Firemní IT bezpečnost v záplavě vánočních a novoročních přání

David Řeháček , 11. prosinec 2012 08:00 0 komentářů
Rubriky: Security
Firemní IT bezpečnost v záplavě vánočních a novoročních přání

Předvánoční období vedle nákupní horečky a celkového shonu znamená také zvýšenou bezpečnostní zátěž pro firemní sítě. Zaměstnanci dostávají ve výrazně větší míře vánoční a novoroční přání, často spojená s nejrůznějším „zábavným“ obsahem, která mohou obsahovat škodlivý link, malware nebo některou z dalších forem sofistikovaných hrozeb. Takto lehce se může infikovat celá síť nebo dojít ke ztrátě dat.

Společnosti se často soustředí pouze na technické zabezpečení sítě, ale i to má své limity. Dle nedávného průzkumu nezávislé společnosti Ponemon většina společností chrání svou síť a data pouze pomocí základních nástrojů jako jsou firewall nebo IPS řešení. Méně než polovina jich pak má pokročilou ochranu pro boj například s botnety nebo APT (Advanced Persistent Threats).

Pro zajištění bezpečnosti, která ustojí i předvánoční nápor, je nutný komplexní přístup. Samotné nasazení základních technologií, ať už se jedná o Application Control, který zjistí, zda se na dálku nespustila nevhodná aplikace, nebo filtrace příchozí a odchozí pošty, eliminující e-maily od neověřených odesílatelů, nestačí. K dosažení úrovně ochrany, potřebné v 21. století je nutné, aby se bezpečnost nenahlíželo jako na pouhý soubor technologií, ale jako na komplexní proces, který zahrnuje tři hlavní dimenze – bezpečností politiku, lidský faktor a nástroje na prosazování bezpečnosti.

Ač si tuto skutečnost většina společností nepřipouští, neinformovaní zaměstnanci jsou pro bezpečnost firemní sítě velkou hrozbou. Zaměstnanec, který nemá základní návyky a neví, jak se v kybernetickém světě chovat, může napáchat mnoho škod a nezabrání mu v tom ani skvělé technologie. Stačí, když klikne na podezřelý odkaz nebo otevře infikovaný soubor a viry nebo hackeři mají volné pole působení. Východiskem jsou pravidelné školení zaměstnanců, kde by měli být vedle základních pravidel chování v kybernetickém světě informováni i o nových bezpečnostních hrozbách. Zaměstnanci jsou pak více obezřetní, což napomůže k zajištění bezpečnosti firemní sítě, jejíž prolomení může způsobit nemalé finanční škody.

Společnosti si musí uvědomit, že chyby, kterých se jejich zaměstnanci dopouštějí v kybernetickém světě, jsou vlastně jejich chybami. Každý z nás se od dětství učí, jak se chovat v reálném světě, ale většina uživatelů internetu si rizika svého chování v kyberprostoru neuvědomuje. Nikdo jim neřekl, proč to či ono není dobré dělat, jaké důsledky to s sebou přináší a kolik může narušení sítě či ztráta dat podnik v konečném důsledku stát. Je důležité mít na paměti to, že v kybersvětě má každý nejen svá práva, ale také povinnosti. Pokud se někdo chová nezodpovědně, nepřímo tak kybezločincům pomáhá.

V souvislosti s nadcházejícími vánočními svátky a novým rokem je třeba upozornit na podvodné e-maily, jejichž výskyt v tomto období každoročně prudce narůstá. V řadě případů jsou adresovány jmenovitě příjemci a mají přílohu, která vypadá jako přání. Takovýto typ oslovení vzbudí v příjemci požadovanou důvěru a sníží míru obezřetnosti. Vždy je nutné použít vlastní rozum a podívat se, zda se opravdu jedná o e-mail od známé osoby. I v takovém případě je ale lepší se spouštění rádoby vtipného obsahu vyvarovat, škody bývají větší než chvilková radost.

Vedle novoročních přání dostávají v tomto období zaměstnanci do svých e-mailových schránek také zvýšený počet nabídek jako nápady na dárky nebo slevy na různé produkty či služby. Jakékoliv jejich otevírání by mělo probíhat se zvýšenou obezřetností, v žádném případě pak není vhodné otevírat přílohy, které mají podezřelou příponu typu „.exe“. Nebezpečné mohou být ale i PDF soubory nebo soubory Microsoft Office s vnořenými odkazy na škodlivé kódy, popřípadě makry přímo vloženými do daného souboru.

