Jak ochránit IT před činností uživatele

Když se podíváme na informační technologie a bezpečnost v poslední době, celkem významným se stává trend využití uživatele jako vstupní brány na proniknutí do systému. Jestli už se jedná o ransomware, různé formy phishingu anebo krádež dat, velká část současných úspěšných napadení spoléhá právě na to, že běžný člověk za počítačem úmyslně anebo neúmyslně otevře útočníkovi dveře do systému. Je vůbec možné se proti něčemu takovému bránit?

Uživatel = nejslabší místo systému
Útočníci, jejichž cílem je kompromitovat systém anebo rovnou celou firmu, začínají čím dál tím víc spoléhat na běžného uživatele systému. Ten se s ohledem na rozvoj bezpečnostních řešení totiž stává nejjednodušší cestou, jak prolomit všechna pravidla a nastavené ochrany. Jak vyplývá z průzkumu společnosti Osterman, každá druhá firma byla v průběhu minulého roku postihnuta ransomware. Další statistiky ukazují nárůst phishingových útoků na organizace všech druhů a velikostí. Nezaostávají ani incidenty interní bezpečnosti, kdy omylem anebo záměrně uživatel pošle citlivé informace nesprávnému adresátovi.

Pro podobné situace nemusíme chodit daleko, dějí se téměř všem. Z menších incidentů, které jsme zaznamenali v poslední době můžeme vybrat například jednou firmu z Moravy, jejíž zaměstnanec sdílel více jak 100 nascanovaných občanských průkazů externí firmě prostřednictvím služby ulož.to, kde je mohl kdokoliv najít a stáhnout. V další větší organizaci došlo k tomu, že zaměstnanec omylem zaslal seznam všech zákazníků firmy jednomu ze zákazníků, se kterým běžně komunikoval.

Ve většině případů se tedy jedná o omyl anebo nevědomost uživatele, kterou je pro útočníka velmi jednoduché zneužít. Adekvátně komplikované je se proti ní bránit. V mnoha případech totiž stačí kliknout na nesprávné tlačítko anebo otevřít přiložený soubor. Tak málo stačí na to, aby se stal incident s dalekosáhlými následky.

Takže, existuje nějaké řešení?
Asi to nebude znít překvapivě, ale pro ochranu před chybou běžného uživatele existuje možnost – věnovat se prevenci a ovlivnit jeho chování.

Prvním krokem je ve firemním prostředí příprava směrnic a politik. Tyto dokumenty mají informativní charakter a mohou navést zaměstnance směrem, jakým by se měl chovat při práci s počítačem a firemními systémy, či dokumenty. Pokud jsou napsané srozumitelnou řečí a nejsou příliš dlouhé, přímo úměrně se zvyšuje pravděpodobnost, že je zaměstnanci budou znát a řídit se podle nich.

Dokumenty jsou samozřejmě jenom formální stránka věci. Co je podstatné, je věnovat dostatek pozornosti školením a připomínat důležitá doporučení. Zkusme se všichni zamyslet a připravit sadu jednoduchých doporučení tak, aby je pochopili i naši rodiče anebo babička. Seznam bude s největší pravděpodobností obsahovat minimálně:

• Neodpovídejte na žádnou nevyžádanou poštu
  
• V legitimním styku po vás nikdo nikdy nebude chtít poslat vaše přihlašovací údaje e-mailem ani telefonicky – na podobné výzvy tedy nereagujte
  
• Neklikejte na podezřelé odkazy anebo bannery na webových stránkách
  
• Udržujte si svůj systém i programy aktuální, mějte antivirus a neinstalujte neznámé aplikace
  
• Předtím, než někde poskytnete své osobní anebo citlivé údaje, dvakrát si promyslete, jestli to skutečně potřebujete a jestli se jedná o legitimní požadavek
  
  Rovněž je důležité mít dostatek prostoru na to, zamyslet se nad svou činností při běžné práci na počítači – zejména pokud se jedná o práci s citlivými informacemi. Rozhodně se vyplácí nepracovat ve stresu anebo v časové tísni, co ale může být výzvou hlavně ve firemním prostředí.
  
  Ve firmách se také osvědčily praktické bezpečnostní tipy, které se zaměstnancům mohou zobrazovat na počítači při běžné práci. Jestli už je to při spuštění počítače, v informačním systému anebo na firemním intranetu; čím více se doporučené postupy připomínají, tím větší pravděpodobnost je, že budou reálně použity.
  
  Z hlediska technologií je možné použít například nástroje pro bezpečnostní audit, které odhalí možné rizika – například to, že zaměstnanci používají službu typu ulož.to, protože nepoznají lepší alternativu pro sdílení dat. Dalším krokem je nasazení Data Loss Prevention (DLP) řešení, které je schopné zobrazovat notifikace uživatelům v momentu, kdy pracují s citlivými daty. V závislosti na nastavení dokážou následně zaměstnance upozornit, že se snaží odeslat interní dokument na adresu mimo firmu, a tak mohou předcházet lidským chybám.
  
   
  
  

  ---

  
  
  Napsal Matěj Zachar, Project & Security Manager @Safetica Technologies
  
  “Nic jako přehnaná paranoia neexistuje.” – to je Matějovo krédo. Bezpečnost je pro něj v centru všeho, i tak ale miluje lození po horách. Jeho další vášní je vaření. A kytara. V Safetica má Matěj na starosti implementaci projektů .