Aktualizácia aplikácií je rovnako dôležitá ako mať antivírus. Pri využívaní verejnej WIFI ohrozujete nielen vaše osobné dáta, ale aj citlivé pracovné informácie. Ako sa chrániť na internete a na čo si dávať pozor?
Firmy investujú do bezpečnostných systémov, mreží na oknách, prípadne špeciálne zabezpečených dverí, avšak často podceňujú ochranu vo virtuálnom priestore. Hoci väčšina spoločností už bez internetu nevie existovať.
Paradoxne, práve internetový priestor je z pohľadu firiem jeden z najnebezpečnejších a útok na citlivé dáta môže spôsobiť omnoho väčšie problémy ako ukradnutý televízor. Na to, ako sa chrániť pred nástrahami internetu a na čo by sa mali firmy zamerať, sme sa spýtali odborníkov z vládnej jednotky CSIRT (Computer Security Incident Response Team) Henricha Slezáka a Jána Kotradyho.
Základom je analýza
Práca s internetom dokáže byť zradná, preto by mala každá firma myslieť na zabezpečenie a ochranu pred nástrahami.
„Veľmi záleží, o akú firmu ide, pretože aj malá firma môže pracovať s veľmi citlivými údajmi alebo dátami, ktoré keď uniknú, môžu spôsobiť veľký problém,“ vysvetľuje bezpečnostný analytik CSIRT.SK Ján Kotrady. Celkový proces bezpečnosti začína podľa neho analýzou aktív, teda toho, čo vlastníme a s čím podnikáme.
Po analýze aktív by malo dôjsť k analýze rizík, teda analýze hrozieb a zraniteľností, ktoré vplývajú na podnikanie. „Keď máte službu, ktorá má byť dostupná 24-hodín denne, prípadne je kriticky dôležitá pre občanov, musíte zhodnotiť, kde bude počítač umiestnený. Pokiaľ umiestnite počítač v záplavovej oblasti, je predpoklad, že prídu záplavy a služba sa vypne,“ zdôrazňuje Kotrady.
Po vyhodnotení rizík je už len na firme, ako sa im rozhodne predchádzať. Musí sa zamyslieť nad tým, s čím podniká, aké ma aktíva, s akými dátami pracuje a na základe získaných informácií prijať vhodné opatrenia. „Napríklad, keď si kúpite bicykel z bazáru za 25 eur, tak si k nemu nekúpite zámok za 50 eur,“ hovorí bezpečnostný analytik CSIRT.SK Henrich Slezák.
Na riziká môže firma reagovať rôzne - buď zavedie konkrétne opatrenie alebo riziko prijme bez opatrení. „Záleží aj od toho, aký má organizácia „risk apetít“ a následne môže riziko akceptovať a nerobiť s ním nič,“ vysvetľuje Slezák.
Trh však ponúka aj niekoľko možností, ako preniesť riziko na tretiu stranu. „Môžete sa voči niečomu poistiť či mať s dodávateľom uzatvorenú SLA, na ktorého prenesieme časť zodpovednosti alebo môžeme urobiť „risk avoidance“, teda že sa vyhnete riziku tým, že rizikové činnosti vykonávať nebudete,“ dopĺňa Slezák. Základom však podľa Jána Kotradyho je, aby celý spôsob vykonania analýzy, analýza samotná a z nich vyplývajúce spôsoby ošetrovania rizík boli zaznamenané písomnou formou a špecifikovali spôsob implementácie konkrétnych opatrení.
Potom, ako firma prejde analýzou a vyhodnotí jednotlivé opatrenia, zameriava sa na konkrétne riešenia zabezpečenia svojej firmy pred hrozbami na internete. Aká riešenia sú pre firmu tie najdôležitejšie a ako postupovať pri ich výbere?
Antivírus – alfa a omega bezpečnosti
Antivírový program by mal byť súčasťou každej inštitúcie. Trh ponúka hneď niekoľko možností z rôznych krajín, ktoré sa odlišujú najmä cenou a ponukou služieb.
Pri menších firmách je cena rozhodujúcim faktorom, preto sa veľakrát rozhodujú, či využiť služby bezplatného alebo plateného antivírového programu. „Ja odporúčam ísť do platených verzií, nakoľko väčšinou sú pri nich aktualizácie vírusovej databázy rozsiahlejšie a miera bezpečnosti je garantovaná viacerými prvkami v porovnaní s voľno dostupnými službami, ako napríklad ochranou voči ransomware,“ dodáva Ján Kotrady.
Zároveň podotýka, že celková investícia opäť vychádza najmä z vašej analýzy rizík. Inú ochranu potrebujete na počítač, ktorý máte určený na prezentácie a inú na zariadenie s citlivými dátami. Podľa akých parametrov však treba vyberať antivírový program?
