Aby se e-mail nestal hrozbou

Nejčastější chybou, se kterou se lze při budování elektronické komunikace v podnikovém prostředí setkat, je podceň...


Nejčastější chybou, se kterou se lze při budování elektronické komunikace v
podnikovém prostředí setkat, je podceňování možných problémů.
Život bez elektronické pošty si asi těžko dokážeme představit. E-mail používáme
ke kontaktování obchodních partnerů, ke zjišťování informací, k běžné
komunikaci s rodinou a přáteli, ke sdělování vyžádaných či nevyžádaných
obchodních i soukromých sdělení a k mnoha dalším úkonům. Přes veškerou
užitečnost elektronické pošty si ale zároveň dobře uvědomujeme, že se může jako
mávnutím kouzelného proutku stát zdrojem nebývalých potíží.
Viry, spam, phishing a další problémy se na nás hrnou ze všech stran.
Samozřejmě obtěžují, snižují produktivitu práce a jsou bezpečnostním rizikem i
pro další činnost na počítači (únik citlivých dat, prozrazení hesel, instalace
škodlivých kódů aj.). Bohužel zatím není k dispozici žádný globální model, jak
s nimi bojovat, takže je nutné je akceptovat jako fakt a podle toho se zařídit
zkrátka nastavit bezpečnost tak, abych byla rizika z výše uvedených fenoménů co
nejvíce eliminována.
Nejčastější chybou, se kterou se lze při budování elektronické komunikace
setkat, je podceňování problému a z něj následně plynoucí důsledky (včetně
toho, že jednotlivé složky v organizaci spoléhají při řešení příslušného
problému jedna na druhou). Proč by management řešil otázku bezpečnosti
elektronické komunikace, když od toho je tu technické oddělení. Proč by
technické oddělení přicházelo s nějakými novými nápady, řešeními apod., když už
tak má práce dost a když by další výdaje muselo pracně zdůvodňovat právě na
půdě managementu. A uživatelé? Ti se buď slepě spoléhají na absolutní
dokonalost ochranných prvků, kladou pasivní odpor proti přijímání novinek nebo
rovnou odpor aktivní nedodržováním stanovených bezpečnostních pravidel.

Co je nutné
Pokud se například organizace rozhodne aplikovat elektronický podpis do
e-mailové komunikace, tak je pro to samozřejmě nutné vytvořit podmínky
managementem (uvolnit lidské i finanční zdroje). Technické oddělení musí zvolit
nejvhodnější řešení (nikoliv to nejlevnější nebo nejsnadnější) a také vytvořit
podmínky pro jeho nasazení do praxe. Uživatelé by měli následně prokázat
disciplínu a ochotu přijímat novinky, protože na nich v konečném důsledku
závisí úspěch či neúspěch celého projektu.
Zajištění jakékoliv bezpečnosti včetně ochrany elektronické komunikace je totiž
věcí všech, nikoliv jen někoho. To ilustruje mimo jiné otázka, kam nasazovat
antivirové řešení: na servery, nebo na stanice? Kdysi dávno byly chráněné pouze
jednotlivé stanice, neboť servery byly souborové a spojení s internetem
prakticky neexistovalo. Následně došlo k obrovskému rozmachu globální sítě a
objevila se nutnost chránit celé lokální sítě. Přišla tak na řadu antivirová
ochrana na serverech. Dnes je vyžadován systém dvoustupňový: ochrana na
serverech i stanicích. Důvodů je přitom více. Především si firmy uvědomily
hodnotu svých elektronických dat a skutečnost, že právě prevence je výhodnější
než řešení bezpečnostních incidentů.
Ovšem není to pouze prozřetelnost, nasazení antivirové ochrany na serverech i
stanicích má i své technické důvody. Virus nebo jiný škodlivý kód nacházející
se třeba v zašifrovaném souboru (i toto se může záměrně či nedopatřením stát)
nejsou bez znalosti dešifrovacího klíče a dalších prvků poštovní servery
schopné dešifrovat. A naopak připojování k internetu prostřednictvím různých
bezdrátových technologií znamená, že každé zařízení musí být chráněno. Obvykle
totiž neexistuje jediný přístupový bod do sítě, takže škodlivý kód, který by
obešel servery, by měl volné pole působnosti...

