.
Na konferenci CyberCon, kterou NÚKIB pořádá každý podzim v Brně, se už tradičně objevují citace vrchního velitele ozbrojených sil (CyberCon 2018)
Expertem je na to třeba Rusko, které s využitím nových zbraní hybridní války inovovalo svoji strategickou doktrínu už v roce 2013.
Předpokladem každé úspěšné hybridní války je přitom to, že protivník ani neví, že probíhá, a tak nemůže dost přesvědčivě ukázat na konkrétního agresora a sjednotit v obraně vlastní společnost.
NÚKIB radí správcům počítačových sítí, jak zabezpečit svoji instituci
Naprostým základem bezpečnosti každého vyspělého státu je ale onen zabezpečený počítač z úvodu článku – ať už to bude pracovní stanice ministra, anebo hučící server kdesi na poště. Pojďme se tedy podívat na poslední doporučení NCKB, které úřad publikoval krátce před začátkem letních prázdnin.
Pod relativně strohým názvem Bezpečnostní doporučení NÚKIB pro administrátory 3.0 (PDF) se skrývá seznam všech obvyklých pouček, které by měly být v roce 2019 v kritické infrastruktuře státu naprostou samozřejmostí.
Karta, kterou si můžete stáhnout a vytisknout, je rozdělená na tři části:
- Infrastruktura,
- Stanice & servery,
- Uživatelé,
takže pokrývá kompletní vertikální počítačovou bezpečnost nějakého modelového úřadu, ale konec konců jakékoliv instituce – třeba i větší firmy, v jejímž open-spacu právě sedíte. Doporučení státních bezpečnostních expertů tedy můžete porovnat s vlastní realitou.
V další kapitole si ve vybraných bodech vypíšeme, jak doporučuje NÚKIB zabezpečit síťovou infrastrukturu, čili první z pilířů kybernetické bezpečnosti v naší instituci.
Pokračování 2 / 4
Infrastruktura
Podívejme se nejprve na infrastrukturu. NÚKIB například doporučuje:
Členit počítačovou síť na menší celky a jasně oddělit kritické části od zbytku. K čemu je to dobré? Pokud útočník pronikne do jedné zóny, třeba zvenčí do podnikové Wi-Fi, nesmí se dostat dál! Nesmí prolomením jediné brány dobýt celý hrad.
Útočník pronikl do Wi-Fi sítě instituce zvenčí pomocí výkonné směrové antény. Pokud ale bude WLAN izolovaná od kritických částí sítě, nedostane se snad k ničemu důležitému.
Sledovat a uchovávat síťový provoz pomocí pokročilých technologií. Tím samozřejmě NÚKIB nemyslí to, že vám bude síťový správce Ing. Břicháček po večerech číst poštu a za zády kontrolovat, co vyťukáváte do prohlížeče. Budou to za něj provádět chytré programy na serverech, které budou samy analyzovat a detekovat hrozby v síti a pomocí heuristiky, strojového učení a dalších přístupů hlásit abnormální chování.
Stručně řečeno, pokud počítač referentky Bc. Křečkové odešle ve tři ráno 4 678 TCP/IP požadavků kamsi do Malajsie, u Ing. Břicháčka se rozbliká pomyslný červený majáček. Podobné pokročilé technologie dnes vyvíjí i české firmy. Třeba brněnský Greycortex, anebo Avast.
Pokročilá analýza pohybů v síti od Greycortexu
Nasadit anti-DDOS technologie, aby se weby úřadu nezhroutily jen proto, že na ně zaútočil kdejaký botnet z východu.
Nasadit aplikační firewall a šifrované spojení mezi poštovními servery, aby mohly s internetem komunikovat jen ty aplikace, u kterých to chcete, a aby jediný e-mail neopustil šifrovaný tunel. Byť by to byl třeba jen jídelní lístek z kantýny v přízemí.
Šifrovat, šifrovat, šifrovat a ještě jednou šifrovat. Bez komentáře.
Vypracovat tzv. Disaster Recovery Plan, když přece jen dojde k nejhoršímu, abyste věděli, komu máte zatelefonovat a jak postupovat, aby byla obnova co nejrychlejší a škody nejmenší. Nikdo si přece nepřeje, aby podobný útok odstavil třeba daňovou správu na příští půlrok, viďte.
Základní síťovou infrastrukturu bychom tedy měli, ale ještě je třeba zabezpečit samotné servery a pracovní stanice. Co doporučuje NÚKIB? To se dočtete v další kapitole.