Ako prvý bod, na ktorý treba nazerať, je efektivita antivírového programu a akú záťaž na systém vytvára. Na stránke av-test.org sú vytvárané štatistiky, ktoré testujú rôzne antivírové programy. „Antivírový program by mal poskytovať aj internetovú bezpečnosť, či už v podobe firewallu, kontroly odkazov, internetových stránok a podobne,“ dodáva Kotrady. Kontrolu internetových stránok najmä kvôli tomu, že veľa útokov vzniká po zobrazení nedôveryhodných stránok a odkazov.
Úspešnosť detekcie hrozieb antivírovými programami je pomerne vysoká. „Nemôžeme však považovať antivírový program za riešenie všetkých našich problémov, musí prísť aj uvedomelosť používateľov,“ zdôrazňuje Kotrady. Odôvodňuje to najmä tým, že užívateľ by si mal dávať pozor najmä pri sťahovaní rôznych podozrivých programov či pri otváraní neznámych stránok z pochybných emailov.
Zabezpečte si firemnú komunikáciu
Ako pri výbere antivírových programov, tak aj pri firemnej komunikácii ponúka trh hneď niekoľko možností. „Emaily môžeme implementovať napríklad využitím vlastného serveru, kde máme svoju emailovú doménu meno@názovfirmy.sk a tým už máme v rámci organizácie sieťový serverový prvok,“ vysvetľuje Kotrady. S tým však súvisí zavedenie ďalšej ochrany, či už prostredníctvom firewallu, systémov na detekciu útokov, DDoS ochrany, spam ochrany a podobne.
Pokiaľ si však firma nemôže dovoliť vytvoriť vlastný server, môže využiť služby externej firmy, ktorá poskytne server na komunikáciu, avšak tu nastáva tok informácii cez tretiu stranu. „Keď má emailový server tretia strana a vieme, že môže mať prístup k nášmu emailovému serveru, musíme sa k nemu potom aj tak správať,“ dodáva Kotrady.
V tom prípade si už musí dávať komunikujúci pozor, ako veľmi citlivé údaje posiela a či si správa nevyžaduje ďalšie šifrovanie. Na šifrovanie správ existuje tiež niekoľko programov, ako napríklad PGP šifrovanie. To je podľa Kotradyho komplikovanejšie na prvotnú konfiguráciu a vyžaduje si zaškolenie zamestnanca.
Ďalší spôsob je obrátiť sa na iné platformy. Kotrady spomína ProtonMail, ktorý podľa zmluvných podmienok garantuje šifrovanie emailov s tým, že prevádzkovateľ služby nedokáže komunikáciu prečítať. „Keď má firma email u tretej strany, môže si stanoviť pravidlo, že cez neho nebude posielať citlivé dáta. Alebo ak bude posielať citlivé dáta, tak použijú uzamknutý pdf súbor s dostatočne silným a dlhým heslom, ktorý si obe strany komunikácie dohodnú cez iný kanál,“ dopĺňa Kotrady.
Na komunikáciu dokážu poslúžiť aj peer-to-peer šifrované chatovacie platformy, ktoré sú či už spoplatnené alebo zadarmo. Tieto aplikácie šifrujú komunikáciu priamo medzi zariadeniami, takže ktokoľvek, kto odchytí túto komunikáciu ju nevie prečítať. V tomto prípade však musia byť všetky strany komunikácie prihlásené na jednej platforme. „Samozrejme, keď ste malá organizácia, sedíte v jednej kancelárií, tak môžete vložť veci na usb a podať ho kolegovi.,“ vysvetľuje Kotrady.
Email však nevyužívame len v prostredí komunikácie, ale slúži aj na prihlasovanie do rôznych aplikácii či platforiem. Tým sa váš email dostáva do rúk tretím stranám, ktoré ho môžu využiť za cieľom marketingu, ale ho prípadne aj zneužiť, napríklad v podobe ukradnutia údajov. Skúste si na webovej stránke haveibeenpwned.com overiť, či sa už vaša emailová adresa dostala do rúk kompromitujúcich stránok.
Na heslo 12345 zabudnite
S vývojom technológii prichádzajú aj nové možnosti zadávania hesiel, ktoré sú už súčasťou bežného alebo pracovného života. Na výber je hneď niekoľko foriem hesiel, či už klasické vo forme rôznych znakov, sken QR kódu alebo využitie biometrie.
Nové formy však môžu byť zradné. „Napríklad v prípade biometrie - zariadenie nemusí rozpoznať, že ide o fotografiu užívateľa alebo dvojičku, odtlačky prstov môžu byť ľahko zneužité, keďže ich zanechávame všade. Heslo je však heslo. Čím je dlhšie a obsahuje viac znakov, zvyšuje sa jeho miera bezpečnosti,“ vysvetľuje Kotrady.
