BEZPEČNĚ V ONLINE SVĚTĚ
VÁŠ JEDNODUCHÝ PRŮVODCE NÁSTRAHAMI ONLINE SVĚTA
HROZBY ONLINE SVĚTA
"Roky 2020 a 2021 výrazně změnily náš svět.
Většina lidí a společností se stala plně závislá na online prostředí. Během své práce se bez něj již neobejdou. Ještě více se však změnil pojem online bezpečí a soukromí.
Společnosti, státní instituce, školy a každý, kdo je dnes "online", je cílem kybernetických útoků. Pokud si podobného útoku nejste vědomi, neznamená to, že se vám doposud vyhnul. Nejspíše o něm jen nevíte.”
Radim Trávníček
bezpečnostní specialista, zakladatel BeSecured
HLAVNÍ PRINCIPY BEZPEČNOSTI
DŮVĚRNOST INFORMACÍ
Data a informace jsou určená pouze těm, kdo je vlastní a kdo k nim má mít přístup. Nikomu jinému.
DOSTUPNOST INFORMACÍ
Data a informace musí být dostupná ověřeným a oprávněným lidem ve chvíli, kdy s nimi potřebují pracovat.
INTEGRITA INFORMACÍ
Data a informace musí zůstat konzistentní a nezměněná po celou dobu jejich životního cyklu.
VYHODNOCUJTE RIZIKA
Analýza bezpečnostních rizik je jedním ze základních kroků v řízení bezpečnosti obecně. Bezpečnostní opatření, která se chystáte zavést, musí řešit (a snižovat) konkrétní rizika. Nedává totiž smysl investovat peníze do bezpečnostních technologií, kterými nevyřeším skutečné problémy spojené s mými daty a informacemi.
Proto musí být všechny projekty a investice do bezpečnosti opodstatněné a založené právě na výsledcích analýzy rizik.
Celý proces řízení bezpečnostních rizik se skládá z několika zásadních kroků. Nicméně ještě podstatnější je použití matematického modelu vyhodnocujícího reálné dopady bezpečnostního problému (ideálně a přepočtem na finanční ztráty). Proč? Protože čísla nelžou. Bez jeho použití to bude jen o emocích. Pojem "vysoké riziko" tak bude pro každého znamenat něco jiného.
Abychom mohli dobře řídit bezpečnostní rizika, je třeba mluvit s kolegy společnou řečí.
BEZ VPN ANI PŘIPOJENÍ
VPN (virtual private network) je zabezpečené šifrované spojení mezi dvěmi sítěmi nebo mezi koncovým uživatelem (vámi) a sítí.
Vždy, když se připojujete k internetové síti ať už kabelem, nebo se jedná o WiFi a nemáte tuto síť zcela pod kontrolou, hrozí situace, že na této síti bude někdo sledovat vaši komunikaci. Může vidět jaké stránky navštěvujete a má celkový přehled o vašich online aktivitách.
Jakmile však zapnete VPN spojení, celou svou online aktivitu před těmito lidmi schováte. Nikdo se už nedozví odkud se připojujete, jaké weby navštěvujete, jaká data z internetu stahujete a jaká do onlinu nahráváte.
Mezi riziková místa, kde bych vám nedoporučil se k free Wi-Fi bez VPNky vůbec připojovat, patří:
-
kavárny a restaurace,
-
hotely,
-
letiště a nádraží,
-
přednáškové sály bezpečnostních konferencí
POUŽÍVEJTE UNIKÁTNÍ HESLA
Jedinečnost vašich hesel je nesmírně důležitá pro vaši online bezpečnost.
Webové stránky a online služby jsou čas od času terčem kybernetického útoku, během kterého mohou být ukradeny přihlašovací údaje jejich uživatelů. Tedy i vaše!
Kyberútočníci se pak snaží skrze ukradené přihlašovací údaje získat přístup k vašim dalším online službám či účtům a získat tak vaše data.
Důsledkem takové situace může být smazání všech vašich dat a jejich opětovné zpřístupnění po zaplacení výkupného, ukradená online identita nebo podvodné použití vašich osobních údajů.
Doporučuji proto používat jedinečná a komplexní hesla pro každý váš (online) účet a službu. Minimalizujete tím riziko, že někdo získá přístup k (všem/většině) vašim online účtům najednou a převezme tak kontrolu nad vaší online identitou.
