Firemní IT bezpečnost v záplavě vánočních a novoročních přání

David Řeháček , 11. prosinec 2012 08:00 0 komentářů
Rubriky: Security
Firemní IT bezpečnost v záplavě vánočních a novoročních přání

Předvánoční období vedle nákupní horečky a celkového shonu znamená také zvýšenou bezpečnostní zátěž pro firemní sítě. Zaměstnanci dostávají ve výrazně větší míře vánoční a novoroční přání, často spojená s nejrůznějším „zábavným“ obsahem, která mohou obsahovat škodlivý link, malware nebo některou z dalších forem sofistikovaných hrozeb. Takto lehce se může infikovat celá síť nebo dojít ke ztrátě dat.

Společnosti se často soustředí pouze na technické zabezpečení sítě, ale i to má své limity. Dle nedávného průzkumu nezávislé společnosti Ponemon většina společností chrání svou síť a data pouze pomocí základních nástrojů jako jsou firewall nebo IPS řešení. Méně než polovina jich pak má pokročilou ochranu pro boj například s botnety nebo APT (Advanced Persistent Threats).

Pro zajištění bezpečnosti, která ustojí i předvánoční nápor, je nutný komplexní přístup. Samotné nasazení základních technologií, ať už se jedná o Application Control, který zjistí, zda se na dálku nespustila nevhodná aplikace, nebo filtrace příchozí a odchozí pošty, eliminující e-maily od neověřených odesílatelů, nestačí. K dosažení úrovně ochrany, potřebné v 21. století je nutné, aby se bezpečnost nenahlíželo jako na pouhý soubor technologií, ale jako na komplexní proces, který zahrnuje tři hlavní dimenze – bezpečností politiku, lidský faktor a nástroje na prosazování bezpečnosti.

Ač si tuto skutečnost většina společností nepřipouští, neinformovaní zaměstnanci jsou pro bezpečnost firemní sítě velkou hrozbou. Zaměstnanec, který nemá základní návyky a neví, jak se v kybernetickém světě chovat, může napáchat mnoho škod a nezabrání mu v tom ani skvělé technologie. Stačí, když klikne na podezřelý odkaz nebo otevře infikovaný soubor a viry nebo hackeři mají volné pole působení. Východiskem jsou pravidelné školení zaměstnanců, kde by měli být vedle základních pravidel chování v kybernetickém světě informováni i o nových bezpečnostních hrozbách. Zaměstnanci jsou pak více obezřetní, což napomůže k zajištění bezpečnosti firemní sítě, jejíž prolomení může způsobit nemalé finanční škody.

Společnosti si musí uvědomit, že chyby, kterých se jejich zaměstnanci dopouštějí v kybernetickém světě, jsou vlastně jejich chybami. Každý z nás se od dětství učí, jak se chovat v reálném světě, ale většina uživatelů internetu si rizika svého chování v kyberprostoru neuvědomuje. Nikdo jim neřekl, proč to či ono není dobré dělat, jaké důsledky to s sebou přináší a kolik může narušení sítě či ztráta dat podnik v konečném důsledku stát. Je důležité mít na paměti to, že v kybersvětě má každý nejen svá práva, ale také povinnosti. Pokud se někdo chová nezodpovědně, nepřímo tak kybezločincům pomáhá.

V souvislosti s nadcházejícími vánočními svátky a novým rokem je třeba upozornit na podvodné e-maily, jejichž výskyt v tomto období každoročně prudce narůstá. V řadě případů jsou adresovány jmenovitě příjemci a mají přílohu, která vypadá jako přání. Takovýto typ oslovení vzbudí v příjemci požadovanou důvěru a sníží míru obezřetnosti. Vždy je nutné použít vlastní rozum a podívat se, zda se opravdu jedná o e-mail od známé osoby. I v takovém případě je ale lepší se spouštění rádoby vtipného obsahu vyvarovat, škody bývají větší než chvilková radost.

Vedle novoročních přání dostávají v tomto období zaměstnanci do svých e-mailových schránek také zvýšený počet nabídek jako nápady na dárky nebo slevy na různé produkty či služby. Jakékoliv jejich otevírání by mělo probíhat se zvýšenou obezřetností, v žádném případě pak není vhodné otevírat přílohy, které mají podezřelou příponu typu „.exe“. Nebezpečné mohou být ale i PDF soubory nebo soubory Microsoft Office s vnořenými odkazy na škodlivé kódy, popřípadě makry přímo vloženými do daného souboru.