Úroveň klasického hesla dokážeme pritom stále zvyšovať. „S istotou vieme povedať, že 12-znakové náhodne alfanumerické heslo je lepšie, ako 10-znakové a 15-znakové náhodné alfanumerické heslo je ešte lepšie, ako tie dve. Keď do hesla ešte pridáme slovenské diakritické písmeno, veľké písmeno alebo číslovku, tak je ešte bezpečnejšie. Čo napríklad pri biometrii takto jednoducho nevieme zhodnotiť,“ približuje Kotrady.
Mať jedno heslo dlhšie obdobie sa tiež nemusí vyplatiť, preto niektoré firmy pristupujú na pravidelné obmieňanie hesiel. „Niekedy prichádzajú výzvy na menenie hesla každý mesiac alebo dva. Potom sa však stáva, že používatelia používajú heslá ako marec2019, apríl2019 a podobne,“ dodáva Kotrady. Takýto formát hesiel však aj pri jeho častej obmene nemusí byť vôbec bezpečný a môže byť ľahšie uhádnuteľný.
„Na výmenu hesiel treba nájsť vhodný interval. Raz za päť rokov je, samozrejme, nedostačujúce, ale raz za mesiac môže byť otravné a neužitočné,“ vysvetľuje Kotrady.
Henrich Slezák však dopĺňa, že záleží aj od systému vo firme. „Niekde stačí možno raz za pol roka niekde raz za mesiac. Pokiaľ sa tam spracúvajú citlivé informácie, tak sa to oplatí meniť častejšie,“ dodáva Slezák.
Pri množstve hesiel majú niekedy užívatelia problém sa medzi nimi orientovať. „Môže nastať problém, ak niekto nebude schopný zapamätať si každý mesiac obmenu hesla. Odporúča sa teda používať manažér hesiel,“ vysvetľuje Slezák. Organizácia si pri tom stanoví bezpečnostné požiadavky, čo by malo heslo spĺňať, ako často ho obmieňať a podobne.
Ako vytvoriť silné a bezpečné heslo približujeme aj v článku Bezpečné, silné a zapamätateľné heslo – ako ho vytvoriť.
Školenie ako záchranná brzda
Investovať do vzdelania zamestnancov dokáže v budúcnosti ušetriť vznikajúce problémy. Na internete číhajú rôzne hrozby a menej skúsení užívatelia dokážu naletieť na prefíkané praktiky podvodníkov.
Môže sa stať, že zamestnanec naletí na phishingový email a keď si uvedomí, že urobil chybu, tak by mal vedieť, ako postupovať. Alebo môže zistiť, že jeho počítač nefunguje správne a pokiaľ by to neriešil, mohol by vzniknúť závažný problém.
„Veľmi dôležité je nastaviť mentalitu zamestnancov tak, že pokiaľ sa aj niečo stane, musia to nahlásiť. Aby vedeli, že nebudú za to sankciovaní, ale budú napríklad pochválení, že nahlásili problém a zabránili tomu, že sa útok šíri ďalej,“ vysvetľuje Slezák.
Podľa prístupu firiem k bezpečnostným školeniam môžeme podľa Henricha Slezák spoločnosti deliť na štyri kategórie:
- Level 0 – Vo firme neexistuje žiadne povedomie ani program.
- Level 1 – Vo firme sa vykonávajú ad-hoc školenia približne raz za rok alebo raz za 2 roky, kde sa zamestnanci preškolia, prípadne podpíšu prezenčku.
- Level 2 – Firma pristupuje k plánovanému vzdelávaniu. Popri školeniach robí testovanie a preveruje vedomosti zamestnancov.
- Level 3 – V tomto leveli sa robia testy napríklad phishingom alebo rôzne penetračné testy sociálnym inžinierstvom, kde sa zamestnanci školia z pohľadu útočníka.
„Keď máte školiaci program komplexný, kontinuálny a neustále preverovaný, je aj účinnejší. Zamestnanci sú pripravení a vedia, že na odkaz v maile, ktorý im prišiel od niekoho neznámeho, nekliknú alebo keď im niekto volá, tak neposkytnú citlivé informácie hneď, ale preveria si, s kým komunikujú,“ dodáva Slezák.
Verejná sieť – strašiak bezpečnej komunikácie
Pripojenie na verejnú sieť by si mal každý užívateľ dôkladne premyslieť a pouvažovať nad tým, akému riziku vystavuje firmu. „Určite to nie je bezpečné. Keď idete na služobku odprezentovať prezentáciu a chcete si potom na izbe niečo pozrieť, tak pokiaľ sa nepripájate do interného systému firmy, je to v poriadku. Ale pokiaľ je to notebook, na ktorom budete pracovať aj s internými dátami organizácie, tak odporúčame ísť radšej cez mobilný telefón, mobilné dáta s kombináciou VPN a šifrovaním,“ približuje Slezák.
