Slabá místa firemní IT bezpečnosti

IT bezpečnost je jedním z nejdůležitějších témat posledních několika let. Bezpečnostní nástroje a mechanismy se neustále vyvíjejí, výrobci dodávají stále důmyslnější řešení, přičemž často stačí pro eliminaci hrozeb dodržovat ta nejzákladnější pravidla (ta, na která si vzpomeneme, když už je pozdě). Navzdory tomu se vyskytují incidenty, jako byly například ransomware WannaCry nebo masivní únik dat Equifaxu, které dokládají, že přístup některých firem k IT bezpečnosti je přinejlepším vlažný.

1682
0
SDÍLET

Denně se dozvídáme o únicích dat, nových typech malwaru a dalších škodlivých prvků, které mohou ohrozit správné fungování firemní IT infrastruktury. Většina interních IT oddělení řeší spíše 100krát za den nefungující tiskárnu, než aby zde ajťáci s úsměvem na tváři přednášeli svým kolegům, jak nenaletět na phishingový e-mail a jak nakládat s firemními IT zdroji. Projděte si pět největších hrozeb pro současné firemní IT, které jsou často důsledkem nedostatečných opatření ze strany společnosti.

Člověk jako hrozba

Nebudeme chodit okolo horké kaše – nejslabším článkem IT bezpečnosti (nejen) ve firmě jsou uživatelé, tedy lidé, zaměstnanci. Není to nijak šokující odhalení, že? Phishingové maily, klikání na podezřelé odkazy, kompromitace pracovních mailů známá jako BEC (business e-mail compromise), ledabyle zvolená hesla ke kritickým aplikacím a službám, neoprávněné nakládání s daty, přechovávání firemních dat na veřejných úložištích, používání soukromého e-mailu k posílání důležitých pracovních dokumentů, zavirované flashky, BYOD a s tím ruku v ruce přicházející shadow IT, procházení rizikových stránek… A to je jen zlomek toho, co se běžně ve firmách děje.

Pro zaměstnavatele jde o složitou situaci – zaměstnanci jsou pro ně největší bezpečnostní hrozbou, přitom je však existence a chod společnosti na těchto lidech přímo závislá. Jak z toho ven? Zcela klíčové je zaměstnance důkladně a kontinuálně vzdělávat v oblasti kyberbezpečnosti. Samozřejmě je zde řada nástrah – uživatelé, kteří jsou zvyklí dělat věci určitým způsobem (například „nosit si práci domů“ na flashce atp.), budou mít jistě námitky k prosazování a vynucování bezpečnostních politik, přesto je zapotřebí, aby všichni pochopili, že jsou aktivními články celkové IT bezpečnosti a na její integritu mají přímý vliv.

Heslo jako pradávné zlo

Volba hesla je nekonečný boj. Najdete řadu návodů, jak má/nemá heslo vypadat, co s čím kombinovat a podle čeho tak, abyste si zapamatovali zběsilé 12místné kombinace velkých a malých písmen, čísel a speciálních znaků. Ve firemní síti a u aplikací a služeb, které zaměstnanci využívají, by se neměla opakovat stejná kombinace a hesla by se neměla překrývat s těmi, která uživatelé používají i pro soukromé služby. Často se ve firmách zavádí bezpečnostní politika, jejíž součástí je výměna hesla každých 30-60 dnů (přestože je tento systém cílem kritiky a jeho účinnost je sporná). Zajistit, aby mezi sebou zaměstnanci nesdíleli svá hesla, je také nadlidský úkol. Někdy pomohou drobné a nenásilné změny – pro začátek například stačí zaměstnancům vysvětlit, že mít sepsané přístupové údaje k firemním zařízením a aplikacím na lepícím papírku umístěném na monitoru není v souladu se zásadami firemní bezpečnosti. Ideální je pak nabídnout schůdnou alternativu – například na počítače instalovat správce hesel.

Na nedostatečnost modelu přihlašovací jméno + heslo upozorňují bezpečnostní experti už několik let. Praktika, která potenciálním útočníkům ztěžuje snadný průnik do důležitého systému nebo služby, je dvoufaktorová autentizace, jež by měla být ve firmách standardem. Není přitom zapotřebí obávat se zdržování se zadáváním dalších ověřovacích kódů a jiných komplikací – přicházejí systémy, které 2FA usnadňují a umožňují využívat například firemní čipové karty nebo jednoduché aplikace v telefonu.

Aktualizace? Ne, děkujeme!

