V jednom z minulých článků jsme probrali definici bezpečnostních incidentů a nastínili, jaké mohou mít dopady. Nabízí se proto logická otázka – jak takovým incidentům můžeme předcházet? Kybernetické hrozby se totiž neustále vyvíjí, útočníci jsou ve svých metodách stále rafinovanější a zlaté pravidlo kyberbezpečnosti říká, že útok se vždy stane, ať už dříve či později. Přinášíme proto několik základních rad, jak vaše data a systémy lépe ochránit.
Tématem, na který se v článku zaměřujeme je prevence, což je základ předcházení kybernetickému incidentu, nicméně nedílnou součástí předcházení bezpečnostního incidentu je i obnova, resp. příprava na obnovu a schopnost ji realizovat. Toto téma je však na samostatný článek, a proto se mu budeme věnovat někdy nadcházejících tématech.
Prevence začíná u uživatele
Nejslabším článkem kybernetických bezpečnostních systémů je bezesporu sám uživatel. Právě na ně totiž útočníci velmi často cílí ve snaze získat přístupové údaje, osobní data a další choulostivé informace. Využívají k tomuto technik tzv. sociálního inženýrství, kdy se útočníci vydávají za administrátora, kolegu či jinak blízkou osobu a obracejí se na uživatele s dotazem na přihlašovací údaje.
Nezřídka je pak jejich metodou i známý phishing - snaha získat přihlašovací či jiné údaje za pomoci falešných e-mailů, zpráv či celých webových stránek, které uživatele vyzývají k zadání citlivých dat.
TIP: Zjistěte více informací o sociálním inženýrství.
Zásadním krokem je vaše zaměstnance naučit hrozby identifikovat. Zde doporučujeme klást velký důraz na osvětu a edukaci ať už formou pravidelných workshopů a seminářů, v nichž se uživatelé naučí rozpoznávat phishing i další metody sociálního inženýrství, nebo samotným cvičným testováním pomocí phishingových kampaní. Rovněž také dohlédněte na to, aby byli zaměstnanci znalí interních bezpečnostních procesů (viz níže).
Základní bezpečnostní návyky
Klíčovou částí ochrany jsou zde rovněž základní návyky; jednoduché úkony, které ale mohou při důkladném dodržování výrazně snížit riziko narušení bezpečnosti. Patří mezi ně například následující:
- zamykat počítač při opuštění pracoviště,
- používat dostatečně silná hesla (kombinujících alespoň 12 znaků, velká a malá písmena, číslice a speciální znaky),
- vyhýbat se podezřelým externím médiím,
- nesdělovat nikomu své přihlašovací údaje, ani s nikým nesdílet svůj firemní účet,
- nepoužívat pracovní počítač k osobním záležitostem,
- neinstalovat na firemní počítače nelegální programy,
- neotevírat podezřelé e-mailové přílohy ani odkazy na web, a vždy si kontrolovat adresu odesílatele,
- apod.
Ačkoliv tyto rady zní velmi samozřejmě, až překvapivě velké množství lidí je nedodržuje. I v roce 2024 tak lze narazit na zaměstnance, kteří si nechávají heslo nalepené na papírku vedle monitoru nebo ze spodu klávesnice.
TIP: Pusťte si druhý díl našeho podcastu věnovaný bezpečnostní směrnici NIS2 a zjistěte, zda se týká i vaší firmy.
Kybernetická bezpečnost s Computerworldem, díl 2.: Připravte se na NIS2
Governance jako základ bezpečnostní politiky
I ty nejlepší bezpečnostní opatření jsou ale k ničemu, pokud nejsou podporovány na bezpečnost navázanými vnitropodnikovými procesy, tj. jasně definovanými pravidly. Ty popisují konkrétní kroky, jak se by se měl uživatel chovat nebo jak kybernetické hrozby vyhodnotit, řešit a do budoucna zajistit, aby se neopakovaly.
Vaše společnost by tedy měla vytvořit komplexní bezpečnostní dokumentaci prostupující všemi úrovněmi managementu. I kvůli tomu je důležité stanovit bezpečnostní role, které budou na jednotlivých úrovních vedení zodpovědné za dodržování bezpečnostních zásad, jejich rozvoj a propagaci bezpečnosti ve společnosti.
Základní takovou rolí je manažer kybernetické bezpečnosti – osoba proškolená pro řízení bezpečnosti informací, která fakticky plní roli prostředníka mezi vrcholovým managementem a operativou. Podpůrné role pak zahrnují například:
- architekta kybernetické bezpečnosti: zajišťuje návrh a implementaci bezpečnostních opatření, a zároveň zajišťuje neustálé zlepšování a rozvíjení systému kybernetické bezpečnosti předkládáním námětů na zlepšení.
- auditora kybernetické bezpečnosti: provádí audit bezpečnostních opatření a nezávislým způsobem hodnotí stav kybernetické bezpečnosti a definuje rizikové oblasti či dává také podněty na rozvoj.
- garanta aktiva: fyzická osoba organizující správu, rozvoj, použití a zabezpečení tzv. aktiv (neboli dat, infrastruktury, komunikačních prostředků, systémů služeb či čehokoliv jiného, co má pro firmu zásadní hodnotu).
