Viete, že aj tie najmenšie firmy sa stávajú obeťami kybernetických útokov, pri ktorých prichádzajú o množstvo dát a cenných údajov? Čo by mala firma v kybernetickom priestore chrániť, aké sú riziká a čo je možné urobiť pre ochranu?
Čo potrebuje firma chrániť
Bezpečnostné ohrozenia v kybernetickom priestore sú čoraz častejšie. Útočníci prichádzajú vždy s novými taktikami a tak hrozí poškodenie, ukradnutie alebo zneužitie rôznych údajov. Akých?
Osobné údaje – každá bežná firma, ktorá má zákazníkov alebo hoci len zamestnancov, zbiera osobné údaje. Podľa Nariadenia o ochrane osobných údajov (GDPR), ktoré platí vo všetkých členských krajinách EÚ, je firma povinná chrániť tieto osobné údaje, inak jej hrozia veľmi vysoké pokuty.
Dáta – napríklad finančné, právne, účtovné a iné dáta
Know – how – rôzne marketingové stratégie, informácie o vývoji nového produktu a pod.
Ďalšie informácie – napríklad budúce plány firmy, cenotvorba a pod.
Aké sú riziká?
Riziká delíme do dvoch kategórií:
Interné riziká – sú to samotní zamestnanci, ktorí cielene alebo aj náhodne môžu prezradiť a zneužiť dôležité informácie a poškodiť tak firmu
Externé riziká – Malware, Phishing, DDoS, Ransomware, Hacking, Využitie známych, ale aj Zero-day zraniteľností, MitM útoky, SQL injekcie, XSS, Social Engineerign a veľa ďalších
Ktoré riziká sú horšie? Obe skupiny sú porovnateľne devastujúce, avšak závisí to od konkrétnej firmy – charakteru podnikania, od hodnoty alebo množstva dát, ktoré uchováva. To znamená, že v praxi je nevyhnutné riešiť tak externé, ako aj interné riziká.
Čo firmy ohrozuje si môžete pozrieť v grafe.
Externé a interné riziká
Myslíte, že vás alebo vašej firmy sa riziko netýka?
Téma kybernetickej bezpečnosti sa dotýka každého jednotlivca a špeciálne každej firmy, ktorá spracúva osobné údaje a iné dáta. Každý je totiž zodpovedný za svoje dáta, služby a zariadenia, ktoré prevádzkuje.
Ak si nie ste zabezpečením údajov vo vašej spoločnosti istý, skúste si položiť niektorú z nasledujúcich otázok:
Analyzujete prevádzkové záznamy (logy) alebo sieťovú prevádzku aplikácií, databáz, sieťových prvkov, endpointov, priemyselných komponentov?
Korelujete výsledky analýz s inými bezpečnostne relevantnými dátami?
Používate ML a AI na vyhodnocovanie a predikciu incidentov?
Riadite kybernetickú bezpečnosť systematicky?
Pokiaľ ide o verejne prístupnú WiFi pre návštevy, tá by mala byť prevádzkovaná na oddelenej VLAN vo vlastnej bezpečnostnej zóne. Jej prevádzka musí byť analyzovaná. Vhodné je tiež uchovávať logy, aby ste v prípade potreby dokázali poskytnúť súčinnosť orgánom činným v trestnom konaní.
Aj WiFi pre zamestnancov by mala byť prevádzkovaná zodpovedne. Čo to znamená? Používajte WPA2 – Enterprise. Manažujte certifikáty, aby ste mali perfektný prehľad o zariadeniach v sieti. Vhodné je prevádzku monitorovať a analyzovať.
Zamyslite sa tiež nad tým, či máte perfektne segmentovanú LAN sieť. Máte definované bezpečnostné zóny? Máte zabezpečené prestupy medzi zónami firewallmi? Máte IDS a IPS systémy? Monitorujete a analyzujete prevádzku?
K ďalším zásadám bezpečnosti patrí tiež to, že sieťové tlačiarne nesmú byť vo verejne prístupných priestoroch. Samozrejmosťou je zodpovedné používanie NAC s protokolom 802.1x.