DVOUFÁZOVÉ OVĚŘENÍ
Dvoufázové ověření je nástroj pro ověření vaši online identity pomocí alespoň dvou různých faktorů: něco, čím jste, něco, co máte, nebo něco, co znáte.
-
Něco, co znáte, je přirozeně kombinace vašeho uživatelského jména a hesla.
-
Něco, čím jste, může znamenat autentizaci pomocí otisku prstu nebo rozpoznávání obličeje.
-
Něco, co máte, může být váš mobilní telefon. Pro ověření přístupu k online službě pak můžete být vyzváni k zadání kódu odeslaného prostřednictvím SMS, nebo ke klepnutí na potvrzovací tlačítko v mobilní aplikaci.
Většina známých online služeb již začalo tento přístup vyžadovat a já rozhodně doporučuju dvoufázové ověření u vašich služeb aktivovat.
Pokud se totiž někdo dostane k vašim přihlašovacím údajům, budete moct zatáhnout za "záchranou brzdu" a zabráníte mu tak v přihlášení k vašemu účtu.
PRÁCE NA CESTÁCH
Práce na cestách není v dnešní době nic neobvyklého. Spíše naopak. Čím dál více lidí volí například možnost cestování vlakem, při které mohou efektivně pracovat oproti zápasení s aktuální dopravní situací na cestách s volantem v rukou. Jindy to naopak situace vyžaduje, že v autě strávíte denně několik hodin.
I práce na cestách má svá bezpečnostní rizika v podobě krádeže zařízení nebo odposlechu informací. Rád bych proto zmínil několik doporučení, jak se těmto rizikům vyhnout:
-
Ať už jste ve vlaku, v letištním lobby, v restauraci nebo v hotelu, vždy, když je to možné, používejte VPN připojení.
-
Své pracovní zařízení mějte vždy pod dohledem. Neodkládejte ho na místa, kde hrozí, že jej nepozorovaně jiný cestující "omylem" přibere. Ať už své zařízení odkládáte ve vlaku nebo třeba na zadním sedadle vašeho auta, když si jdete dát oběd během zastávky na benzínce.
-
Pracovní informace a data nejsou určeny lidem kolem vás. Počkejte s pracovními telefonními hovory na okamžik, kdy budete mít soukromí. A své sedadlo si vybírejte tak, aby vám zvědaví sousedé nemohli koukat do monitoru přes rameno.
-
A v neposlední řadě nefoťte své doklady a nesdílejte tyto fotky na sociální sítě jako důkaz o tom, že např. konečně letíte na služební cestu do zahraničí. Nikdy nevíte, kdo tento příspěvek uvidí a s kým ho bude sdílet.
PLAŤTE TELEFONEM
Systém používání platebních karet je zastaralý a celkově nepříliš bezpečný. Místo neustálého vytahování staré kreditní karty plaťte svým mobilním zařízením a používejte služby Apple Pay nebo ekvivalent Androidu - Android Pay.
Nastavení smartphonu jako platebního zařízení je obvykle jednoduchý proces. Obvykle to začíná zadáním informací o platební kartě, kterou budete používat k platbám prostřednictvím mobilního telefonu. A tím nastavení do značné míry končí; jste připraveni.
Výhodou je, že platba neproběhne, dokud ji nepotvrdíte zadáním otisku prstu, zadáním #hesla nebo skenem obličeje na svém mobilním zařízení. Je to tedy vždy vaše vědomá aktivita.
Takové ověření v případě placení platební kartou není možné. Zde stačí přiložit kartu ke čtečce a platba se ihned provede. A do výše 500 CZK není zabezpečena zadáním PINu k vaší kartě.
POUŽÍVEJTE VÍCE EMAILOVÝCH ÚČTŮ
Mít více emailových účtů vám dá možnost oddělit od sebe reklamní a notifikační emaily od těch, které jsou pro vás skutečně důležité. Jeden emailový účet můžete mít například spojený s účty svých sociálních sítí a online her a druhý například používat pro komunikaci se svou bankou a úřady.
Pokud vám pak dorazí phishingový e-mail, který tvrdí, že je z vaší banky, a přijde na účet, který používáte pouze pro sociální sítě, tak budete vědět, že je falešný.
