27.05.21

Poučený zaměstnanec je bezpečný zaměstnanec

Poučený zaměstnanec je bezpečný zaměstnanec

Při zajišťování IT bezpečnosti se firmy často spoléhají na rozšířená a renomovaná bezpečnostní řešení. Avšak žádné, byť seberobustnější, není zárukou absolutní bezpečnosti. Podle společnosti Vircom má totiž 52 % úspěšných průniků do firemních informačních systémů má na svědomí lidské selhání.

Lidé jsou jen lidé

Jsou to lidé, zaměstnanci, kdo omylem nebo z neznalosti klikne na infikovanou přílohu e-mailu nebo nedopatřením či dokonce záměrně navštíví infikované webové stránky. Jsou to zaměstnanci, kdo si dostatečně nechrání svoje hesla a přístupové údaje, kdo si posílá citlivé pracovní dokumenty na svůj soukromý a často nijak nezabezpečený email či kdo sdílí nijak nechráněné pracovní soubory s kolegy přes veřejná datová úložiště, kde si je může přečíst doslova každý. Jsou to zase jenom lidé, zejména manažeři, kdo si bez ohledu firemní bezpečnostní politiky, nařízení a doporučení do pracovního počítače nebo mobilu instaluje aplikace, které tam nemají co dělat. Nemluvě o nejrůznějších bezpečnostních výjimkách udělovaných vedoucím pracovníkům firem často pod nátlakem. A jsou i zaměstnanci, kteří se z nejrůznějších důvodů dokážou svým zaměstnavatelům mstít nebo jim škodit.

Je tu také sociální inženýrství

Sociální inženýrství označuje techniky psychologické manipulace s lidmi s cílem získat od oběti informace, mnohdy i zdánlivě nepodstatné a nijak utajované, nebo ji přesvědčit, aby něco udělala, např. otevřela přílohu emailu. Zneužívá při tom běžných lidských vlastností, jako jsou dobrota, ochota pomoci, zodpovědnost nebo naopak snaha ušetřit či chamtivost. V domnění, že koná v dobré víře, člověk pak prozradí falešnému servisnímu technikovi do telefonu třeba heslo k počítači nebo otevře infikovanou přílohu emailu a vpustí do firemní sítě ransomware.

Nikdo není v absolutním bezpečí

Bezpečnostní infrastruktura hraje pro zajištění kybernetické bezpečnosti hlavní a naprosto klíčovou úlohu. Musí být navržena a provozována tak, aby dokázala odfiltrovat maximální množství útoků, což dost závisí na charakteru činnosti firmy nebo organizace, dokáže bezpečnostní infrastruktura zachytit naprostou většinu útoků a pokusů o průnik škodlivého softwaru. Pořád to ale nejsou všechny a na skutečnost, že virus nebo jiný vetřelec pronikne do sítě, je proto třeba být připraven. Ideálním vodítkem pro prevenci může být např. audit bezpečnosti.

Nedat virům šanci

Především je třeba neusnadnit viru pronikat hlouběji do podnikové sítě, infikovat další počítače a páchat škody. I s nevelkými náklady lze uskutečnit řadu opatření, zejména administrativních, která pomohou útoku čelit. Zbrzdit šíření viru v síti lze např. její vhodnou segmentací. Minimalizace práv uživatelů pouze na ta, která ke své práci opravdu potřebují, může zredukovat rozsah způsobených škod. Naprosto nezbytné je mít vytvořené spolehlivé zálohy a předem připravené a odzkoušené plány, procesy a postupy obnovení, aby návrat k běžnému provozu byl co nejjednodušší a nejkratší.

Poučený zaměstnanec znamená bezpečný zaměstnanec

Českými firmami hluboce opomíjenou součástí zajišťování kybernetické bezpečnosti je vzdělávání zaměstnanců. Zaměstnanec bez povědomí o základech bezpečného chování v kyberprostoru může firmě velice uškodit. Statistiky ukazují, že většinu napadených firem a organizací spojují dvě věci: velmi solidní systém IT ochrany, ale málo poučení zaměstnanci. Přitom 94 % útoků pochází z infikovaných emailů. Základní školení zaměstnanců o kybernetické bezpečnosti a chování na internetu by měla být součástí kultury každé firmy a instituce. Nemusí přitom nutně jít o nezáživné několikahodinové kurzy. Vštípit zaměstnancům základní znalosti o tom, co dělat, když přijde například podezřelý email, když se nemůžou přihlásit do cloudu, jak nakládat s hesly a citlivými informacemi, jak neposílat kolegům soubory či jak nezmatkovat a co dělat, když zjistí, že jejich počítač je napaden, lze uskutečnit třeba formou besedy. Např. České Radiokomunikace svým zákazníkům takovou možnost poskytují.

Když už dojde ke katastrofě

Mnohé firmy a organizace nejsou připraveny ani na situaci, že se stanou obětí kybernetického útoku a, obecně, i jiné fatální katastrofy. Různé studie ukazují, že nanejvýš 40 % firem, a to celosvětově, má pro tento případ zpracované alespoň nějaké plány obnovy, o analýzách dopadů už vůbec nemluvě. Řada firem nedisponuje ani použitelnými zálohami, a když přijde na obnovu dat a aplikací, nastanou komplikace. Zdaleka ne všechny firmy nebo instituce vůbec tuší, jak bezpečnostní incident komunikovat, a to nejenom vůči státním orgánům či policii, ale třeba co sdělit, nebo nesdělit, svým zákazníkům, partnerům a dodavatelům, co říci svým zaměstnancům a jak událost komunikovat s médii.

Ať ve vlastní režii, nebo v cloudu

Vše dosud řečené platí stejně, ať už si IT infrastrukturu provozuje firma nebo organizace sama ve svých prostorách a ve své režii, má ji dislokovánu v datovém centru nebo virtualizovánu v cloudu. Platí samozřejmě, že solidní poskytovatel služeb datového centra nebo cloudu obvykle disponuje kvalitnější a robustnější úrovní ochrany infrastruktury, než si může dovolit samostatná firma. Nicméně, ať je IT infrastruktura umístěna kdekoliv, vždycky jsou k ní prostřednictvím svých počítačů, notebooků, tabletů a mobilních telefonů připojeni lidé a v drtivé většině případů je nějak propojena s internetem. Pak platí v úvodu napsané, že 52 % úspěšných průniků do firemních informačních systémů má na svědomí lidské selhání.

Využijte zkušeností

České Radiokomunikace, na trhu působí pod značkou CRA, provozují a poskytují svým zákazníkům vysoce spolehlivou a bezpečnou infrastrukturu. Na jejich služby spoléhá i kritická infrastruktura státu. Využívají pokročilé technologie a disponují vysoce erudovanými odborníky.

Tým CRA pro kybernetickou bezpečnost (CSIRT tým) je součástí řady pracovních skupin zaměřených na rozvoj a udržení kybernetické bezpečnosti v České republice. CRA nabízí kompletní portfolio služeb pro ochranu zákaznické infrastruktury. Zákaznická data v cloudovém prostředí jsou navíc šifrovaná a nakládá se s nimi podle aktuálních směrnic ISO.

CRA jsou držiteli osvědčení Národního bezpečnostního úřadu (NBÚ) pro seznamování se s utajovanými informacemi pro stupeň utajení „tajné“, takže fyzická i kybernetická bezpečnost je něco, co rozhodně nepodceňují. A o své nejlepší zkušenosti a know-how jsou CRA připraveny se podělit i s českými komerčními subjekty. Začít se dá například bezpečnostním auditem, který odhalí, na jaké oblasti kybernetické bezpečnosti je potřeba se zaměřit.