Antiviry, firewally, vícefaktorová ověřování, zabezpečená spojení, složitá hesla. To a mnohem více využívají firmy ve snaze ochránit data a systémy. Dokud ale budou za klávesnicemi sedět lidé, té největší slabiny v oblasti kyberbezpečnosti se jen tak nezbavíte. Nabízí se tedy otázka – co s tím?
Celých 92 % firem v eurozóně zavedlo alespoň jedno opatření pro ochranu svých ICT systémů. Takový je závěr průzkumu Eurostatu pro rok 2022, který zkoumal nejčastěji používané metody kybernetického zabezpečení.
Některé firmy zde spoléhají na silná hesla, jiné dbají na zálohování dat v oddělených lokacích, a některé společnosti restriktivně omezují přístup do své interní sítě. Ať už ale pro svou firmu použijete i to sebevyspělejší opatření, nikdy se nezbavíte jedné z největších bezpečnostních mezer – lidského faktoru.
Pojďme nyní tuto pointu rozvinout a ukázat si pár příkladů toho, co všechno lidský faktor dokáže ohrozit.
Křižáci, Turci a Hillary Clinton
3 příklady z minulosti, které mají jedno společné.
Píše se rok 1098. Vojska křižáků již téměř rok obléhají Antiochii (dnešní turecká Antakya). Obležené seldžucké síly se v prosinci 1097 marně pokusily o protiútok a ve dvojici krvavých bitev byly poraženy i pokusy o prolomení obležení zvenčí. Úspěch ale nemají ani křižáci – pevné hradby Antiochie odolaly všem útokům a z Mosulu se blíží velká turecká armáda. Vítězství jim tak nakonec přináší jediný muž – strážce jedné z věží jménem Firouz, který z dodnes neznámých motivů umožnil křižákům v noci překonat hradby a otevřít malou postranní branku. Křižácké síly následně vtrhly do města a otevřely tak cestu k definitivnímu pádu města. To, co nesvedly zbraně ani hlad, zvládl jediný člověk uvnitř města.
Přesuňme se nyní do roku 1453. Masivní armáda Osmanské říše stojí před branami Konstantinopole. Po celý jeden měsíc se Osmané marně snaží probít se do samotného města, všechny frontální útoky se ale rozbíjejí o slavné Konstantinopolské hradby (které lze dodnes navštívit v istanbulské čtvrti Fatih). Nakonec ale rozhoduje osmanská převaha a využití raného dělostřelectva, s jehož pomocí útočníci hradby prolamují. Definitivně se pak obrana zhroutila poté, co osmanští janičáři pronikli skrze nebráněnou branku Kerkoporta a vyvěsili zde své vlajky. Dodnes není zřejmé, proč tato slabina zůstala nestřežena. Byla důvodem prostá zapomnětlivost některého ze strážných, nebo město padlo vinou zrady? S jistotou se to již asi nikdy nedozvíme.
A nyní skočme do roku 2016, kdy ve Spojených státech vrcholila prezidentská kampaň. Z e-mailu Johna Podesty, volebního poradce Hillary Clinton, uniklo velké množství e-mailových zpráv a souborů obsahujících citlivé informace o zákulisí celé kampaně i americké politiky. Mnoho z těchto e-mailů si později našlo cestu na známý server WikiLeaks. Způsob, jakým se útočníci k datům dostali, byl přitom podle všeho nanejvýš triviální – za všechno mohl phishingový e-mail vyhlížející jako oznámení od společnosti Google, který obsahoval podezřelý odkaz. Stačilo jediné chybné kliknutí a obří kontroverze byla na světě.
Co mají výše uvedené případy společného? Ano, hádáte správně – lidský faktor zmíněný v úvodu článku. Ve všech třech příbězích dokázalo pochybení či zlý úmysl jednoho člověka zničit celá města či vypustit do světa tajné informace. A pokud dokáže jeden člověk způsobit pád pevnosti, jaké následky by mohla lidská chyba mít pro vaše firemní data? Nemusí přitom vůbec jít o zlý úmysl; těžko můžeme Jeremyho Podestu podezřívat ze zlomyslné snahy potopit Hillary Clinton. Stejně tak dokáže vaší firmě pořádně zavařit i zaměstnanec, který ve slabé chvilce klikne na phishingový odkaz. A co je nejhorší – při takovém útoku zevnitř se nelze spolehnout jen na vyspělé bezpečnostní technologie.