Samostatnou kapitolou je nákup dárků přes internet a platby platební kartou. Počet lidí, využívající e-shopy, stále roste a mnoho jich dárky řeší na poslední chvíli. Tak se snadno mohou stát obětí phishingového útoku. Časový a předvánoční stres vede k tomu, že jsou nepozorní a provedou akce, které by jinak neudělali. Příkladem může být nákup na podvodném webu nebo prozrazení údajů o platební kartě.

Hlavním cílem kyberzločinců je získat informace, proto je pro ně předvánoční shon ideální. Vědí, že lidé jsou zaneprázdněni a přizpůsobují své e-maily a sociální zprávy s vánoční tématikou tak, aby od příjemců získali co nejvíce osobních a firemních informací.

Využít neznalosti zaměstnanců a jich důvěřivosti je mnohem jednodušší než hledat novou softwarovou zranitelnost jako vstupní bránu do podniků. Zranitelnosti nultého dne mohou stát v hackerském podsvětí tisíce dolarů. Tyto nemalé částky lze ušetřit, pokud se podaří někoho obelstít a přimět ho k instalaci škodlivého kódu na svém přístroji. I zde platí analogie s reálným světem - jednodušší je někoho přemluvit, aby vám otevřel svůj dům, než se snažit otevřít zámek.

Pro zabezpečení sítě společnosti je potřeba komplexní přístup. Není možné se soustředit je na jednu stránku věci. Ačkoli je pro ochranu před útoky klíčovým faktorem vzdělání uživatelů, vlastní proces začíná nastavením stabilní politiky pro ochranu dat. To zahrnuje kontrolu nad tím, kdo má k jakým informacím přístup a nastavení takových pravidel, které bude možno dodržovat bez zzatížení chodu podniku. Poté by měli být zaměstnanci proškoleni a testování, zda nastavené politiky dodržují. Je také důležité, aby informace o proběhlých útocích byly sdíleny jako příklad, jak takový útok vypadá a kolik jeho následky společnost stojí. Školení je nutné provádět pravidelně, pozornost každého z nás časem upadá. Podporou celého systému by pak mělo být zabezpečení sítě a koncových bodů osvědčenými způsoby s využitím nejnovějších bezpečnostních řešení.

David Řeháček

David Řeháček

Autor pracuje ve společnosti Check Point.


Komentáře

RSS 

Komentujeme

Lithium není zlato

Pavel Houser , 11. listopad 2017 11:11
Pavel Houser

Hádky o české zásoby lithia v předvolebním období prakticky pomíjely jeden dosti podstatný aspekt. C...

Více







RSS 

Zprávičky

Slovenské soudy zakázaly přístup k více než 30 webům s hazardem

ČTK , 17. listopad 2017 09:00

Podobnou úpravu proti nepovoleným hazardním hrám jako Slovensko uplatňují i další členské země EU....

Více 1 komentářů

Foxconnu klesl čtvrtletní zisk o 39 %

ČTK , 17. listopad 2017 08:00

V důsledku slabého zájmu o iPhone 8 a problémům při výrobě iPhone X akcie společnosti za poslední tř...

Více 0 komentářů

MPSV odstoupilo od zakázky na systém dávek za stovky milionů Kč

ČTK , 16. listopad 2017 17:45

Nový systém pro vyplácení dávek za stovky milionů korun úřady práce příští rok mít nebudou. ...

Více 0 komentářů

Starší zprávičky

Europoslanci schválili větší ochranu při nákupech v e-shopech

ČTK , 16. listopad 2017 09:00

Nedůvěra spotřebitelů k nákupu v zahraničí stále přetrvává....

Více 0 komentářů

Apple ovládl trh s nositelnou elektronikou

ČTK , 16. listopad 2017 08:00

Apple v počtu prodaných kusů dosud zaostával za výrobci levnějších fitness náramků....

Více 0 komentářů

Rok 2018 bude pro kontaktní centra ve znamení automatizace a IoT

Pavel Houser , 15. listopad 2017 11:00

Bosch do svých praček montuje snímače, které odhalí, že se buben otáčí 5 000 otáček za minutu namíst...

Více 0 komentářů

Deloitte: Sdílená ekonomika v ČR má potenciál až 60 miliard Kč

Pavel Houser , 15. listopad 2017 11:00

Sdílená ekonomika představuje pro českou ekonomiku i určité riziko. Její rozmach by mohl omezit popt...

Více 0 komentářů