Představte si následující scénář: pracujete na lince technické podpory. Volá vám jakási žena – je rozrušená a v pozadí slyšíte plačící dítě. Je zdvořilá a neustále se omlouvá za křik dítěte, protože je nemocné. Nepamatuje si uživatelské jméno k účtu spojeného s telefonním číslem, z něhož vám volá. Z dobré vůle jí ho připomenete. Domníváte se, že tím je vše vyřešeno, a ze zdvořilosti položíte obligátní otázku: „Mohu vám ještě s něčím pomoci?“ Zamyslí se a říká, že by chtěla do účtu přidat dalšího uživatele a chtěla by vědět, jak pro něj získat heslo. Odpovíte, že heslo se zasílá textovou zprávou, ale ona prý má plné ruce kvůli dítěti a nemůže telefon odložit a poprosí vás, abyste jí ho nadiktoval. Ztrápené matce pomůžete a heslo jí prozradíte. Velice děkuje, omlouvá se a zavěsí.

Problém je, že to nebyla zaměstnaná maminka, která musela zůstat doma s nemocným dítětem. Byla to sociální hackerka, která si před tím zjistila telefonní číslo zaměstnance a právě od vás získala přístup k uživatelskému účtu svého cíle.

Kyberzločinci se snaží těžit z nejistoty

Doba před třemi měsíci se může zdát v mnoha ohledech nesmírně vzdálená, nikoli však z hlediska kyberzločinu – ten je konstantou, která zůstává neměnná, a pokud se mění, tak k horšímu. Kyberzločinci v době globální koronakrize prokázali, že nemají slitování – například Světová zdravotnická organizace (WHO) od vyhlášení celosvětové pandemie COVID-19 zaznamenala pětinásobný nárůst počtu počítačových útoků proti svým zaměstnancům, přičemž někteří podvodníci se za ně dokonce snažili vydávat, aby z obětí vylákali finanční dary. Ti, kdo chtějí páchat zlo, budou vždy hledat nejslabší článek. A zatímco se kyberzločinci chlubí svými úspěchy, podniky se stydí za to, že jim podlehly.

Jde o to, že bezpečnostní potřeby se v uplynulých náročných měsících nijak nezměnily. Co se změnilo, je potřeba lepší osvěty, aby byly podniky i jejich zaměstnanci dostatečně informováni o základních pravidlech, jejichž dodržování pomůže zajistit jejich bezpečnost. Přechod na hybridní uspořádání práce s jejím častějším výkonem z domova zvyšuje důležitost osvěty jako předpokladu odolnosti vůči různým druhům útoků. A svoji úlohu musí sehrát nejen zaměstnavatel vůči zaměstnancům, ale také státní orgány a dodavatelé technologií.

Pět zásad kybernetické hygieny

Připomeňme si, jaká jsou základní pravidla kyberhygieny:

1. Nejnižší nutná oprávnění

I když plně důvěřujete všem zaměstnancům, není nutné, aby měla recepční stejná přístupová oprávnění jako generální ředitel. Přidělte uživatelům nejnižší nutná oprávnění a výrazně omezíte riziko napadení vašich nejcennějších dat. V hotelu byste také nedali každému hostu univerzální klíč od všech pokojů.

2. Mikrosegmentace

Že dávno neužíváme padací mosty a hradby má dobrý důvod – tato opatření dávají falešný pocit bezpečí a podporují laxní přístup k bezpečnosti uvnitř opevnění. Jakmile se útočníkovi podaří vnější obranou proniknout, hrozba je uvnitř a není možnost se před ní skrýt. Rozčlenění sítě na vrstvy a samostatné oblasti udržuje celý systém v bezpečí a zajišťuje, že přístupové body nejsou ponechány zranitelné v případě útoku. Nezanedbávejte vnější obranu, ale ani na ni nespoléhejte jako na samospasitelnou. Zde dává smysl inherentní bezpečnost – integrace zabezpečení do vaší sítě a vaší aplikační platformy. Obchodní modely se přizpůsobují realitě opatření v souvislosti s nákazou Covid a právě tento typ zabezpečení pomáhá uspokojit nové potřeby. A pokud dojde k úspěšnému průniku do některého zařízení, útok je potlačen, aniž by se mohl šířit do zbytku podniku.

3. Šifrování

Šifrování považujte za poslední zbraň proti hackerům ve vašem arzenálu – kromě toho, že díky němu máte v zabezpečení navrch. Selže-li vše ostatní a útočníkovi se podaří proniknout skrze firewally a přístupové protokoly, díky šifrování mu budou veškerá důležitá data k ničemu. Podobně jako je obtížné přijít na to, jak složit Rubikovu kostku, pokud neznáte správný postup, je rekonstrukce šifrovaných dat tvrdý oříšek. Součástí základní kyberhygieny by mělo být šifrování souborů a dat před jejich sdílením. Totéž platí o šifrování síťového provozu všude tam, kde je to možné.

4. Vícefaktorové ověřování

Zabezpečení se posouvá na osobnější úroveň – od otisků prstů po rozpoznávání tváře. I základní dvoufaktorové ověřování dokáže zastavit první vlnu útoků. A čím osobnější ověřování bude, tím bezpečnější budou naše sítě. Vždyť získat otisk prstu je podstatně složitější než ukrást PIN kód.

5. Aktualizace

Systémy vyžadují aktualizace z dobrého důvodu. Pokaždé, kdy škodlivý software získá nové schopnosti, vaši poskytovatelé služeb reagují aktualizacemi systémů a softwaru. Nezaspěte je. Aktualizujte a upgradujte, abyste měli nad útočníky vždy navrch.

Učit se, učit se, učit se

Ačkoli pandemie koronaviru mnoho věcí změnila, z hlediska kybernetické bezpečnosti bychom se měli chovat, jako by se nezměnilo nic. Stále platí stejné zásady kyberhygieny, včetně těch nejzákladnějších, na které se často zapomíná nebo nebere zřetel. Tato pravidla je však nutné striktně dodržovat, aby podnik – a jeho zaměstnanci – byli stále v bezpečí. Pomohou také ochránit data bez ohledu na to, kde se nachází – na domácím počítači, v mobilním telefonu nebo služebním notebooku, případně libovolné kombinaci různých míst.

Úspěch kybernetické bezpečnosti spočívá v přístupu k lidem jako k první linii obrany. Podnik může investovat do stovek různých bezpečnostních nástrojů, ale pokud lidé rozvinou červený koberec, po kterém hacker nakráčí dovnitř, nebudou k ničemu. Snahy každého manažera bezpečnosti by měly začínat osvětou. Povinné školení by měl absolvovat každý – pracovníci IT, podnikoví manažeři, řadoví zaměstnanci i externí spolupracovníci, přičemž důraz by měl být kladen na aplikace. Nejprve se zaměřte na lidi a poté hledejte možnosti, jak zjednodušit systémy.

Stejně jako mytí rukou chrání správné kyberhygienické návyky každého a předchází šíření nákazy, které může zdecimovat celé komunity.

Jeremy van Doorn Autor článku působí na pozici Sr Director of Solutions Engineering, SDDC, ve společnosti VMware.