NEUKLÁDEJTE SVÁ HESLA DO PROHLÍŽEČŮ
Ukládání hesel a uživatelských jmen do webového prohlížeče se zdá být dokonalým řešením problému, kdy se snažíte zapamatovat si všechna vaše hesla. Zvláště pokud se řídíte radami odborníků, abyste používali pro každou službu unikátní heslo.
Drobnou výhodou se může zdát skutečnost, že tím ošálíte malware typu keylogger, který zachytává všechny zmáčknuté klávesy vaší klávesnice a odesílá je kyberútočníkovi. Ten si z těchto znaků může odvodit vaše přihlašovací údaje.
I když na první pohled existují důvody, proč nechat prohlížeč ukládat tyto přihlašovací údaje, stále může tato funkce ohrozit zabezpečení vašich dat a třeba i peněz.
Prohlížeče totiž ukládají hesla do speciálních souborů, ke kterým se útočník za určitých podmínek může dostat. Dříve to byly soubory, které nebyly nijak chráněné. Dnes už jsou zabezpečené. I tak se k ním ale kyberútočníci mohou dostat a pak je jen otázka času, zda a kdy se jim povede zabezpečení prolomit a získat tak přístup k vašim online účtům a například i internetovému bankovnictví.
POZNEJTE PHISHING
Phishing je jednou z největších hrozeb, které na běžné uživatele v online světě číhají.
Phishingové emaily mají zpravidla stejné rysy a to tyto:
1️⃣ Odesílatel je posílá ze soukromého emailu, i když má v podpisu uvedenou konkrétní společnost.
2️⃣ Emailová adresa odesílatele se může na první pohled tvářit jako skutečná, ale často je v ní drobný "překlep".
3️⃣ Ještě stále se v těchto emailech objevují gramatické chyby.
4️⃣ Obsah takové zprávy po vás vyžaduje urgentní reakci (většinou kliknutí na odkaz) pod pohrůžkou finanční ztráty, vypnutí vašeho online účtu nebo jiného negativního dopadu.
5️⃣ "Návnada" v takovém emailu bývá často z oblasti "too good to be true", jak říkají Američané. Pokud vás kontaktuje právník z Nigérie, že budete dědit miliony po vašem rodinném příslušníkovi, o kterém jste nikdy neslyšeli, tak to zcela jistě je falešný email.
Totéž platí pro odkazy na sociálních sítích, dokonce i v příspěvcích, které se zdají být od vašich přátel. Pokud se vám příspěvek zdá odlišný od stylu vašeho kamaráda na sociálních sítích, může to být návnada, abyste klikli na odkaz, který stáhne škodlivý kód do vašeho zařízení.
SOUKROMÍ NA SOCIÁLNÍCH SÍTÍCH
V IT světě existuje základní pravda: Pokud za službu neplatíte, nejste zákazník, ale produkt!
Sociální sítě nám usnadňují sdílení myšlenek, názorů, obrázků a dalšího obsahu s našimi přáteli. Ale velmi snadno se stane, že automaticky budete sdílet více, než byste chtěli.
Sociálně sítě jsou na tomto sdílení založeny. Pokud si na sociální síti založíte účet, musíte si být vědomi toho, že z pohledu ochrany vašeho soukromí není nijak zabezpečený a dodatečné nastavení je na vás.
Proto si otevřete nastavení vašich sociálních sítí a důkladně si zkontrolujte záložky "soukromí" a "zabezpečení" a nastavte si je tak, jak uznáte za vhodné a ne tak, jak uznali za vhodné tvůrci sociální sítě.
Zároveň zde platí ještě další základní pravda: Cokoliv jednou umístíte na sociální sítě a do online prostoru, tak už nikdy nebudete mít ve své moci. Jednoduše jste nad tímto obsahem ztratili kontrolu. Nevíte, kdo ho bude číst, kdo si z něj udělá kopii a bude to dál sdílet s lidmi, které neznáte.
FYZICKÁ BEZPEČNOST JE (TAKÉ) DŮLEŽITÁ
🔒 Bezpečnost je komplexní obor a dovolím si říct, že v ní vše souvisí se vším.
✅ Můžete mít výborně zabezpečené #informace v počítači před útokem hackerů.