VPN je služba, ktorá vytvára zabezpečený tunel zo zariadenia na server. Týmto tunelom sú následne posielané všetky dáta.
Ján Kotrady vysvetľuje, že využívanie mobilných dát viac zväzuje ruky útočníkom v porovnaní s verejnou wifi sieťou, teda napríklad útočníci nevedia tak ľahko zistiť, na akej IP adrese komunikujete. „Keď ste na verejnej wifi, je to raj pre útočníkov. Vedia sa na ňu tiež pripojiť a robiť rôzne útoky - vedia útočiť na router, na vaše zariadenie, vedia odchytávať dáta, ktoré odosielate oveľa ľahšie, ako keď ste na mobilných dátach,“ vysvetľuje Kotrady. „ Ani mobilné dáta nie sú najbezpečnejší spôsob pripojenia, ale keď dôjde na porovnanie pripojenia cez mobilné dáta verzus verejná wifi sieť, odpoveď je jednoznačná – mobilné dáta.“
Stávajú sa však situácie, keď nemáte na výber a potrebujete odoslať transakciu aj s využitím verejnej siete. V tom prípade si treba premyslieť, či vám tá transakcia za to stojí. „Dnes má mobilné dáta v podstate každý a nie je problém sa cez telefón napojiť a viete to urobiť radšej cez mobilné dáta,“ dopĺňa Slezák.
Avšak v prípade dvojfaktorovej autentifikácie dokážete znížiť riziko pri napojení sa na verejnú sieť. „Na druhej strane existujú aplikácie, v ktorých ste automaticky prihlásený a tam sa vyskytuje otázka, čo s tým? Keď sa chcete zo všetkého odhlásiť, treba to v telefóne prácne vyklikať,“ približuje Kotrady.
S verejnou sieťou prichádza množstvo rizík, ktoré ohrozujú plynulý chod spoločnosti. „Najlepšie odporúčanie, ktoré môžeme dať, je čo najmenej používať verejnú sieť. Určite ju nepoužívať na platby, a ak je nevyhnutná situácia, tak výlučne cez VPN a nech je tam dvojfaktorová autentifikácia,“ dopĺňa Kotrady.
Nezabúdajte na pravidelnú aktualizáciu
Agresívna aktualizácia operačného systému alebo aplikácií dokážu niekedy otráviť vaše používanie počítaču a telefónu. Je však dôvod, prečo sa vám zobrazujú na pravidelnej báze a niekedy vás donútia kliknúť na inštaláciu.
„Aktualizácia je minimálne rovnako dôležitá, ako mať antivírusový softvér. Aktualizácie sú na to, aby opravovali známe zraniteľnosti. Pokiaľ si dlhodobo nebudete aktualizovať operačný systém alebo aplikácie, vystavujete sa riziku, že vaše aplikácie, ktorými posielate citlivé informácie, obsahujú bezpečnostné diery,“ vysvetľuje Slezák.
Pritom pravidelne sa stretávate s informáciami, že obľúbené aplikácie používané miliónmi užívateľov majú diery, ktoré sú verejne známe, a preto predstavujú veľké riziko. „Ak je človek aspoň trochu skúsený s využívaním internetu, vie si vygoogliť, ako si pripraviť vlastný exploit (dáta alebo sekvencia príkazov, ktoré dokážu využiť programátorskú chybu, pozn. red.), prípadne si hotový exploit rovno stiahnuť z Internetu a zneužiť pomocou neho zraniteľnosti, ktoré sú verejne známe,“ vysvetľuje Slezák.
Starter pack ochrany na internete
Odborníci z CSIRT.SK Henrich Slezák a Ján Kotrady odporúčajú základné formy ochrany, ktoré firmám dokážu pomôcť predísť ohrozeniu na internete:
- Antivírus s firewallom,
- Pravidelná aktualizácia všetkého, čo používate,
- Používanie silných hesiel a ich správa,
- VPN,
- Zálohovanie dát,
- Vyšší level bezpečnosti - šifrované úložisko, aplikácia na šifrované správy, softvér na obmedzenie/kontrolu spúšťaných aplikácií
- Politika bezpečnosti – formalizovaná analýza vašich aktív, hrozieb a riešení,
- Pravidlá a pravidelné školenia pre zamestnancov – ako používať informačné technológie, email, prehliadač a ktoré informácie sa nemôžu nikam dostať
Tento článok vznikol v spolupráci s projektom Kry-sa, ktorý zvyšuje povedomie v oblasti internetovej bezpečnosti. Viac informácií o možných rizikách na internete a o tom, ako sa pred nimi chrániť nájdete na stránke www.kry-sa.sk.