Co s tím uděláme?
Zde je třeba přiznat si jednu důležitou věc: dokud ve vašich kancelářích nebudou sedět roboti, riziku lidského pochybení se jednoduše nevyhnete. Můžete ale podniknout kroky, které toto riziko výrazně sníží.
Tip 1: Učit se, učit se, učit se!
Abyste mohli vy i vaši zaměstnanci hrozbám čelit, je nejprve nutné je dobře poznat. Nepodceňujte proto hodnotu pravidelných kurzů kyberbezpečnosti a dbejte na to, aby byli zaměstnanci pravidelně informováni o aktuálních hrozbách a uměli je rozeznávat. Zaměřte se také na budování základních bezpečnostních návyků, jako například zamykání počítačů při odchodu z pracoviště, používání VPN nebo vyhýbání se nezabezpečeným externím médiím. Nevěřili byste, kolik lidí i v roce 2023 nechává své heslo napsané na papírku vedle monitoru.
Tip 2: Vícefaktorové ověřování
I to sebesložitější heslo může být s dostatkem času a prostředků prolomeno. Pokud jej ale doplníte dalšími přihlašovacími prostředky, stane se z hesla solidní obranná bariéra. Nejčastěji používanou metodou jsou dnes SMS zprávy v mobilech nebo ověřovací mobilní aplikace (např. Microsoft Authenticator). Ano, leckomu může nutnost při každém přihlášení běžet pro mobil přijít otravná, nicméně ve srovnání s riziky jde jen o malý detail.
Tip 3: Nezapomínejte na detekci a prevenci útoků
Ať se budete snažit sebevíc, dříve či později k nějakému narušení bezpečnosti přeci jen dojde. V takovém případě se neobejdete bez tzv. governance, neboli na kyberbezpečnost navázaných vnitrofiremních procesů. Ty popisují konkrétní kroky, jak hrozby vyhodnotit, vyřešit a do budoucna zajistit jejich prevenci.
Tip 4: Prioritizace a omezení přístupu
Velmi užitečným krokem pro zajištění bezpečnosti vašich dat je tzv. Principle of least privileges. Při něm zaměstnancům udělíte pouze taková přístupová práva, která nutně potřebují k výkonu své práce. Kromě vyšší bezpečnosti tím zpravidla dosáhnete i lepšího výkonu celého systému a usnadníte svým lidem přístup k pro ně důležitým údajům.
Tip 5: Zajištění koncových zařízení
Ujistěte se, že všechna koncová zařízení mají nainstalovaný odpovídající ochranný software a jejich přístup do firemní sítě je patřičně zabezpečen. Zároveň se vyplatí dohlédnout na to, aby zaměstnanci své pracovní počítače používali skutečně jen k práci a nepoužívali je ke stahování filmů, her či jiných nepracovních souborů. Některé firmy tento problém řeší úplným omezením instalačních práv, jiné spoléhají na poctivost svých lidí a pravidelné vzdělávání.
Braňte svůj datový hrad
Výše uvedené tipy nejsou zdaleka vším, co lze pro snížení vlivu lidského faktoru na kyberbezpečnost učinit. Minimálně vás ale nasměrují správným směrem a v ideálním případě vás přimějí se zamyslet nad bezpečností firemních dat. Pokud byste si pak v tomto ohledu nechali rádi poradit od skutečných expertů, navštivte naše webové stránky a sami si řekněte, v jaké oblasti IT infrastruktury potřebujete pomoci. Nabídneme vám tým expertů a vlastní know-how, které jsme si vytvořili na základě dekád zkušeností s projekty pro firmy všech oborů a velikostí. Dost bylo slov – přesvědčte se sami!