Ochrana před spamem
Viry, e-mailoví červi a další škodlivé kódy ale nejsou jedinými prvky, které
musíme technicky ošetřovat. Čím dál větším problémem současného IT světa je
také nevyžádaná elektronická pošta čili spam. Jeho přijímání či ukládání zabírá
nemálo technických prostředků, jeho identifikace a odstraňování je zase časově
náročné pro jednotlivé zaměstnance. Bez antispamového filtru, který alespoň
označuje podezřelé zprávy, si lze pracovní život těžko představit. Antispamové
řešení také šetří práci zaměstnanců, kteří pak mohou občas rychle prohlédnout
složku s podezřelou poštou, zdali se v ní náhodou nevyskytuje korektní zpráva.
Kromě toho je sníženo bezpečnostní riziko, protože s podezřelými zprávami je
nakládáno jinak než s korektní poštou.
Pro bezpečné fungování elektronické komunikace ovšem není zapotřebí nastavit
pouze technické prostředky. Berme třeba antivirový program až jako poslední
"záchrannou brzdu" a nikoliv jako všeřešící lék, který nás ochrání před
jakýmikoliv problémy. Slabiny antivirových řešení bezesporu existují.
Antispamový filtr také řeší až důsledky nevyžádané pošty, ale nebrání jejímu
vytváření nebo přijímání. Kromě technických řešení je totiž prevence a
pochopení problematiky ze strany všech pracovníků organizace základem
bezpečného a bezproblémového fungování elektronické komunikace. Je zapotřebí,
aby byla vypracována jasná pravidla pro používání e-mailů a především aby byla
následně dodržována.
Antispamový filtr je také neocenitelným pomocníkem ve chvíli, kdy se poštovní
server či konkrétní schránka stane cílem DoS (Denial of Service) útoku, tedy že
se ji útočník pokusí "zasypat" obrovským množství elektronické pošty, aby se
stala nepoužitelnou. Hledat jeden důležitý e-mail mezi desítkami tisíc
nesmyslně generovaných je pak bez automatického třídicího programu úkolem
vpravdě nadlidským.
Elektronická komunikace je bezesporu vítaným pomocníkem v každodenním životě,
anebo také noční můrou. Hranice mezi oběma protiklady je přitom velmi tenká a
záleží jen na nás, kterým směrem se rozhodneme vydat.Podíl uživatelů je nezbytný
Uživatelé si musí být vědomi, že technické prostředky musí doplňovat i oni (či
spíše že technické prostředky naopak doplňují chování uživatelů). Že nemohou
elektronickou adresu uvádět do kdejakých formulářů na webu (což způsobuje
záplavu spamu) nebo že klikat na každou přílohu u e-mailu je nebezpečné a
nezodpovědné.
Před phishingem či sociálním inženýrstvím pomáhají nejvíce právě školení a
informovanost. Některé záležitosti sice lze technicky ošetřit (např. detekovat
phishingové pokusy jako spam), ale vzhledem k velké variabilitě těchto útoků
nelze na techniku spoléhat. Nepřipraveného člověka je pak mnohem snadnější
obelstít než osobu informovanou a škody plynoucí z takovýchto útoků bývají
značné. Navíc veškerá pracně a nákladně budovaná bezpečností opatření jdou
stranou, pokud selže právě nejslabší článek systému člověk.
Nutné je definovat i zodpovědnost uživatel (včetně členů managementu, kteří
jsou bohužel v mnoha organizacích netknutelní a stanovují si vlastní "pravidla
hry") si musí být dobře vědom, že za porušení stanovených předpisů znamená
citelný postih. Finanční, kariérový, krácení zaměstnaneckých výhod prostě
cokoliv, co člověk opravdu pocítí. Situace je totiž mnohdy taková, že uživatel
se v případě bezpečnostního incidentu snaží svalit vinu na technické oddělení:
"Copak já můžu za to, že podpora vybrala špatný antivirový (respektive jiný
ochranný) program?"
Elektronický podpis také odbourává spoustu problémů, a to s identifikací
odesílatele, s útokem proti obsahu zpráv, s podvržením identity apod. Velmi
podobnou funkci plní i šifrování zprávy, kdy se nepovolaný útočník nedostane k
jejímu obsahu. Kromě snadno představitelných a již zmíněných rizik představuje
e-mail ještě jedno ne vždy si uvědomované nebezpečí. Mnoho uživatelů tráví
spoustu času sledováním elektronické pošty, zda se neobjevila nová zpráva, a
odpovídají na ni prakticky okamžitě, a to i ve chvíli, kdy okamžitá reakce není
nutná nebo žádaná. Takto tráví většinu pracovní doby, takže na skutečnou práci
nemají dostatek času či potřebného klidu. Ani tady nepomohou žádné technické
prostředky, ale pouze vzdělávání. Pokud zaměstnanec nemá v popisu práce pouze a
jen vyřizování elektronické komunikace, tak by se měl e-mailům věnovat jen
jednou nebo dvakrát denně. Jinak se elektronická pošta stává hrozbou ovšem
nikoliv ve smyslu bezpečnostního rizika, ale úrovně kvality i kvantity práce.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.