Najčastejšie spôsoby prieniku do siete
Smart systémy – „útok od boku“
Veľké riziko predstavujú aj rôzne smart systémy, a to napríklad:
HVAC (kúrenie, vetranie, klimatizácia)
Výťahy, kotolne a budovy ako také
Všetky systémy, obsahujúce akékoľvek PLC (Programmable Logic Controller)
Všetky kontrolné a riadiace systémy (SCADA, ICS, DCS)
Akékoľvek „connected“ zariadenie sa môže stať vektorom útoku na celú sieť a zároveň môže byť samo cieľom útoku.
Človek – najväčšia bezpečnostná hrozba
Ľudia sú za najväčšiu bezpečnostnú hrozbu považovaní z mnohých dôvodov. V prvom rade je to nedostatočné bezpečnostné povedomie. Dôležité sú preto rôzne školenia o bezpečnosti a ochrane osobných údajov a dát pre zamestnancov. Mnohí zamestnanci, ale často ja ľudia z vedenia, hrozby podceňujú a stavajú sa k nim ľahostajne.
Problémy spôsobujú aj neaktualizované operačné systémy a aplikácie, neaktualizované antivírové systémy, ale aj neadekvátne oprávnenia (Admin…). Každý zamestnanec by mal dodržiavať politiku čistého stola (po skončení práce odložiť dokumenty a nechať stôl čistý) a čistej obrazovky (neoprávnené osoby k nej nesmú mať prístup). Zanedbávané býva v mnohých firmách aj fyzické zabezpečenie pracoviska.
Základy kybernetickej hygieny
Aké pravidlá by mali firmy, ale najmä jednotlivci – zamestnanci dodržiavať pre bezpečnosť dát a údajov?
Obozretnosť pri akejkoľvek správe od neznámeho odosielateľa (email, SMS, Whatsapp alebo iné komunikačné aplikácie) – neotvárať, vymazať, kontaktovať IT oddelenie
Neodpovedať a nereagovať na akciu, ku ktorej ste v správe vyzvaní – žiadne klikanie na odkaz, otváranie prílohy, zadávanie prihlasovacích údajov a pod.
Ak ste dostali podozrivú správu, preverte ju. Ak používateľa nepoznáte a nepozdáva sa vám štylistika textu, gramatika, či výrazy, správu neotvárajte, ale radšej si ju preverte telefonicky u odosielateľa.
Nikdy nezadávajte prístupové mená a heslá na iných stránkach, ako na tých, kde ich používate štandardne.
Nikdy nezadávajte žiadne údaje na stránkach, ktoré nie sú zabezpečené cez SSL – adresa stránky musí začínať na https:// nikdy nie http://
Preverte si SSL certifikát kliknutím na symbol zámku pri URL adrese – kto ho vydal, komu bol vydaný?
Nepoužívajte verejné WiFi siete – napr. v hoteli, reštaurácii, vlaku
Pravidelne si zálohujte dôležité dáta aj mimo štandardného systémového zálohovania – aspoň 1 x denne, a to napr. na šifrovaný USB disk.
Ak to nie je nevyhnutné, nepoužívajte pracovné notebooky na domácich sieťach. Preferujte pripájanie cez mobilnú dátovú sieť pracovnej SIM karty.
Pri každom opustení pracovnej stanice sa odhláste. A to aj v prípade, že nezdieľate s inými kolegami kanceláriu.
Po ukončení práce vypínajte pracovné stanice – nepoužívajte funkciu uspania!
Nespoliehajte sa na automatické antivírové a antimalverové systémy. Moderný malvér ich dokáže bez problémov obísť.
Overujte si informácie.
Ako máte nastavený systém ochrany bezpečnosti vo vašej firme? Ak s tým potrebujete pomôcť, napíšte nám a pomôžeme vás s najlepším riešením, šitým pre vaše potreby.
Vytvorené v spolupráci s Ing. Miroslav Ilavský z www.isecure.sk
