1. O to se postará IT oddělení
Ani ten nejlepší firemní “ajťák” nemůže zabranit úniku dat z firemní infrastruktury, pokud je útok veden přes neproškoleného zaměstnance. Stejně jako pracovník bezpečnostní agentury nemůže zabránit krádeži klíčů nebo vstupní magnetické karty zaměstnanců.
Zabezpečená síť je nutný základ (stejně jako např. zámek ve dveřích), ale nejčastější útok je veden jinou cestou než přes firemní systémy.Jeden z nejslavnějších hackerů, Kevin Mitnick, popisuje ve své knize Umění klamu mnoho překvapivě jednoduchých triků, jak se dostat k údajům, které by měly být utajené. Narostá většina z nich má jedno společné – získávání informací od nepoučených zaměstnanců, které ani nenapadlo, že dělají něco špatně.
“Mnoho útoků zahrnujících sociální inženýrství je důmyslných, založených na řadě kroků, složitém plánování, kombinaci a směsi manipulace a technologických dovedností. Osobně si ale myslím, že schopný sociální inženýr může dosáhnout svého cíle jednoduchým a přímým útokem. Často prostě stačí se někoho zeptat, nebo ho o informace které potřebujete požádat.
Když jsem před časem vypovídal před výborem Kongresu, vysvětlil jsem jim, že hesla i další citlivé informace jsem u řady společností získal prostě tak, že jsem se vydával za někoho jiného a řekl si o ně.”
Pokud již dojde k úniku dat, často nastupuje represe v podobě potrestání zaměstnance, přes kterého údaje unikly. To má pak za následek to, že pokud zaměstnanec zjistí, že se stal obětí útoku, snaží se takový incident skrývat, místo toho, aby ho oznámil nadřízeným nebo IT oddělení a bylo tak možné rychle reagovat a maximálně zmírnit vzniklé škody. Čas v takovém případě hraje obrovskou roli.
Řešení: Proškolený zaměstnanec, který zná možné útoky, snižuje riziko úniku dat exponenciálně.
2. Máme bezpečná hesla
Jedna věc je, že většina uživatelů stále neví, jak vytvářet opravdu bezpečná hesla (i v roce 2017 si první příčku mezi nejpoužívanějšími udrželo heslo{:cs}Heslo je obecný prostředek k ověření totožnosti (... More “123456”), ale ani bezpečnostní politika vynucující dlouhá hesla složená z malých a velkých písmen, čísel a speciálních znaků není samospásná. Pokud je uživatel nucen používat silné heslo{:cs}Heslo je obecný prostředek k ověření totožnosti (... More, často ho pak používá i na dalších účtech. Pak stačí, aby z nějaké služby unikla databáze uživatelů a jejich hesel, a útočník má v ruce klíče k dalším účtům uživatele.
Případně použije funkce “Zapamatovat heslo” v prohlížeči. To je šikovná funkce, která nám umožní nepamatovat si všechna hesla, ale zároveň existuje mnoho volně dostupných nástrojů a technik, které umožní útočníkovi se k těmto heslům jednoduše dostat.
Řešení: Používání specializovaného správce hesel a dvoufázové ověření
3. Nebojím se ztráty dat, pravidelně zálohuji na sdílený disk
Zálohování je důležitou součástí ochrany dat. Nicméně pokud dojde k útoku a disk je připojen k zálohovanému počítači, mohou být smazána nebo poškozena data i na záložním disku (typicky ransomware – útočník zašifruje vaše data a požaduje výkupné za rozšifrování).
Zároveň je riziko, že pokud je záložní disk odcizen, může se útočník dostat k datům, která mají zůstat skryta.
Řešení: “Zálohuj&odpoj”. Záložní disk by měl být připojen pouze po dobu zálohování. Poté by měl být odpojen od systému, aby se k datům nemohl útočník dostat. A data na disku by měla být bezpečně zašifrována, takže ani v případě krádeže disku nebudou pro útočníka čitelná a použitelná.
4. Telefon odemykám bezpečně gestem/otiskem prstu
V mobilních telefonech máme čím dál tim více osobních a firemních dat, jsme většinou neustále přihlášeni do svých emailů či sociálních sítí. Pokud se útočník k telefonu dostane, má takřka neomezenou moc nad naším virtuálním životem. Proto je důkladné zabezpečení našeho telefonu jednou z nejdůležitějších věcí v digitální bezpečnosti.
Odemykáte telefon gestem (spojením bodů na displeji)? Takové odemknutí velmi často zanechá stopu na displeji, která je ve správnem úhlu proti světlu velmi dobře viditelná. Odemknutí takového telefonu útočníkem je pak otázkou několika okamžiků.
Otisk prstu se jeví jako bezpečná alternativa, každý je jediněčný. Problém je, že rekonstrukce otisku prstu je velmi snadná – a nemusí jít nutně o sejmutí otisku např. ze sklenice (nebo samotného telefonu). Lze použít např. fotografii s dostatečným rozlišením (a to má dnes i telefon), která může sloužit jako vzor pro vytvoření kopie otisku. Navíc se výzkumníkům z New York University a Michigan State University podařilo vytvořit jakýsi univerzální otisk, který je schopen odemknou 65 % zařízení.
Řešení: Zabezpečení mobilního telefonu silným heslem a zašifrováním obsahu paměti.
5. Nepotřebuji aktualizace, vše funguje
V softwaru se často objevují chyby. Ty mohou vést k narušení bezpečnosti. Pokud v době objevení takové chyby neexistuje oprava, jedná se o tzv. 0-day exploit. Pokud takovou chybu objeví etický hacker, obvykle kontaktuje vývojáře a ti mají před zveřejněním zranitelnosti čas na opravu a vydání aktualizace softwaru. Po nějaké době je zranitelnost zveřejněna a v tu chvíli je neaktualizovaný software vydán napospas každému, kdo z něj chce získat data nebo ho ovládnout.
Řešení: Aktualizujte co nejčastěji, neodkládejte je. Doba, kdy po aktualizaci např. operačního systému přestaly fungovat důležité programy je již z velké části minulostí. Vývojáři komunikují mezi sebou a na změny v systému tvůrce programů upozorňují s předstihem a ti mají dostatek času se na ně připravit a vydat vlastní aktualizace.