Veškerý používaný software musí být pravidelně updatován. Aktualizace vycházejí pravidelně, ale také v reakci na právě odhalené bezpečnostní hrozby. Proto je ideální sledovat, zda jsou k dispozici updaty pro všechny nástroje, systémy a aplikace. Z nějakého důvodu se u nás dobře zažilo ignorování či dokonce deaktivování aktualizací, což dnes představuje podstatně větší riziko než kdy dříve.

Aktualizace zařízení ve firemní síti je samozřejmě komplikovanější a náročnější, běžní zaměstnanci by při správném nastavení neměli mít oprávnění provádět změny aktualizací. Aktualizace v rozsáhlejších strukturách často doprovázejí „vedlejší efekty“ – mohou ovlivnit chod dalších částí a přidružených systémů. Proto je žádoucí provádět aktualizace tak, aby nebyl ohrožen chod důležitých aplikací, tedy ideálně by updatu mělo předcházet testování a měl by probíhat postupně.

V bezpečnosti se začal objevovat také zajímavý trend – útočníci mají v hledáčku přímo bezpečnostní produkty a jejich slabá místa – ta se snaží zneužít, aby se dostali do firemních zařízení a sítí. Očekává se, že aktivity útočníků budou stále důraznější, předpokládá se, že se silněji zaměří na kompromitaci antivirových nástrojů.

Třetí strana, špatná strana

V dnešní době ale už pro firmy nemusí představovat riziko jen slabý článek v jejich vlastní IT bezpečnosti, ohrozit je může také incident či nedostatek na straně jejich obchodního partnera. Společnost může mít vše v souladu s legislativou, důmyslné vnitřní bezpečnostní politiky, nejmodernější nástroje a software, skvěle vyškolené zaměstnance, ale přesto může prostřednictvím třetí strany dojít k nepříjemnému incidentu.

Segmentace sítě a dedikované servery pro dodavatele a obchodní partnery jsou zárukou toho, že se případné incidenty oddělí od důležité sítě, jejíž výpadek by mohl ohrozit provoz a fungování celé společnosti. Pokud není takové řešení pro společnost možné, je na místě si s obchodními partnery na toto téma promluvit a domluvit si podmínky vzájemné spolupráce. Je důležité se ujistit, že všichni dodavatelé a další spolupracující berou bezpečnost vážně.

BYOD: Přineste si problémy

Možnost přinést si do práce vlastní zařízení a na něm odbavovat veškerou činnost je neuvěřitelně oblíbená, a to napříč segmenty i zaměřením společností. Tento režim s sebou přináší řadu výhod – zaměstnanci si mohou zvolit zařízení, které jim vyhovuje, firma šetří zdroje na pořízení nového vybavení, lidé jsou více flexibilní… Co jsou tedy nástrahy a nedostatky tak skvěle znějícího BYOD? Na svém zařízení mohou mít zaměstnanci cokoliv – mají zde samozřejmě svůj soukromý obsah, ale také často softwarové vybavení a nástroje, jejichž původ nemusí být vždycky legální. Součástí některých aplikací mohou být rizikové prvky, nad nimiž nemá zaměstnavatel žádnou kontrolu. V případě, že je firma nakloněna BYOD, neměla by nechávat ochranu donesených zařízení jen v rukách zaměstnanců. Je často propastný rozdíl mezi úrovní zabezpečení firemních zařízení a těch, která si přinesou zaměstnanci. Bezpečnostní politiky pro BYOD by měly být důsledně dodržovány a vynucovány. Součástí opatření by měla být například virtuální VPN pro přístup do firemní sítě nebo dvoufaktorová autentizace u všech používaných aplikací.

Zaměstnanci svá zařízení také často přenášejí, vyvstává zde tedy i riziko odcizení, přičemž jsou zde často uložena důležitá firemní data. V některých firmách jsou kvůli tomu využívány nástroje, které oddělují firemní data od soukromého obsahu. Data, která patří firmě, pak mohou být šifrována a v případě odcizení zařízení také na dálku odstraněna.

Zodpovědnost na konec

Pro dlouhodobou udržitelnost vysoké úrovně firemní IT bezpečnosti je zásadní, aby byli všichni zaměstnanci obeznámeni se zásadami bezpečného využívání firemních IT zdrojů. Je zapotřebí, aby si koncoví uživatelé uvědomovali svůj vliv na celkovou bezpečnost a byli seznámeni s tím, jaké následky může jejich nedbalost mít. Dodržování správných postupů a zásad může značně zvýšit schopnost společnosti čelit nejnovějším kybernetickým hrozbám.