Pokud se pak na vaši firmu vztahuje Zákon o kybernetické bezpečnosti, může vás čekat povinnost zřídit tzv. Výbor pro kybernetickou bezpečnost. Ten je definován jako organizovaná skupina osob pověřených řízením a rozvojem kyberbezpečnosti informačních systémů či infrastruktury. Dotyčná vyhláška rovněž stanovuje, že členy výboru musí být zástupci nejvyššího vedení (či vedením pověřená osoba) a stanovený manažer kybernetické bezpečnosti.
TIP: Věděli jste, že bezpečnostní role můžete i outsourcovat? Zjistěte více.
Řízení uživatelských přístupů a tvorba hesel
Silná hesla sama o sobě nestačí. Ve snaze o co nejlepší zabezpečení se nevyhnete ani potřebě efektivního řízení přístupových práv pro uživatele i zařízení. To platí zejména v případě, že vaše firma umožňuje zaměstnancům pracovat z jejich osobních zařízení (tzv. BYOD – Bring Your Own Device), které máte logicky pod menší kontrolou. Zde důrazně doporučujeme využít nástrojů pro správu mobilních zařízení, které umožňují například:
- zálohovat a obnovovat data,
- konfiguraci zařízení a vzdálené přístupy,
- distribuci aktualizací a aplikací (např. antiviry),
- monitoring používání zařízení,
- apod.
Co do uživatelských účtů pak důkladně evidujte úrovně uživatelských účtů (tj. běžné, servisní a administrátorské). Každému uživateli pak přidělujte přístupová práva pouze v rámci principu need-to-know (tj. aby se dostal pouze k těm informacím a nastavením, které potřebuje ke své práci). Administrátoři by rovněž měli mít založený i vlastní neprivilegovaný účet (tedy klasický uživatelský), který mohou využít pro činnosti nesouvisející s administrací. Nezapomeňte přístupová práva pravidelně přezkoumávat a aktualizovat (např. při odchodu zaměstnance, změně jeho role nebo přesunu na jinou pozici).
Ochrana před škodlivým kódem
Na případný útok musí být připravena i vaše samotná síť. Ta musí být navržena tak, aby dokázala kybernetickému útoku co nejvíce vzdorovat. Pokud pak k němu přeci jen dojde, měla by síť umožnit minimalizovat škody.
Konkrétně se zde doporučují následující 3 kroky:
- segmentace sítě, kdykoliv je to možné a opodstatněné (tj. například oddělení segmentů pro testování, provoz, správu a zálohy),
- používání kvalitního a spolehlivého software pro detekci a odstranění hrozeb a jeho pravidelné aktualizace a aktivní činnost nad tvorbou pravidel pro detekci nestandartního chování,
- důkladné zálohování, ideálně podle zásady 3-2-1 (tj. minimálně 3 kopie dat umístěné na 2 oddělená média, z toho 1 uložené v jiné lokalitě).
Nezapomínejte na fyzickou bezpečnost
Kybernetická bezpečnost není pouze o softwaru a IT prostředí. I ten nejlepší program na světě totiž nezabrání fyzické krádeži média, případně průnik neoprávněné osoby do budovy a následnému stažení citlivých dat na fyzické médium.
Zde proto doporučujeme investovat do zabezpečení sídla vaší firmy tak, aby bylo riziko krádeže dat minimalizováno. Opatření mohou zahrnovat například:
- kamerový systém monitorující serverovny či jiné kritické objekty,
- najmutí bezpečnostní agentury pro dozor mimo pracovní dobu,
- omezení přístupu do objektů na základě osobní identifikace (tj. čipové karty), případně rozdělení objektu na sektory přístupné pouze uživatelům s určitými rolemi,
- důkladné zamykání dveří a oken při odchodu,
- nezávislý zdroj napájení,
- apod.
Je pak samozřejmostí, že technická infrastruktura by měla splňovat všechny relevantní standardy a normy dané legislativou. Zároveň je jasné, že fyzická bezpečnost bude potupně utlumována, oproti předchozím obdobím, jelikož se spousta činností přenáší do online světa a data se ve velké míře digitalizují.
Kybernetická bezpečnost jako proces
Výše uvedené je jen malým výsekem celkových opatření, již tento základ vám ale umožní riziko kybernetického útoku výrazně snížit. Zároveň je ale třeba mít na paměti, že kyberbezpečnost není jednorázovým úkonem, nýbrž dlouhodobou a kontinuální činností. Řada firem již podlehla symbolu „magické krabičky“, kdy se vedení domnívá, že instalací bezpečnostních řešení a stanovením politik jejich práce končí.
Opak je pravdou – technické i procesní stránky zabezpečení je třeba průběžně analyzovat, vylepšovat a aktualizovat. Stejně tak byste neměli nikdy rezignovat na průběžné vzdělání zaměstnanců a dbát na to, aby měli informace o všech zásadách a pravidlech bezpečnosti snadno dostupné. Důvod je jasný – kybernetické hrozby se neustále vyvíjí a útočníci často bývají o krok napřed.
Pomůžeme zabezpečit vaše data
Přesvědčily vás předchozí řádky o nutnosti lepšího zabezpečení, nebo byste jen ocenili dobrou radu? V obou případech vám Seyfor pomůže. V rámci našich služeb vám totiž nabídneme komplexní ochranu před kybernetickými útoky pokrývající všechny základní oblasti.
V jednom řešení tak získáte:
- ochranu identit,
- zabezpečení koncových zařízení,
- zabezpečení dat, sítí i aplikací,
- síťové zabezpečení
- a širokou nabídku podpůrných služeb včetně analýzy rizik, školení uživatelů a dalších.