❌ Ale pokud necháte odložený počítač v brašně ve vlaku mimo váš dohled nebo třeba nezavřete dveře vaší kanceláře, tak v ní pravděpodobně zítra nebudete mít nejen data, ale nebudete v ní mít ani počítače. Anebo pořád budete, ale nebudete vědět, kdo u vás v kanceláři byl a co s vaším zařízením provedl.
Mysleme na to, že kvalitní kybernetická bezpečnost začíná nejen u dvoufaktorového ověření, ale i u kvalitní fyzické bezpečnosti.
AKTUALIZOVANÝ ANTIVIROVÝ PROGRAM
Pravidelně aktualizovaný antivirový program není volitelný luxus, bez něhož byste se mohli ještě dnes obejít. V dnešní době existuje tolik hrozeb, že doslova hrajete s vašimi daty ruskou ruletu, pokud nebudete mít aktuální virovou databázi ve vašem
aktualizovaném antiviru.
Každým dnem totiž vznikají nové a pokročilejší viry a malwary, které by mohly poškodit nejen vaše zařízení a mohou mít dopad také vaši online reputaci nebo pracovní pověst. Kyberútočníci se totiž zaměřují na získání přístupu k vašim informacím. A ty pak mohou jednoduše zneužít nebo použít proti vám.
Proto udržujte svůj antivirový program updatovaný a jeho virové databáze pravidelně aktualizované.
ŠIRŠÍ SOUVISLOSTI
V bezpečnosti vše souvisí se vším, i když to tak na první pohled nemusí vypadat.
Proto je velice důležité vysvětlovat vlastním pracovníkům a kolegům, že i počínání jednotlivce v online a IT světě může mít dlouhosáhlé následky. Jeden zdánlivě neškodný bezpečnostní incident může u vašeho klienta vzbudit celkový pocit, že váš bezpečnostní program a vzdělávání nefunguje. Protože jak je jinak možné, že proškolený kolega způsobí takový problém?
Dnes už i jediný bezpečnostní incident může vést ke zrušení kontraktu pro stovky lidí. O to smutnější pak je, že se mu dá mnohdy předejít i tím, že si budeme vysvětlovat a uvědomovat širší souvislosti a možné dopady takových situací.
SPRÁVCE HESEL
Správce hesel je nástroj, díky kterému si nebudete muset pamatovat všechna svá unikátní hesla. Tento zabezpečený trezor vám také umožní generovat bezpečná hesla a upozorní vás na to, že už vaše heslo bylo kompromitováno. To znamená, že se objevilo v ukradených souborech, které kyberútočníci ukradli dané online službě.
Správců hesel existuje celá řada. Záleží pouze na vás, zda je chcete používat pro soukromé rodinné účely nebo je chcete využívat v pracovní rovině. V obou případech si můžete vybírat z placených verzí stejně jako ještě dnes existuje několik verzí které jsou zcela zdarma.
POZOR NA RANSOMWARE
7 000 000 Kč! I tolik peněz jsou společnosti nuceny zaplatit kyberútočníkům za svá data. Proč?
Jednoduše proto, že jejich pracovník klik na odkaz v emailu, který byl falešný. Nebo si stáhl z veřejného uložiště soubor, o jehož původu nevěděl vůbec nic. A tím do svého počítače a následně i do firemního dostal ransomware. Tedy škodlivý program, který firmě zašifroval všechna data. Včetně záloh!
Proto dávejte pozor na podezřelé emaily, neznámé soubory a své zálohy udržujte v odděleném prostředí.
OTISK PRSTU
Ověřování identity je dnes součást každé online služby a bezpečnostního řešení, kde dochází k přístupu k informacím.
Jednoduchým způsobem, jak můžete úroveň ověřování identity zvýšit je doplnit celý ověřovací systém o ověřování otisku prstu (nebo obličeje), tedy použít biometrické ověření. Jedná se o konkrétní informaci, která je přímo spojená s vašim fyzičnem a zfalšovat ji je velmi složité, ne-li nemožné.
Pokud tedy můžete, začněte používat čtečku otisku prstu/obličeje na svých zařízeních a pokud máte ve svých kancelářích místnosti se zvýšenou úrovní bezpečnosti, např. serverovny, tak vstupní čtečku karet doplňte nebo vyměňte za čtečku otisků prstů.
