O bezpečnostních rizicích kolaboračních nástrojů

Už to bude rok, kdy byla naprostá většina firem okolnostmi přinucena zrychlit svou digitalizaci. Část nebo většinu své agendy společnosti převedly do virtuálního prostoru a znenadání stály před výzvou najít nové pracovní nástroje, vytvořit nové komunikační kanály, zabezpečit přístupy svým zaměstnancům z domova a mnoho dalšího. Pravda, ten rok uplynul jako voda.

Během té doby vzestup home officu dal ještě více vyniknout schopnostem cloudových platforem, a to nejen v ukládání a vzdálenému přistupování k datům, ale i v komunikaci a kooperaci na projektech. Kdo dnes není cloud-based, jako by nebyl. Ale adopce nových nástrojů pro naši práci rozšířila možnosti a vektory útoků na tyto platformy. Jak je to tedy s bezpečností kolaboračních nástrojů a co můžeme udělat, abychom při své práci nedávali hackerům příležitost k útoku?

Flexibilita vždy přináší rizika

Cloudové nástroje nám poskytují dřív nevídanou flexibilitu práce, ale tato nesporná výhoda jde ruku v ruce s určitými bezpečnostními riziky. Tak tomu samozřejmě není jen v případě cloudu a byl by omyl mu to zazlívat, jde o objektivně platnou rovnici: podobné je to s celým procesem digitalizace.

Na jednu stranu je dobré říct, že využívání virtuálních pracovních nástrojů je dnes (a nejenom kvůli okolnostem) naprostá nutnost. Na stranu druhou je ale patrné, že ne každá organizace věnuje jejich zabezpečení dostatečnou pozornost. Hon za efektivitou práce se zdá být nekonečný a její bezpečnost pomyslně pokulhává kdesi vzadu.

To, že některým organizacím správa jejich digitálních nástrojů přerůstá přes hlavu, dokumentuje případ nejmenované nadnárodní společnosti, u které poskytovatel platformy Slach evidoval provoz na 70 tisíc zpráv denně, většinou v podobě interní komunikace. Firma proto pověřila tým složený z IT a HR odborníků, aby spolu s poskytovatelem odstranili nepotřebná komunikační vlákna a nástroj pročistili. Zjistilo se, že většina zpráv se ani netýkala byznysu a zaměstnanci si jejich prostřednictvím vyměňovali videa a fotky z dovolených, a také to, že představovaly velké bezpečnostní riziko.

Celý případ podtrhuje to, co jsem napsal už výše. Prvotní důvod, proč se firma do „čistky“ pustila, byl totiž v tom, že jejím představitelům přišla komunikace, která generuje takové množství zpráv, neefektivní a chtěli ji zoptimalizovat. Že jde o velký bezpečnostní problém, se zjistilo až při následném vyšetřování.

Pracovní nástroje jsou lákavý cíl

Bezpečnost kolaboračních nástrojů definují dvě fronty. Na té první je ochrana závislá a garantovaná poskytovatelem platformy, kterým je zároveň poskytovatel veřejného cloudu. Ta druhá spočívá na nás, v chování uživatelů, a na tom, jak se svými nástroji během práce nakládáme. Nejprve pár slov k té dřív zmíněné.

Ať už máme v hledáčku platformy jako Google Drive, Microsoft Teams, Cisco Webex, nebo řešení od jiných velkých poskytovatelů, jejich cloudová prostředí jsou obecně dobře zabezpečená. Tyto společnosti své sítě monitorují, a především se aktivně podílejí na vývoji a adopci nejnovějších bezpečnostních řešení. V tomto smyslu se dá říct, že pro ochranu svých nástrojů dělají, co mohou.

Ukazuje se, že jsou to právě kolaborační nástroje, které stojí v centru pozornosti současných zločinců. Podle statistik útoků na cloudové služby Microsoftu, který patří k těm, které hackeři atakují nejčastěji, se kyberzločinec po prolomení účtu nejprve poohlédne, jestli uživatel nemá účet propojený s Teamsy. Hackeři totiž považují data uložená na této platformě za ta nejcennější, a navíc jim takový účet umožní snadný přístup k dalším uživatelům.

Bezpečnost není samozřejmá ani v cloudu

Mnoho pracovníků i firem bezpečnost cloudových nástrojů považuje za jaksi samozřejmou. Podpisem smlouvy nebo zaplacením předplatného sice společnosti dávají důvěru poskytovatelům, ale to neznamená, že tím je otázka jejich ochrany zodpovězena a už se ni nemusejí starat. Organizace často nevidí skutečnou hodnotu takového spojenectví s technologickým gigantem, totiž možnost z jeho portfolia ochran adaptovat ty, které jsou pro jejich vlastní účely optimální. Samozřejmě to mnohdy vyžaduje proaktivní přístup od obou stran.

Bezpečnost je problém každého, kdo nějaký kolaborační nástroj využívá a nechat se uchlácholit pocitem, že data jsou po přechodu na cloud automaticky v bezpečí, je kritická chyba. Podle statistik většina útoků na velké poskytovatele začíná zneužitím právě těch dat (například ukradených přihlašovacích údajů), která unikla od zákazníků se špatnou kyberbezpečnostní hygienou.

Důležitost ochrany kolaboračních nástrojů je umocněná tím, že tyto nástroje podvědomě považujeme za součást svého vlastního digitálního ekosystému podobně jako u on-premise úložiště. A není tomu tak jen u ukládání dat, stejné je to i s komunikací. Je zajímavé například sledovat, jak se liší přístup a bdělost uživatelů při využívání jednotlivých aplikací, které tvoří digitální platformy.