Pokračování 3 / 4
Stanice & servery
Tak, síťovou infrastrukturu bychom měli zabezpečenou, ale pak tu máme i ty bílé a černé krabice: servery a pracovní stanice. Co s nimi? V tomto případě NÚKIB mimo jiné doporučuje:
Udržovat aktuální operační systém. Ne, Windows XP na úřední počítač financovaný z našich daní opravdu nepatří. Ne, nepatří. Ne, ani kdyby se jednalo o mašinu, která přece není připojená k síti. Ne, ne, ne a ještě jednou ne. Nikdy!
Starý počítač s Windows XP na jednom z českých výzkumných zdravotnických pracovišť. Není náhodou, že ransomwarová kampaň WannaCry před lety zasáhla právě podobné instituce třeba ve Velké Británii. Nedávno se s malwarem potýkala i česká nemocnice.
Udržovat aktuální software. Viz výše. Stejný princip, stejný problém.
Zajistit fyzickou bezpečnost IT techniky třeba přelepkami a plombami, které budou garantovat, že do počítače bez vašeho vědomi nikdo nezasáhl a že si Mgr. Preclík z personálního nevložil do pracovní stanice bez vašeho vědomí to své SSD se zlatou edicí Solitaire staženou z čínského torrentu.
Šifrovat disky a to zejména u přenosných počítačů.
Pokročilejší edice Windows nabízejí vlastní šifrování úložiště BitLocker
Kontrolovat přenosná média, protože přesně tímto způsobem se může dostat malware i na počítače, které nejsou připojené k síti a jsou tak zdánlivě zabezpečené.
Ověřovat identitu aplikací a souborů a povolit jen ty důvěryhodné včetně skriptů a DLL knihoven v případě Windows. Ne, Mgr. Preclík si opravdu nesmí stáhnout tu pochybnou DLL knihovnu z webu SexyDLLsForYourWindows.ng.
Omezovat softwarovou výbavu stanic jen na práci uživatelů. Pokud k výkonu nepotřebují Javu a Flash Player, proč je instalovat?
Používat centralizované systémy logování událostí na stanicích a serverech, takže když dojde k abnormální situaci na stanici referentky Křečkové, informace nezůstane na jejím počítači, ale opravdu se dostane k IT oddělení.
Zvenčí se přihlašovat výhradně skrze VPN a patřičnou autentizaci.
Používat antivirus, TPM, Secure Boot, heslo do BIOS/UEFI a mnoho dalšího.
Tak, servery a stanice bychom ve zkratce měli, ale co jejich uživatelé? Na jejich zabezpečení se podíváme v poslední kapitole.
Pokračování 4 / 4
Uživatelé
Po infrastruktuře, serverech a pracovních stanicích nám už zbývají pouze uživatelé. Ti zpravidla způsobí nejvíce problémů, takže co s nimi? V tomto případě NÚKIB doporučuje například:
Vynucovat vícefaktorovou autentizaci, protože pokud má dnes tzv. dvoufaktor každá banka, Google, Microsoft, Portál občana a mnozí další, tak by jej měla mít široce implementovaný i státní správa.
Dvoufaktorvé přihlášení: Vedle jména a hesla mi ještě dorazí potvrzovací SMS s kódem.
Zavést centrální správu uživatelských účtů a oprávnění a jednotnou bezpečnostní politiku. Mgr. Křečkovi pochopitelně odeberte všechna práva k PC vyjma používání softwaru nutného k práci.
Oddělit administrátorské účty od běžných, takže síťový správce Ing, Břicháček nebude používat jeden a tentýž účet ke správě a zároveň k běžné práci.
Nepoužívat sdílené účty, takže zapomeňte na praxi, že skupina ajťáků bude používat jeden společný účet brichacek_root ke konfiguraci nějakého systému – třeba poštovního serveru. Pokud jej spravuje více lidí, každý by měl mít také vlastní přístup.
Vynutit používání silných hesel, zamezit v používání slovníkových výrazů, opakovaných hesel a tak dále. Referentka Křečková prostě nemůže stále dokola používat heslo 12345678. Stejně tak ale pamatujte na to, že s rostoucí složitostí hesla hrozí i riziko, že si jej Křečková napíše na kus papírku, přišpendlí na nástěnku a veškerá snaha bude k ničemu.
Pravidelně kontrolovat oprávnění, takže když už nějaké ty uživatelské účty vytvoříte, průběžně zjišťujte, jestli u nich bez vašeho vědomí nedošlo ke změně a někdo (nebo něco) nezvýšil privilegia naší referentce Křečkové, která se tak po otevření poštovní přílohy osobnirust.docx proměnila v hlavní administrátorku sítě.
Tento článek je součástí balíčku PREMIUM+
Odemkněte si exkluzivní obsah a videa bez reklam na devíti webech.
Chci Premium a Živě.cz bez reklam
Od 41 Kč měsíčně