Firemní IT bezpečnost v záplavě vánočních a novoročních přání

David Řeháček , 11. prosinec 2012 08:00 0 komentářů
Rubriky: Security
Firemní IT bezpečnost v záplavě vánočních a novoročních přání

Předvánoční období vedle nákupní horečky a celkového shonu znamená také zvýšenou bezpečnostní zátěž pro firemní sítě. Zaměstnanci dostávají ve výrazně větší míře vánoční a novoroční přání, často spojená s nejrůznějším „zábavným“ obsahem, která mohou obsahovat škodlivý link, malware nebo některou z dalších forem sofistikovaných hrozeb. Takto lehce se může infikovat celá síť nebo dojít ke ztrátě dat.

Společnosti se často soustředí pouze na technické zabezpečení sítě, ale i to má své limity. Dle nedávného průzkumu nezávislé společnosti Ponemon většina společností chrání svou síť a data pouze pomocí základních nástrojů jako jsou firewall nebo IPS řešení. Méně než polovina jich pak má pokročilou ochranu pro boj například s botnety nebo APT (Advanced Persistent Threats).

Pro zajištění bezpečnosti, která ustojí i předvánoční nápor, je nutný komplexní přístup. Samotné nasazení základních technologií, ať už se jedná o Application Control, který zjistí, zda se na dálku nespustila nevhodná aplikace, nebo filtrace příchozí a odchozí pošty, eliminující e-maily od neověřených odesílatelů, nestačí. K dosažení úrovně ochrany, potřebné v 21. století je nutné, aby se bezpečnost nenahlíželo jako na pouhý soubor technologií, ale jako na komplexní proces, který zahrnuje tři hlavní dimenze – bezpečností politiku, lidský faktor a nástroje na prosazování bezpečnosti.

Ač si tuto skutečnost většina společností nepřipouští, neinformovaní zaměstnanci jsou pro bezpečnost firemní sítě velkou hrozbou. Zaměstnanec, který nemá základní návyky a neví, jak se v kybernetickém světě chovat, může napáchat mnoho škod a nezabrání mu v tom ani skvělé technologie. Stačí, když klikne na podezřelý odkaz nebo otevře infikovaný soubor a viry nebo hackeři mají volné pole působení. Východiskem jsou pravidelné školení zaměstnanců, kde by měli být vedle základních pravidel chování v kybernetickém světě informováni i o nových bezpečnostních hrozbách. Zaměstnanci jsou pak více obezřetní, což napomůže k zajištění bezpečnosti firemní sítě, jejíž prolomení může způsobit nemalé finanční škody.

Společnosti si musí uvědomit, že chyby, kterých se jejich zaměstnanci dopouštějí v kybernetickém světě, jsou vlastně jejich chybami. Každý z nás se od dětství učí, jak se chovat v reálném světě, ale většina uživatelů internetu si rizika svého chování v kyberprostoru neuvědomuje. Nikdo jim neřekl, proč to či ono není dobré dělat, jaké důsledky to s sebou přináší a kolik může narušení sítě či ztráta dat podnik v konečném důsledku stát. Je důležité mít na paměti to, že v kybersvětě má každý nejen svá práva, ale také povinnosti. Pokud se někdo chová nezodpovědně, nepřímo tak kybezločincům pomáhá.

V souvislosti s nadcházejícími vánočními svátky a novým rokem je třeba upozornit na podvodné e-maily, jejichž výskyt v tomto období každoročně prudce narůstá. V řadě případů jsou adresovány jmenovitě příjemci a mají přílohu, která vypadá jako přání. Takovýto typ oslovení vzbudí v příjemci požadovanou důvěru a sníží míru obezřetnosti. Vždy je nutné použít vlastní rozum a podívat se, zda se opravdu jedná o e-mail od známé osoby. I v takovém případě je ale lepší se spouštění rádoby vtipného obsahu vyvarovat, škody bývají větší než chvilková radost.

Vedle novoročních přání dostávají v tomto období zaměstnanci do svých e-mailových schránek také zvýšený počet nabídek jako nápady na dárky nebo slevy na různé produkty či služby. Jakékoliv jejich otevírání by mělo probíhat se zvýšenou obezřetností, v žádném případě pak není vhodné otevírat přílohy, které mají podezřelou příponu typu „.exe“. Nebezpečné mohou být ale i PDF soubory nebo soubory Microsoft Office s vnořenými odkazy na škodlivé kódy, popřípadě makry přímo vloženými do daného souboru.

