Informační bezpečnost | 1. díl | Mňamka #309

Uživatel jako lovná zvěř. Proč se vyplatí věnovat pozornost digitální bezpečnosti?

Počítačová, digitální, informační, kyber, … podobných výrazů doplňujících slovo bezpečnost (či mezinárodní ekvivalent security) je mnoho a v některé podobě se s tímto souslovím potkáváme denně. Obklopuje nás, a do značné míry je z něj dnes až klišé. Stejně tak panuje u spousty lidí - a to nejen z řad laické, netechnické, veřejnosti - dojem, že bezpečnost v tomto spojení se jich netýká, že se o ni nemusí zajímat, případně že je to něco obtěžujícího, otravného, co by měl nějaký “ajťák” vyřešit za ně.

Pojďme se na následujících řádcích podívat na to, proč je toto uvažování nejen nesprávné a alibistické, ale taky velmi nebezpečné. A to zejména (i když zdaleka nejen) ve firemní oblasti.

Není asi třeba nijak zvlášť připomínat jaká rizika jsou spojená s jakýmkoli bezpečnostním incidentem ve firmě. Krádež, zneužití či definitivní ztráta dat. Výpadky provozu, nedostupnost služeb. Reputační riziko, ztráta důvěry klientů. Pokuty. V krajním případě až likvidace firmy.

Řetěz je tak pevný, jak pevný je jeho nejslabší článek. V oblasti digitální či informační bezpečnosti toto platí absolutně. Bezpečnost je jednoznačně sdílená odpovědnost. Každý v řetězci má svůj neoddiskutovatelný díl odpovědnosti a každý se na bezpečnosti podílí.. 

V Bizztreat bereme bezpečnost velmi vážně. Koneckonců máme velkou odpovědnost. Z povahy naší práce generujeme či přistupujeme k velkému množství různých dat, tedy diamantů současného digitálního světa. A velmi dobře si uvědomujeme, že odpovědnost leží na každém z nás. Že žádná centrální autorita či např. velká a seriózní cloudová služba, riziko sama o sobě neeliminuje. Proč? 

Pro útoky v digitálním světě totiž platí stejné pravidlo jako u lovu šelem v divočině: nejjednodušší a nejefektivnější je, se zaměřit na nejslabší a nejzranitelnější kus ve stádu.

Ekvivalentem v digitálním světě je pak pro útočníka zařízení uživatele. Velké komerční cloudové služby a na nich běžící aplikace jsou většinou velmi dobře chráněné. Nejrychlejším i nejlevnějším způsobem je tak pro útočníka zneužít zařízení uživatele, který ke cloudovým  službám přistupuje. Zneužít jeho nepozornost, pohodlnost, lehkovážnost či slepou důvěrou v jiný článek řetězu.

Tak jako v mnoha jiných oblastech života, tak i v digitální bezpečnosti platí, že prevence je vždy lepší (v tomto případě i levnější) než řešení incidentu. Jaké jsou tedy ty úplně nejzákladnější doporučené principy, kterými by se měl řídit každý z nás?

1. Aktuálnost koncových zařízení, operačního systému i jednotlivých aplikací

Většina útoků jednoduše využívá známé, zdokumentované a detailně popsané slabiny či díry systému, které jsou v aktuálních verzích již opravené. S ohledem na to nedává smysl dostupnou aktualizaci odkládat, a to ani kvůli obavě z potenciální chyby ve funkčnosti. Toto riziko je většinou zanedbatelné proti riziku, že útočník bude moci ve vašem zařízení pohodlně využívat historické bezpečnostní díry.

2. Mít zařízení zabezpečené, využívat naplno možnosti zabezpečení, které zařízení dovoluje

Absolutním standardem, je zamykání počítače. Pokud to zařízení umožňuje, pak vřele doporučuji využívat pro zabezpečení biometrii (otisk prstu, rozpoznání obličeje) - platí že tento způsob je výrazně bezpečnější než klasický kód či heslo. Navíc bývá pohodlnější. 

Pozor ale na tzv. gesta pro odemykání některých mobilů! To rozhodně nemá s biometrií nic společného a patří to naopak mezi nejhorší způsoby zabezpečení. Dá se velmi jednoduše odpozorovat - stopa prstu na displeji je například v odrazu světla krásně čitelná.

