Informační bezpečnost | 1. díl | Mňamka #309

Uživatel jako lovná zvěř. Proč se vyplatí věnovat pozornost digitální bezpečnosti?

Počítačová, digitální, informační, kyber, … podobných výrazů doplňujících slovo bezpečnost (či mezinárodní ekvivalent security) je mnoho a v některé podobě se s tímto souslovím potkáváme denně. Obklopuje nás, a do značné míry je z něj dnes až klišé. Stejně tak panuje u spousty lidí - a to nejen z řad laické, netechnické, veřejnosti - dojem, že bezpečnost v tomto spojení se jich netýká, že se o ni nemusí zajímat, případně že je to něco obtěžujícího, otravného, co by měl nějaký “ajťák” vyřešit za ně.

Pojďme se na následujících řádcích podívat na to, proč je toto uvažování nejen nesprávné a alibistické, ale taky velmi nebezpečné. A to zejména (i když zdaleka nejen) ve firemní oblasti.

Není asi třeba nijak zvlášť připomínat jaká rizika jsou spojená s jakýmkoli bezpečnostním incidentem ve firmě. Krádež, zneužití či definitivní ztráta dat. Výpadky provozu, nedostupnost služeb. Reputační riziko, ztráta důvěry klientů. Pokuty. V krajním případě až likvidace firmy.

Řetěz je tak pevný, jak pevný je jeho nejslabší článek. V oblasti digitální či informační bezpečnosti toto platí absolutně. Bezpečnost je jednoznačně sdílená odpovědnost. Každý v řetězci má svůj neoddiskutovatelný díl odpovědnosti a každý se na bezpečnosti podílí.. 

V Bizztreat bereme bezpečnost velmi vážně. Koneckonců máme velkou odpovědnost. Z povahy naší práce generujeme či přistupujeme k velkému množství různých dat, tedy diamantů současného digitálního světa. A velmi dobře si uvědomujeme, že odpovědnost leží na každém z nás. Že žádná centrální autorita či např. velká a seriózní cloudová služba, riziko sama o sobě neeliminuje. Proč? 

Pro útoky v digitálním světě totiž platí stejné pravidlo jako u lovu šelem v divočině: nejjednodušší a nejefektivnější je, se zaměřit na nejslabší a nejzranitelnější kus ve stádu.

Ekvivalentem v digitálním světě je pak pro útočníka zařízení uživatele. Velké komerční cloudové služby a na nich běžící aplikace jsou většinou velmi dobře chráněné. Nejrychlejším i nejlevnějším způsobem je tak pro útočníka zneužít zařízení uživatele, který ke cloudovým  službám přistupuje. Zneužít jeho nepozornost, pohodlnost, lehkovážnost či slepou důvěrou v jiný článek řetězu.

Tak jako v mnoha jiných oblastech života, tak i v digitální bezpečnosti platí, že prevence je vždy lepší (v tomto případě i levnější) než řešení incidentu. Jaké jsou tedy ty úplně nejzákladnější doporučené principy, kterými by se měl řídit každý z nás?

1. Aktuálnost koncových zařízení, operačního systému i jednotlivých aplikací

Většina útoků jednoduše využívá známé, zdokumentované a detailně popsané slabiny či díry systému, které jsou v aktuálních verzích již opravené. S ohledem na to nedává smysl dostupnou aktualizaci odkládat, a to ani kvůli obavě z potenciální chyby ve funkčnosti. Toto riziko je většinou zanedbatelné proti riziku, že útočník bude moci ve vašem zařízení pohodlně využívat historické bezpečnostní díry.

2. Mít zařízení zabezpečené, využívat naplno možnosti zabezpečení, které zařízení dovoluje

Absolutním standardem, je zamykání počítače. Pokud to zařízení umožňuje, pak vřele doporučuji využívat pro zabezpečení biometrii (otisk prstu, rozpoznání obličeje) - platí že tento způsob je výrazně bezpečnější než klasický kód či heslo. Navíc bývá pohodlnější. 

Pozor ale na tzv. gesta pro odemykání některých mobilů! To rozhodně nemá s biometrií nic společného a patří to naopak mezi nejhorší způsoby zabezpečení. Dá se velmi jednoduše odpozorovat - stopa prstu na displeji je například v odrazu světla krásně čitelná.

3. Mít na zařízení zapnuté šifrování disku

Šifrování obsahu disku dnes umožňují všechny současné verze operačních systémů. Sice vás to neuchrání před ztrátou dat, ale před jejich únikem - typicky při fyzické krádeži - už ano. A únik dat je noční můrou každé firmy.

4. Zálohovat své zařízení, pravidelně a v co nejkratších intervalech

Záloha je prevencí nejen proti napadení (např. ransomwarem), ale také proti živelné pohromě. Aby mělo takové zálohování smysl je dobré se vyvarovat dvou základních chyb. Jednak zařízení i zálohy nesmí být běžně dostupné ze systému (např. stabilně připojený fyzický či síťový disk) - v takovém případě se totiž případný útok (třeba zašifrování disku právě ransomwarem) nevyhne ani tomuto místu. A jednak v případě zálohy na externí fyzické zařízení (externí disk) jej nemá smysl uchovávat na stejném místě jako primární zařízení (počítač), jelikož případná živelná pohroma sebere obojí a záloha je k ničemu.

5. Mít silná a především pro každou službu či účet jiná hesla, používat dvoufaktorovou autentizaci

Ať už se nám to líbí nebo ne, heslům se nelze vyhnout. Přes všechny technické inovace jsou stále tou základní obrannou hrází. Aby tato hráz fungovala, je třeba hesla používat správně a bezpečně. K tomu slouží dvě základní a vlastně jednoduchá pravidla: používat pro každou službu heslo samostatné (odhalení či krádež jednoho hesla je problém izolovaný, týká se jen jedné služby), a zároveň mít jednotlivá hesla dostatečně silná. Zároveň ale platí, že hesla samotná - ať už jakkoli silná - dnes stačí jen pro ty nejméně důležité a nejjednodušší služby. Zcela standardně a “povinně” bychom tak měli využívat tzv. dvoufaktorovou autentizaci… a pokud možno se zcela vyhnout službám, které tuto možnost stále ještě nenabízí.

Všechny tyto výše uvedené principy jsou zásadní a každý z nich si bezesporu zaslouží hlubší pohled. Berte tedy prosím tento článek jako obecný a úvodní, na nějž si v brzké době dovolím navázat o trochu větším a konkrétnějším detailem.

Zapomněl jsem na něco? Chcete se na něco zeptat? Napište mi. 

Štěpán