OCHRANA DAT A INFORMACÍ
Žijeme v informační době. #Informace se staly běžným obchodním artiklem. A abychom plně porozuměli jejich důležitosti, musíme být schopní určit jejich hodnotu a důsledky jejich vyzrazení neoprávněným osobám. Představte si, že by do světa unikl recept na Kofolu nebo Coca Colu. Jaký dopad by to asi mělo na obchodní hodnotu společnosti a budoucí tržby?
A tento trend se už nezmění. Podniky budou nadále zpracovávat a uchovávat citlivé informace o svých zákaznících, své know-how, finanční výsledky a informace, které jim poskytují konkurenční výhody.
Čím dál více těchto informací je a dál bude ukládáno a zpracováváno elektronicky a přenášeno přes firemní sítě nebo internet. A tím se zvyšuje také #riziko neoprávněného přístupu k datům a informacím.
Ty, kdo doposud neřeší ochranu svých dat a informací, know-how, procesů a obchodních plánů, může taková situace přivést k vysokým finančním sankcím, nákladným soudním sporům, ztrátě klientů, pověsti a postavení se zpět na nohy z takové situace jim může trvat roky.
95 % INCIDENTŮ ZPŮSOBÍ VLASTNÍ ZAMĚSTNANCI
Toto číslo se může zdát vysoké, nicméně je tomu skutečně tak. Kolegové, kteří klikají na odkazy v neznámých emailech, stahují soubory z veřejných uložišť nebo se jen baví o interních informacích s lidmi, se kterými by neměli, stojí za většinou všech bezpečnostních problémů.
Jenže jak takové situaci předcházet? Rozhodně vzděláváním kolegů v tom, jak takové podezřelé emaily mohou vypadat, proč nestahovat soubory z veřejných uložišť a že interní informace jsou určeny jen pro vás a pro kolegy. Ne pro kamarády u piva.
Tím to však nekončí. Doplňte pár příkladů z praxe a vysvětlete možné dopady jejich chování. A pak pravidelně vyhodnocujte, zda měla vaše osvěta očekávaný účinek. Pokud ne, tak je potřeba změnit styl vzdělávání a udělat ho více interaktivní a zábavný.
BEZPEČNOSTNÍ NORMY A STANDARDY
Díky bezpečnostním normám, standardům a legislativě nemusíme v oblasti bezpečnosti bloudit a máme doporučený směr, jak bezpečnost uchopit.
Ať už řešíme ochranu osobních údajů, wifi sítí, informací o platebních transakcích, jsme provozovatel kritické infrastruktury nebo po nás klient požaduje certifikovaný systém ochrany informací, tak nám tyto jednotlivé dokumenty určují, jaké oblasti bezpečnosti je nutné řešit, jaké procesní, technické a organizační opatření musíme vymyslet, zavést, udržovat a neustále zlepšovat.
Podle těchto norem a standardů je také možné nechat společnost certifikovat, což je důkazem toho, že bereme bezpečnost vážně a klienti to rádi vidí. Mnohdy je takový certifikát také požadován při výběrových řízeních.
KONTROLUJTE BEZPEČNOST
Jak jinak ověřit, zda je naše bezpečnostní řešení stále schopno odolat aktuálním hrozbám, než ho prověřit nezávislým hodnocením nebo-li auditem.
Ať už takový audit provede kolega z jiného oddělení nebo externí auditor, vždy by měla být dodržena nezávislost. Nejen, že si nesmíte auditovat vlastní práci, ale neměl by ji auditovat ani váš podřízený ze zjištných důvodů.
Audit by rozhodně neměl být "přepadovkou" a neměl by být proveden způsobem "kdo chce psa bít, hůl si najde". To se pak jedná o aktivitu, jejímž cílem je něco úplně jiného. Naopak audit má být dostatečně dopředu naplánován a oznámen včetně rozsahu auditu,
cíle auditu a hodnotící metodiky.
Dnešní doba je hektická a mnohdy jsou interní kapacity poddimenzovány vůči všem projektům, které v organizaci probíhají. To vede k postupnému vypouštění kontrolních mechanismů, jelikož na tyto aktivity jednoduše není čas nebo tento čas žádný klient nezaplatí. O to smutnější je pak zjištění, že se bezpečnostnímu incidentu dalo lehce předejít, protože by se na "ten" nedostatek přišlo během auditu.
Věnujte proto bezpečnostním auditům patřičnou důležitost. Už nejsme v roce 2002, kdy nám jejich vypuštění mohlo projít bez následků.