Kybernetická bezpečnost v době pandemie pro malé a střední podniky
Zkušenosti uplynulého roku, kdy se řada firem snaží přejít co nejvíce na práci z domova a musí tomu nutně přizpůsobovat své procesy i infrastrukturu odhalily některé typické problémy spojené s tímto přechodem. Na základě postřehů z praxe jsme proto připravili stručný přehled nejčastějších problémů, které se v této souvislosti v oblasti kybernetické bezpečnosti objevují.
Phishing je stále silným vektorem útoku, a kvůli přechodu zaměstnanců na práci z domova v uplynulém roce narostl počet phishingových útoků, neboť útočníci jsou si vědomí větší zranitelnosti uživatelů, pracujících izolovaně od dalších kolegů. I když máme k dispozici řadu komunikačních nástrojů, jednoduchost a přímočarost normální mezilidské komunikace jiné prostředky nenahradí. Pro uživatele tedy může být obtížnější získat radu, pokud obdrží podezřelou zprávu, kvůli většímu stresu a náročnějším podmínkám pak může snadno podlehnout phishingovému útoku i někdo, kdo by za normálních okolností odolal. Ze všeho nejdůležitější je důkladně proškolit především zaměstnance, pracující s firemními financemi, je-li to však možné, je lepší proškolit všechny zaměstnance a školení v ideálním případě pravidelně opakovat. Doporučujeme zaměstnance informovat o úskalích práce z domova a zřídit pro ně jednoduchý kontaktní bod, kde budou moci hlásit veškerá podezření týkající se phishingu, ale i dalších potenciálních útoků. Je také potřeba nastavit procesy, tak aby odolaly různým typům sociálního inženýrství a vyloučily chybu jednotlivce.
S rostoucí potřebou práce z domova je třeba dobře nastavit bezpečnostní prvky, tak aby se prostor pro útočníky příliš neotvíral. To lze řešit například využitím VPN (preferovaná volba) či otevřením portů (například vzdálené plochy – pokud je to opravdu nutné) pouze pro konkrétní IP adresy zaměstnanců. Zpřístupnění z konkrétních IP adres však vyžaduje, aby se tyto IP adresy na straně zaměstnanců neměnily. V souvislosti s tím je vhodné věnovat zvýšenou pozornost zařízením, která mají zaměstnanci u sebe doma. Určitě například není vhodné, aby tato zařízení využívali ostatní členové domácnosti. Otevíráním vzdáleného přístupu do firemní sítě se vždy vystavujeme určitému riziku. Je nezbytné si uvědomit, že kompromitace PC zaměstnance připojeného z domova může vést ke kompromitaci celé sítě. Zde opět vyvstává požadavek a důraz na nutnost zajistit pro zaměstnance školení.
Dalším zásadním krokem je pravidelná kontrola nastavení bezpečnostních prvků (firewallu) minimálně skenem otevřených portů v rámci firemního IP rozsahu. Ověříme tak, zda nedošlo k chybě během konfigurace či zda-li si někdo ze zodpovědných zaměstnanců neulehčuje práci na úkor bezpečnosti.
Přikládáme rovněž několik dalších bodů, které v souvislosti se situací považujeme za důležité, ale mnohdy se jedná o obecně platné principy, které je dobré dodržovat bez ohledu na aktuální situaci.
Lidské zdroje
Základy
- bezpečnostní politika/směrnice/doporučení obeznámení zaměstnanců
- doporučení používat Password Manager (ideálně nějaký poskytnout)
- u aplikací, které to umožňují, vyžadovat používání dvoufakorové/vícefaktorové autorizace
- uživatelské certifikáty
- vědět kam se obrátit v případě problému (nadřízený/IT podpora/kontaktní bod)
Osvěta
- seznámit zaměstnance se základy bezpečnosti
- povědomí o hrozbách
- návod, jak reagovat na určité situace → spear-phishing - ověření informací
Data
Integrita
- mít zálohy – ověřit si, že fungují dříve než jsou potřeba
Bezpečnost
- šifrované přenosy (HTTPS/TLS/VPN)
- nepoužívat otevřené wi-fi sítě (kavárny apod.)
Dostupnost
- dostatečně rychlé připojení (aby lidé z home-office nezahltili linku)
- mít záložní linku v případě výpadku
Zařízení
Krádež/rozbití
- šifrování dat
- dostupnost náhradních počítačů (mít nějaké skladem)
- pojištění
Ochrana uživatelských stanic
- antivirové řešení
- antispam
- firewall
- blokování vyskakovacích oken
Podpora
- stěžejní bod - mnoho nových výzev pro IT oddělení
- zřízení kontaktního bodu pro technické potíže a konzultace
- potřeba schopnosti jednoduše, trpělivě komunikovat se zaměstnancem (v některých případech je velmi nežádoucí, aby se to zaměstnanec snažil nějak pořešit sám)
- schopnost detekovat, analyzovat a řešit problém
- reportování problému → evidence
- zvážit využití zkušených zaměstnanců, kteří pracují i mimo IT oddělení
Přidáváme drobné vysvětlivky
Password manager – aplikace k bezpečnému uložení hesel. S její pomocí si uživatel pamatuje pouze jedno heslo a pro každou službu může využít unikátní a dostatečně silné heslo.
Firewall – nástroj na síťovou ochranu zařízení
Vícefaktorová autentizace /dvoufaktorová autentizace – pro přihlášení se využije více faktorů (například heslo a jednorázově generovaný číselní kód v mobilní aplikaci)
Spear-phishing – phishingové útoky výstižně napodobující kolegu/vedoucího pracovníka. Podstatou je, že komunikace je personalizovaná, e-mail obsahuje osobní oslovení apod. Útočník se nezřídka podrobně seznámí se šablonou firemního e-mailu, a následně pošle svůj, takřka k nerozeznání od běžného firemního emailu (až na to že vyžaduje finanční transakci na neznámý účet nebo například otevření přílohy s podezřelým obsahem)
Vishing – výrazně pokročilejší technika s jejíž pomocí dochází k vylákání citlivých informací prostřednictvím telefoního hovoru. Útočník například věrně předstírá hlas kolegy přes telefon. Využívají se zde také tzv. deep fake techniky, umožňující modifikaci hlasu tak, že se stává nerozeznatelným od hlasu svého pravého majitele. V poslední době se objevují i útoky kombinující vishing a klasický phishing. Oběť je pod různými záminkami telefonicky vyzvána k zadání citlivých údajů na phishingové stránce vytvořené útočníkem
Uživatelské ceritifikáty - mají využití jak u aplikací, které umožňují přihlášení pomocí certifikátů, tak připojení VPN, tak vnitrofiremní komunikace pro podepisování a šifrování mailů