Ako na zabezpečenie firiem pred kybernetickými útokmi?

Zverejněno 12. 3. 2020

Niektoré malé a stredne veľké firmy podceňujú zabezpečenia, keďže sa domnievajú, že nie sú zaujímavým cieľom pre kybernetické útoky a že zabezpečenie firmy je nad rámec ich rozpočtu. Tento prístup je bohužiaľ príčinou, prečo sú malé firmy častými obeťami útokov. Zvládnuť aspoň základné zabezpečenie pritom nie je nadľudská úloha.

Témou jedného z posledných článkov eWay-Blogu bola ochrana dát a aktuálne bezpečnostné trendy. Článok obsahoval niekoľko tipov pre ochranu dát pre jednotlivých užívateľov. Z pohľadu firmy je počítačová gramotnosť a zabezpečenie každého zamestnanca veľmi dôležitá. Ruka v ruke so zabezpečením na úrovni užívateľa by však mala každá firma mať vyriešené tiež, alebo predovšetkým, zabezpečenie na úrovni celého podniku.

 

Najčastejšie hrozby

Predtým, než firma začne riešiť, ako sa chrániť, by mala vedieť, aké potenciálne hrozby existujú, aby neskôr mohla riešiť ochranu pred všetkými druhmi útokov. Druhov kybernetických útokov existuje celý rad. Medzi tie najčastejšie patria:

 

  • Malware

Malware, a ďalšie typy škodlivého softvéru, ako je spyware, ransomware či vírusy, sa zvyčajne nainštalujú do PC bez vedomia užívateľa po kliknutí na nedôveryhodný odkaz alebo e-mailovú prílohu. Nakazené zariadenie môže byť použité pre šírenie spamu, môžu v ňom byť poškodené alebo vymazané dáta, môžu z neho byť odosielané dáta (vrátane hesiel) bez vedomia používateľa, alebo môže byť zariadenie zašifrované na účely požadovania výkupného ako podmienky pre obnovenie prístupu.

  • Phishing

Phishing je označenie pre podvodnú techniku ​​online komunikácie, ktorej účelom je získavanie citlivých údajov, ako sú heslá a čísla kreditných kariet, alebo inštalovanie malwaru. Podvodníci pri phishingu využívajú napríklad podvodné weby, ktoré vyzerajú ako prihlasovacie stránky do bankovníctva, či mailovú komunikáciu s výzvou na zmenu hesla, ktorá sa tvári ako by bola odoslaná IT administrátorom.

Príklad podvodnej phishingovéj stránky vydávajúci sa za web Slovenskej pošty.

  • Man in the middle

Pri tzv. MITM útokoch podvodník odpočúva komunikáciu medzi dvoma systémami. K tomu spravidla dochádza na verejných Wi-Fi sieťach či webových stránkach s podvodným certifikátom (ten by mal byť vždy "https").

  • DDoS

Pod názvom Distributed denial of service sa skrývajú rôzne typy útokov, ktoré pohltia prevádzku servera natoľko, že dochádza k prerušeniu jeho  prevádzky. Napríklad pre e-shopy môže výpadok servera znamenať výrazný ušlý zisk.

  • SQL injection

Jedná sa o napádanie webových SQL databáz. Podvodník v takomto prípade využije chyby v kóde webu a vloží škodlivý kód na server. To býva častý problém napríklad pre weby a e-shopy, ktoré používajú CMS systémy ako je WordPress, Joomla a ďalšie.

 

  • Zero day attack

Pod týmto pojmom sa neskrýva konkrétne technika, ale doba využitia určitej zraniteľnosti softvéru pred vydaním opravné aktualizácie, ktorá túto chybu opravuje. Tomuto fenoménu sa nedá 100% vyvarovať, ako hovorí Roman Štefko, CTO spoločnosti eWay System: "Hackeri sú vždy o krok vpred. Môžete spĺňať všetky mysliteľné bezpečnostné štandardy, ale ak je vo vašom systéme bezpečnostná diera a útočníci ju nájdu, útoku sa v podstate nie je možné vyhnúť. "Roman Štefko v rozhovore tiež naznačuje rôzne princípy, ako niektoré chyby v systéme urobiť v praxi nezneužitelnými.

 

  • Bezpečnostné opatrenia pre firmy

Teraz viete, aké sú reálne hrozby pre vašu firmu. To znamená, že je na čase prejsť si aspoň základné opatrenia. Ak niektorú z nich vo vašej firme nepoužívate, mali by ste zvážiť, či nie je na čase to zmeniť.

  • Firewall

Firewall je softvér či fyzické zariadenie, ktoré kontroluje a prípadne blokuje dátová prevádzka medzi pracovnou sieťou a internetom. Je to základný stavebný kameň zabezpečenia firmy, ktorý pri správnom nastavení bráni šíreniu vírusov, malwaru a ďalších hrozieb.

