Asi už neexistuje nikdo, kdo by měl pocit, že by měl brát kyberbezpečnost na lehkou váhu. Nebo nepozorujete změny v postojích firem v souvislosti s posledními kyberútoky?
Určitě. Trend, kdy si společnosti vytvářejí síťovou politiku podle zásad kyberbezpečnosti a neberou ji jen jako doplňkovou službu, se každým dnem projevuje silněji. Už to není jen nějaký dokument, metodika nebo proces, který historicky nastavil člověk, který už třeba ani v dané firmě nepracuje.
Společnosti si uvědomují reálnou hrozbu a stále častěji vědí, co chtějí chránit, jen třeba nevědí jak nebo jaké jsou dnešní nejnovější možnosti v oblasti kyberbezpečnosti. Přílišnou medializaci si podle mě kyberútočník určitě nezaslouží, ale strach je bohužel zatím pořád tím nejsilnějším motorem, který umožňuje ve společnostech zavádět bezpečnostní opatření, jež by třeba ještě před rokem neměla šanci projít ani širší diskuzí.
Nejslabším článkem kyberbezpečnosti jsou lidé. Lze nějak tuto slabinu posílit?
Neřekl bych, že přímo lidé obecně. Přesněji, nejslabším článkem bývají lidé, kteří si neuvědomují rizika v kyberbezpečnosti. A asi nejhorší možný případ může být, když si tato rizika neuvědomuje, nezná je člověk zodpovědný za kyberbezpečnost v jemu svěřené síti. A ano, jako každou slabinu lze i tuto posílit.
Školení zaměstnanců v dnešní době pravidelně dělají téměř všechny společnosti, zkuste si ale vzpomenout z osobní zkušenosti, jakou formou. Naučí vás něco, nebo jen vedou k nucenému dokončení a splnění na požadovanou úroveň? A hlavně, z těchto školení sbírat zpětnou vazbu, vyhodnocovat jejich účinek, a když můj zaměstnanec tématu neporozumí, netrestat za výsledek, ale zamyslet se, kde může být procesní chyba v předání informace.
Platí, že silné heslo je dostatečná záruka bezpečí?
Troufnu si odpovědět radikálně, že rozhodně neplatí. I silné heslo splňující nejpřísnější standardy na složitost, délku, neopakovatelnost je pouze tak silné, jak je s ním nakládáno. Že si nesmím hesla psát na poznámkový papírek a lepit je na monitor, i díky několika kauzám ví dnes většina uživatelů.
Když ale například někdo používá stejné heslo pro všechny služby, ke kterým se přihlašuje, jeho únik na jedné z nich znamená jeho vyzrazení na všech. Heslo by tedy mělo být vaše střežené tajemství, jež by se nemělo sdílet ani například s rodinným příslušníkem.
Co silné heslo v kombinaci s dalším bezpečnostním faktorem? To už je záruka klidu?
Další bezpečnostní faktor vám může přidat na klidnějším spaní, ale rozhodně to není záruka naprostého klidu. Platí u něj stejné zásady jako u silného hesla, tedy že s ním především musím umět zacházet. Nejčastější dříve používaný faktor, SMS, dnes už nahrazují metody spojené s jednoznačnou identifikací uživatele, v extrémnějších případech i například vyžadující vlastnit token, zařízení generující společné tajemství.
Lze nějak tedy eliminovat potřebu hesla?
Ano. A nemusí jít o žádný složitý proces. Uživatelské jméno je informace, která poskytuje vaší identifikaci proti službě, heslo a každý další faktor vaši identitu potvrdí. Splníte-li potřebný počet faktorů, jež služba požaduje, je pro vás umožněn vstup, má se za potvrzené, že jste to opravu vy. Tento proces se nazývá MFA, vícefázové ověřování. Heslo samotné pak může být nahrazeno například znalostí polohy, certifikátem nebo třeba mobilní aplikací.
Jak přesně to funguje?
Možností je více, nabízí se ale například mobilní telefon. Odemykáte jej načtením otisku prstu, ověřením svého obličeje nebo například chytrý náramkem? Proč toho nevyužít a vaši jednoznačnou identifikaci nepotvrdit i při ověřování do služby. Komplexnější řešení nabízené například na Bezhesla.cz vám nabídnou aplikaci právě pro mobilní telefon, kdy server s ní spojený kontaktuje zaregistrované zařízení, to zobrazí výzvu s žádostí o potvrzení identity. Heslo jako faktor pak už není vůbec potřeba používat.
Jaké další nástroje jsou podle vás potřeba k tomu, aby byla firma v bezpečí?
Nejde asi o konkrétní bezpečnostní nástroje, jejich složitost nebo cenu. Hlavní podle mě je, aby s nimi firma uměla pracovat, rozuměla jim a jejich odpovědný správce věděl, jak jsou nastaveny. Komplexní systém ověřování zaměstnanců přistupujících k sítím bude nepoužitelný, pokud útočník využije například slabinu v managementu a dokáže si zkopírovat, vytvořit falešnou identitu. I když u každé společnosti může jít o sadu individuálních nástrojů, správný bezpečnostní partner by měl určitě umět zajistit pomoc při jejich výběru.