Samostatnou kapitolou je nákup dárků přes internet a platby platební kartou. Počet lidí, využívající e-shopy, stále roste a mnoho jich dárky řeší na poslední chvíli. Tak se snadno mohou stát obětí phishingového útoku. Časový a předvánoční stres vede k tomu, že jsou nepozorní a provedou akce, které by jinak neudělali. Příkladem může být nákup na podvodném webu nebo prozrazení údajů o platební kartě.

Hlavním cílem kyberzločinců je získat informace, proto je pro ně předvánoční shon ideální. Vědí, že lidé jsou zaneprázdněni a přizpůsobují své e-maily a sociální zprávy s vánoční tématikou tak, aby od příjemců získali co nejvíce osobních a firemních informací.

Využít neznalosti zaměstnanců a jich důvěřivosti je mnohem jednodušší než hledat novou softwarovou zranitelnost jako vstupní bránu do podniků. Zranitelnosti nultého dne mohou stát v hackerském podsvětí tisíce dolarů. Tyto nemalé částky lze ušetřit, pokud se podaří někoho obelstít a přimět ho k instalaci škodlivého kódu na svém přístroji. I zde platí analogie s reálným světem - jednodušší je někoho přemluvit, aby vám otevřel svůj dům, než se snažit otevřít zámek.

Pro zabezpečení sítě společnosti je potřeba komplexní přístup. Není možné se soustředit je na jednu stránku věci. Ačkoli je pro ochranu před útoky klíčovým faktorem vzdělání uživatelů, vlastní proces začíná nastavením stabilní politiky pro ochranu dat. To zahrnuje kontrolu nad tím, kdo má k jakým informacím přístup a nastavení takových pravidel, které bude možno dodržovat bez zzatížení chodu podniku. Poté by měli být zaměstnanci proškoleni a testování, zda nastavené politiky dodržují. Je také důležité, aby informace o proběhlých útocích byly sdíleny jako příklad, jak takový útok vypadá a kolik jeho následky společnost stojí. Školení je nutné provádět pravidelně, pozornost každého z nás časem upadá. Podporou celého systému by pak mělo být zabezpečení sítě a koncových bodů osvědčenými způsoby s využitím nejnovějších bezpečnostních řešení.

David Řeháček

David Řeháček

Autor pracuje ve společnosti Check Point.


Komentáře

RSS 

Komentujeme

Virtuální realitou proti strachu ze smrti

Pavel Houser , 18. červenec 2017 07:00
Pavel Houser

Lidé, kteří reportují „zážitky blízké smrti“, pak mnohdy mají ze smrti menší strach. Nedalo by se to...

Více






Kalendář

22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
27. 08.

31. 08.
VMworld 2017
RSS 

Zprávičky

Policejní úřady USA a EU zakročily proti ilegálním serverům

ČTK , 21. červenec 2017 10:00

Kromě AlphaBay se zásah týkal také ilegálního tržiště darknetu Hansa....

Více 1 komentářů

Poskytovatelé IT služeb budou mít brzy problém uspokojit poptávku

Pavel Houser , 21. červenec 2017 09:00

Poskytovatelé řízených IT služeb (MSP – managed service providers) vidí ve službě cybersecurity-as-a...

Více 0 komentářů

Amazon spustil nákupní sociální síť Spark pro chytré telefony

ČTK , 21. červenec 2017 08:00

Jedná se de facto o křížence Instagramu, Pinterestu a e-shopu....

Více 0 komentářů

Starší zprávičky

V Praze se instalují první chytré lavičky připojené přes síť LoRa

Pavel Houser , 20. červenec 2017 13:28

Lavička TreeSmart nabízí wi-fi připojení, nabíjení mobilních zařízení a senzory snímající vlhkost, t...

Více 6 komentářů

SUSE a Supermicro uzavírají globální partnerství

Pavel Houser , 20. červenec 2017 10:00

Firmy poskytnou řešení pro kritickou infrastrukturu, softwarově definovaná datová centra a integrova...

Více 0 komentářů

Chytrou domácnost vzdáleně řídí 17 % Čechů

Pavel Houser , 20. červenec 2017 09:00

Řízení chytrých domácností v ČR láká hlavně kvůli kontrole nákladů za energie. Ve světě je hlavní mo...

Více 2 komentářů

PayPal a Visa budou nabízet debetní karty v Evropě

ČTK , 20. červenec 2017 08:00

PayPal svou bankovní licenci dosud využíval především k pokladním službám....

Více 0 komentářů