  • Bezpečnostný softvér

Okrem firewallu je dôležité používať aj ďalšie užitočné nástroje ako je antivírusový, anti-Malwarové a kryptografický softvér, aplikácie pre správu hesiel, a podľa potreby aj ďalšie bezpečnostný softvér. Proti spomínaným SQL injection a ďalším útokom je napríklad vhodné zabezpečiť WordPress a ďalšie webové aplikácie tzv. Bezpečnostnými pluginy.

 

  • Vzdelávanie zamestnancov

Vo väčšine firiem bývajú najslabším článkom zabezpečenia zamestnancami. Je to logické. Zďaleka nie každá pozícia vyžaduje pokročilú znalosť IT. Mnohí zamestnanci si napríklad často neuvedomujú, že by nemali v pracovnej sieti napríklad používať USB flash disky neznámeho pôvodu, pretože môžu obsahovať škodlivý softvér. Nerozoznajú podvodné stránky či e-maily a stanú sa obeťou phishingu. Alebo si nenastavujú dostatočne silné heslá a pre posielanie prihlasovacích údajov svojim kolegom využívajú nezabezpečený komunikačný nástroj.

 

  • Firemné zásady a dokumentácia

Vzdelávanie zamestnancov v problematike dátovej bezpečnosti je jedným z kľúčových opatrení. Samotné odovzdanie informácií však nestačí. Obzvlášť malé a stredné podniky často nechávajú následnú aplikáciu bezpečnostných opatrení na samotných zamestnancoch. Intuitívny prístup sa bohužiaľ nevypláca. Je potrebné zaviesť vo firme konkrétne postupy, zásady a dokumentáciu, aby bezpečnostné opatrenia bez výnimky dodržiavali.

Jednou z dôležitých zásad, ktoré by si každá firma mala osvojiť, je pravidelná aktualizácia všetkých aplikácií. Ako už bolo spomenuté pri zero day útokoch, absolútna ochrana neexistuje, ale týmto návykom sa zabezpečíte pred veľkým množstvom chýb v zabezpečenie aplikácií.

Ďalším dôležitým prvkom sú skôr spomínané aplikácie na správu hesiel. Väčšina užívateľov totiž používa rovnaké heslo do viacerých systémov, a ak sa útočníkovi podarí toto heslo získať, je ľahké ho skúšať vždy, keď sa niekam za používateľa hlási. Aplikácia na správu hesiel evidujú prístupy do jednotlivých programov a na pár kliknutí myšou dokážu predvyplniť to správne heslo, ktoré potom môže byť ľubovoľná sada všemožných znakov.

 

  • Zálohovanie

Stejně jako v životě, je i v podnikání někdy dobré být připraven na nejhorší. Proto je nesmírně důležité pravidelně zálohovat firemní data, ať už na vlastním serveru nebo na cloudu. Například pro e-shopy je pravidelné zálohování naprostá nutnost pro případ zmíněných DDoS útoků.

Rovnako ako v živote, je aj v podnikaní niekedy dobré byť pripravený na najhoršie. Preto je nesmierne dôležité pravidelne zálohovať firemné dáta, či už na vlastnom serveri, alebo na cloude. Napríklad pre e-shopy je pravidelné zálohovanie úplná nevyhnutnosť pre prípad spomínaných DDoS útokov.

 

  • Bezpečnostné certifikáty

Kybernetické útoky sú stále častejšie a pre veľa firiem či inštitúcií predstavujú riziká obrovských škôd. A ako upozorňuje Jakub Kejval zo spoločnosti Bureau Veritas, ktorá sa zaoberá bezpečnostnými certifikáciami, nie vždy sa škody musia počítať iba v hotovosti: "Veľmi náchylné k útokom sú nemocnice, ktoré až donedávna nespadali pod zákon o kybernetickej bezpečnosti a ich systémy sú zraniteľné. Ukazuje to nedávny prípad z Benešova, kedy vydieračský kryptovirus napadol počítačový systém zdravotníckeho zariadenia a zamedzil napríklad vykonávanie plánovaných operácií. Významný náskok v plnení požiadaviek kybernetického zákona majú firmy a inštitúcie, ktoré sú certifikované podľa normy ISO 27001. "

Certifikácia z hľadiska zabezpečenia informácií a osobných a firemných údajov síce nie je pre väčšinu firiem stanovená zákonom. Avšak splnenie bezpečnostného auditu môže firmu motivovať k vylepšeniu vlastných bezpečnostných opatrení. A získaný certifikát nielen že vzbudzuje dôveru potenciálnych aj súčasných klientov, niektoré nadnárodné spoločnosti či štátne podniky dokonca bezpečnostné certifikáty pre zisk zákazky vyžadujú.