Vezměme si e-mailového klienta. K jeho schránce jsou uživatelé ostražití, znají totiž rizika, hodně o nich slyšeli. Jakmile jim ale dojde zpráva v prostředí jejich pracovní platformy, chovají se mnohem familiárněji. Jde přece o uzavřené prostředí a své kolegy dobře znají, tak proč by připojený soubor neotevřeli? Navíc, denně jim chodí desítky podobných.

Tuto nebezpečnou psychologii využili hackeři při útoku na uživatele Google Drivu v prosinci minulého roku. Z prostředí samotné platformy rozesílali legitimně působící notifikační zprávy, které pracující uživatele upozorňovaly, že někdo z kolegů změnil termíny v kalendáři nebo okomentoval textové soubory. Samozřejmě, link z nich nevedl zpátky do pracovního cloudu, ačkoliv se tak na první pohled tvářil, ale kamsi na nebezpečné ruské weby.

Nejenom uživatelé se ale v prostředí svých pracovních nástrojů chovají jinak, dokonce i hackeři mění svůj přístup. Vezměme si už zmíněné útoky na platformy Microsoftu, váže se k nim zajímavý fakt. Na rozdíl od phishingových kampaní pro e-mailové klienty Officu 365, které cílí na širokou škálu náhodných uživatelů, se zločinci v útocích na aplikaci Teams mnohem více zaměřují na specifickou kořist. Vektor jejich útoku je často sofistikovanější a nebojí se vyčkávat.

Nové typy útoků, ale známé schéma ochrany

Za ten rok, co se digitální nástroje staly mainstreamem, se strategie zločinců značně vyvinuly. Stejně tak ale prošly vývojem samotné platformy, jejich bezpečnostní řešení jsou lepší než kdy dřív. Co ale mají dělat samotné firmy, které kolaborační nástroje denně používají? Těm nezbývá než svou ochranu adaptovat. Nemusí to být ale tak obtížné, protože podle odborníků stále platí staré a osvědčené metody. Zde je několik z nich.  

• Pečlivá správa oprávnění a přístupů

Většina nástrojů pro kolaboraci je multiplatformní, pracují jako komunikátory a úložiště zároveň, často obsahují kalendáře a plánovače, nabízejí mnoho pluginů, a navíc se propojují s jinými platformami. Jinak řečeno, často je snadné ztratit přehled, kdo je do vašeho pracovního prostředí připojený a k čemu má přístup. To platí zvlášť pro středně velké a větší firmy. Některé platformy naštěstí obsahují nástroje pro kontrolu a správu účtů a oprávnění, nepodceňujte tedy jejich význam.    

• Sledujte, jak sdílíte soubory

Mnozí jistě namítnou, že ochrana sdílených dat je samozřejmá, ale některé chyby s ní spojené děláme stejně běžně a samozřejmě. Typickým příkladem může být konverzace v pracovním chatu. Některé komunikátory při přizvání nových uživatelů do konverzace vytvoří nové vlákno, jiné zase nikoliv. Pokud jste svému kolegovi před měsícem poslali citlivé údaje a někdo nový je ve výpisu zpráv najde, je zaděláno na problém. Většina organizací se v tomto smyslu kryje tak, že využívá pro sdílení souborů jiné kanály než pro pracovní komunikaci, například VPN. V tom případě je ale potřeba se ubezpečit, že ke vzdálenému připojení používáte spolehlivou a bezpečnou síť, a ne tu veřejnou v kavárně.

• Pozor na kopie všemožných kopií

Mějte přehled nad tím, co stahujete a kopírujete. Když ve své kolaborační platformě otevřete soubor, tušíte, co se s ním stane? Spustí se jen v prostředí platformy, nebo se stáhne do vašeho počítače? Vytváří vaše platforma dočasné kopie souborů do paměti? Stažená data vám sice mohou usnadnit práci, ale stejně tak ji mohou usnadnit i hackerům.

Díky provázanosti nástrojů a aplikací je sice možné přistupovat k datům vlastně odkudkoliv, ale také to dost možná znamená, že se na různých místech cloudu a lokálního úložiště válejí různě citlivé informace. V případě uložených dat na vašem chráněném PC to nemusí představovat problém, je ale otázkou, jestli jsou v bezpečí data, která najdete na svém mnohem méně bezpečném telefonu. Ostatně, na 36 % zaměstnanců uvádí, že ke zjednodušení své práce pravidelně používají svůj vlastní smartphone.

• Zaveďte pevná a jasná pravidla práce

Nejdůležitějším předpokladem bezpečnosti je její správné nastavení, a to platí i pro kolaboraci. Při závodu za efektivitou práce bychom neměli zapomínat, že bez fungující a promyšlené ochrany žádná práce efektivní není a ani nemůže být. Každá organizace, každá pracovní skupina by si měla dopředu nadefinovat, co ke své práci potřebuje a kam sahají pravomoce jednotlivých uživatelů. Pevné zásady bezpečnosti kolaborace by měly být stanovené pozitivně i negativně, každý by tak měl vědět, co při práci dělat, a čemu se naopak vyvarovat.

Posledním bezpečnostním aspektem, který může kterákoliv firma implementovat, je zajistit, aby všichni zaměstnanci tyto zásady dobře znali, a vytvořit pro ně takové prostředí, ve kterém budou schopni se jimi skutečně řídit. A to za předpokladu co nejmenšího odporu nebo úbytku už tolikrát zmíněné efektivity.