3. Mít na zařízení zapnuté šifrování disku

Šifrování obsahu disku dnes umožňují všechny současné verze operačních systémů. Sice vás to neuchrání před ztrátou dat, ale před jejich únikem - typicky při fyzické krádeži - už ano. A únik dat je noční můrou každé firmy.

4. Zálohovat své zařízení, pravidelně a v co nejkratších intervalech

Záloha je prevencí nejen proti napadení (např. ransomwarem), ale také proti živelné pohromě. Aby mělo takové zálohování smysl je dobré se vyvarovat dvou základních chyb. Jednak zařízení i zálohy nesmí být běžně dostupné ze systému (např. stabilně připojený fyzický či síťový disk) - v takovém případě se totiž případný útok (třeba zašifrování disku právě ransomwarem) nevyhne ani tomuto místu. A jednak v případě zálohy na externí fyzické zařízení (externí disk) jej nemá smysl uchovávat na stejném místě jako primární zařízení (počítač), jelikož případná živelná pohroma sebere obojí a záloha je k ničemu.

5. Mít silná a především pro každou službu či účet jiná hesla, používat dvoufaktorovou autentizaci

Ať už se nám to líbí nebo ne, heslům se nelze vyhnout. Přes všechny technické inovace jsou stále tou základní obrannou hrází. Aby tato hráz fungovala, je třeba hesla používat správně a bezpečně. K tomu slouží dvě základní a vlastně jednoduchá pravidla: používat pro každou službu heslo samostatné (odhalení či krádež jednoho hesla je problém izolovaný, týká se jen jedné služby), a zároveň mít jednotlivá hesla dostatečně silná. Zároveň ale platí, že hesla samotná - ať už jakkoli silná - dnes stačí jen pro ty nejméně důležité a nejjednodušší služby. Zcela standardně a “povinně” bychom tak měli využívat tzv. dvoufaktorovou autentizaci… a pokud možno se zcela vyhnout službám, které tuto možnost stále ještě nenabízí.

Všechny tyto výše uvedené principy jsou zásadní a každý z nich si bezesporu zaslouží hlubší pohled. Berte tedy prosím tento článek jako obecný a úvodní, na nějž si v brzké době dovolím navázat o trochu větším a konkrétnějším detailem.

Zapomněl jsem na něco? Chcete se na něco zeptat? Napište mi. 

Štěpán

Štěpán Horák

datový detektiv

LinkedIn

Základní pojmy v datovém modelování | Mňamka #457

Základní pojmy v datovém modelování | Mňamka #457

Co je to datový model? Jaký je rozdíl mezi konceptuálním a logickým modelem? A k čemu slouží proces tzv. normalizace? Bez datového modelování se dnes v BI obejdete už jen stěží, Kuba si o něm proto připravil krátkou minisérii, ve které si vše probereme od úplných základů. V prvním díle se seznámíme s nejdůležitějšími pojmy, které byste v této souvislosti měli znát, a na jednoduchém příkladu z oblasti sales si ukážeme, jak takový datový model vlastně vypadá. Tak pojďme na to!

MAQL II. - MAQL Reuse factů & Nesting metrik | Mňamka #454

MAQL II. - MAQL Reuse factů & Nesting metrik | Mňamka #454

Proč se vyplatí recyklovat metriky v MAQL? Máme tady pokračování naší krátké minisérie o dotazovacím jazyku MAQL od Péti. V minulém díle jsme si osvětlili základní rozdíl mezi SQL a MAQL a dnes se zaměříme na výhody metrik vytvořených pomocí MAQL a jejich recyklaci. Funguje to přitom podobně jako v případě klasické recyklace surovin. Pokud ji dělat nebudete, ušetříte si možná půl minutky práce, v budoucnu se vám to ale může velmi nepříjemně vrátit. Tak se na to pojďte podívat!

Šaty dělají kód aneb Proč je někdy lepší kebab než velbloud | Mňamka #441

Šaty dělají kód aneb Proč je někdy lepší kebab než velbloud | Mňamka #441

I špatný standard může být lepší než žádný standard. Bez toho totiž ve vašem kódu velmi snadno zavládne chaos. V praxi se např. často stává, že lidé halabala kombinují různé druhy uvozovek, míchají malá a velká písmena v pojmenování proměnných nebo se pro jistotu vůbec žádných jmenných konvencí nedrží. Ostatně, Tomáš už se o tom mnohokrát přesvědčil na vlastní pěst. Sepsal pro vás proto mňamku, ve které si připomeneme, proč byste přece jen nějaký standard při psaní kódu mít měli!