Raj Samani, chief scientist ve společnosti McAfee, upozorňuje, že v souvislosti s koronavirem se objevily i úplně nové typy útoků. V první řadě to samozřejmě znamená tématický phishing spojený s šířením malwaru, nové podvodné domény či e-shopy. Současně se ale rozšířila i kategorie malwaru určená pro průnik do podnikových sítí přes nedostatečně chráněná koncová zařízení. Mnoho lidí nastoupilo k práci z domova z firemních notebooků spravovaných odděleními IT, jiní ale přímo ze svých soukromých zařízení (Nutno podotknout, že i to už se samozřejmě dělo mnoho let, trend BYOD ale dosud obnášel spíše smartphony.).

Nový malware je mnohdy speciálně navržen k tomu, aby ze slabě chráněných koncových zařízení (metody infekce tedy nemusí být zvlášť sofistikované) pátral po vzdálených připojeních. Správci firemních sítí navíc vzdálený přístup na různých vrstvách (protokolech) ve zmatcích při vypuknutí epidemie mnohdy otevřeli plošně a s vysokými oprávněními, bez dostatečné definice skupin uživatelů a rolí, a především často s nedostatečným ověřováním (např. přístup pouze s heslem, bez vícefaktorové autentizace). Řízení skupin/oprávnění lze přitom pomocí Active Directory provádět efektivně, nicméně konfiguraci je třeba věnovat pozornost.

Přes vzdáleně přistupující zařízení může do podnikové sítě proniknout ransomware se všemi svými ničivými následky, nebo malware pokoušející se krást zákaznická a jiná citlivá data. Obecně všechny takové incidenty znamenají porušení shody, často přinášejí povinnost dalšího vyšetřování a reportingu. Robustní zabezpečení koncového bodu ovšem může být u zařízení ve vlastnictví zaměstnance problém a mnohdy vyžaduje i přímou spolupráci uživatele.

Rizikem je např. situace, že zařízení už bylo malwarem infikováno v okamžiku, kdy se k práci z domova začalo využívat. Součástí zabezpečení libovolného zařízení používaného pro pracovní účely by každopádně měl být i webový filtr chránící před návštěvou podvodných webů šířících malware. Když už dojde k phishingu, je nutné dokázat takový incident rychle detekovat, identifikovat ohrožené zařízení, odříznout mu přístup a zkusit ho vzdáleně vyčistit. Samozřejmostí by měl být vzdálený přístup prostřednictvím sítí VPN, ani ten ale často ve snaze rychle zajistit kontinuitu podnikání není všude pravidlem. Navíc zdaleka ne všechny produkty pro VPN jsou vyhovující, některé mohou bezpečnostní rizika spíše zvyšovat.

V souvislosti s tím, jak se práce na dálku stává standardem, je třeba přezkoumat a aktualizovat bezpečnostní politiku jako celek a předat zaměstnancům informace, které v této souvislosti potřebují. Vzdálený přístup k datům (aktivům) firmy se bude týkat stále většího podílu dat. V této souvislosti je nutné provést jejich klasifikaci a určit, kdo je ke své práci opravdu potřebuje. Doprovodným krokem by mělo být nastavování co nejnižších uživatelských oprávnění. Rovněž je třeba rozhodnout, které z oblíbených cloudových služeb budou povoleny, respektive i aktivně nasazovány pro pracovní účely. Firemní zásady ochrany dat (DLP apod. řešení) musí být dodrženy i při využití služeb pro spolupráci, jako je Microsoft Teams nebo WebEx.

Aleš Pikora Autor článku je ředitelem divize DataGuard, PCS, spol. s r.o.