Samostatnou kapitolou je nákup dárků přes internet a platby platební kartou. Počet lidí, využívající e-shopy, stále roste a mnoho jich dárky řeší na poslední chvíli. Tak se snadno mohou stát obětí phishingového útoku. Časový a předvánoční stres vede k tomu, že jsou nepozorní a provedou akce, které by jinak neudělali. Příkladem může být nákup na podvodném webu nebo prozrazení údajů o platební kartě.

Hlavním cílem kyberzločinců je získat informace, proto je pro ně předvánoční shon ideální. Vědí, že lidé jsou zaneprázdněni a přizpůsobují své e-maily a sociální zprávy s vánoční tématikou tak, aby od příjemců získali co nejvíce osobních a firemních informací.

Využít neznalosti zaměstnanců a jich důvěřivosti je mnohem jednodušší než hledat novou softwarovou zranitelnost jako vstupní bránu do podniků. Zranitelnosti nultého dne mohou stát v hackerském podsvětí tisíce dolarů. Tyto nemalé částky lze ušetřit, pokud se podaří někoho obelstít a přimět ho k instalaci škodlivého kódu na svém přístroji. I zde platí analogie s reálným světem - jednodušší je někoho přemluvit, aby vám otevřel svůj dům, než se snažit otevřít zámek.

Pro zabezpečení sítě společnosti je potřeba komplexní přístup. Není možné se soustředit je na jednu stránku věci. Ačkoli je pro ochranu před útoky klíčovým faktorem vzdělání uživatelů, vlastní proces začíná nastavením stabilní politiky pro ochranu dat. To zahrnuje kontrolu nad tím, kdo má k jakým informacím přístup a nastavení takových pravidel, které bude možno dodržovat bez zzatížení chodu podniku. Poté by měli být zaměstnanci proškoleni a testování, zda nastavené politiky dodržují. Je také důležité, aby informace o proběhlých útocích byly sdíleny jako příklad, jak takový útok vypadá a kolik jeho následky společnost stojí. Školení je nutné provádět pravidelně, pozornost každého z nás časem upadá. Podporou celého systému by pak mělo být zabezpečení sítě a koncových bodů osvědčenými způsoby s využitím nejnovějších bezpečnostních řešení.

David Řeháček

David Řeháček

Autor pracuje ve společnosti Check Point.


Komentáře

RSS 

Komentujeme

Biometrie podle mozku

Pavel Houser , 29. březen 2017 10:00
Pavel Houser

Budou na bankomatech jakási sluchátka pro čtení EEG? Palaniappan Ramaswamy se ve své vědecké práci i...

Více






RSS 

Zprávičky

Uber se kvůli zpřísnění zákona o taxislužbě stahuje z Dánska

ČTK , 29. březen 2017 15:00

Americký provozovatel internetové aplikace pro alternativní taxislužbu Uber Technologies přestane od...

Více 0 komentářů

Kvantové hradlo simuluje přenos kvantových peněz mezi bankami

Pavel Houser , 29. březen 2017 13:00

Vědci z Olomouce jako první ověřili, jak mohou fungovat kvantové peníze. ...

Více 0 komentářů

ČR se v únoru posunula mezi méně bezpečné země

Pavel Houser , 29. březen 2017 11:00

Nejrozšířenější malwarovou rodinou byl v únoru ve světe i v ČR botnet Kelihos. ...

Více 0 komentářů

Starší zprávičky

Musk založil firmu pro propojení lidských mozků s počítači

ČTK , 29. březen 2017 09:30

Neuralink chce vyvíjet mozkové implantáty, které budou přidávat lidem umělou inteligenci.

...

Více 0 komentářů

Váhový software vyžaduje certifikace

Pavel Houser , 29. březen 2017 09:00

Pokladní software myCASH společnosti Kvados uspěl....

Více 0 komentářů

DDoS útoky zločincům v průměru vynášejí

Pavel Houser , 29. březen 2017 08:00

Provedení DDoS útoku stojí pouze 7 dolarů za hodinu (175 Kč), přičemž postižená firma může přijít o ...

Více 0 komentářů

Český prezident měl prý v počítači dětskou pornografii

ČTK , 29. březen 2017 07:00

Pražský hrad se v případě dětské pornografie, kterou podle prezidenta Miloše Zemana někdo nainstalov...

Více 2 komentářů