Je těžké jednoznačně určit, který bezpečnostní mýtus je nejhorší a způsobuje největší škody. Rozhodně se však nevyplácí spoléhat se na to, že firma je pro útočníky nezajímavý cíl. Stejně tak podceňovat zabezpečení zařízení, která nevnímáme jako napadnutelná přesto, že jsou zapojená do počítačových sítí.
„Informační technologie umožňují firmám inovovat, nabízet své služby zákazníkům na míru, zjednodušit administrativu a dosáhnout konkurenční výhody. Přináší ale i mnohá rizika, která naprostá většina organizací podceňuje,“ říká Michal Merta, ředitel pražského Cyber Fusion centra společnosti Accenture.
V oblasti kyberbezpečnosti je podle něj rozšířená spousta mýtů a důvěra v ně dělá z mnoha společností snadné cíle pro potenciální útočníky.
1. Pro útočníky nejsme zajímavý cíl
Kdyby se sestavoval pomyslný žebříček nebezpečných mýtů v oblasti kybernetické bezpečnosti, jedno z předních míst by určitě obsadilo tvrzení „moje firma je na kyberútok moc malá“. Tahle domněnka je stejně tak rozšířená, jako mylná.
Kyberútočníci se o velikost firmy nestarají a často převládá vidina možného zisku. Ve valné většině kybernetických útoků je tím, co z firmy udělá cíl, jen pouhá náhoda. Pro kyberútočníky může být výhodné napadat malé firmy, jejichž vedení si myslí, že jim za útok nestojí.
Důvodů, proč menší firmy mohou být lákavý cíl pro potenciální útočníky, je více. Menší firmy neinvestují tolik prostředků do IT zabezpečení či jej podceňují, a tím lákají útočníky, kteří mají nižší dovednosti, nebo útočníky, kteří si potřebují vyzkoušet své postupy, případně přesvědčit o svých dovednostech potenciálního sponzora,tvrdí Accenture.
Počítačová kriminalita přitom neohrožuje jen banky, pojišťovny a další podobné instituce. I když se firemní data zrovna nepodaří prodat na černém trhu, kyberútočníci je mohou zašifrovat a vymáhat výkupné nebo použít pro přípravu komplexnějších útoků.
„Podle naší zkušenosti se mnoho společností stane cílem plošné kybernetické vlny útoků v podstatě náhodně. Následkem může být krádež, ztráta nebo zablokování dat, poškození technologie nebo její vyřazení z provozu, případně odcizení know-how,“ vysvětluje Martin Pejsar z BNP Paribas Cardif.
Webcast: Bezpečnostní katastrofy v roce 2021 …a jak jsme se (ne)poučili
Zranitelnost Log4j, o které se mluvilo v tisku na přelomu roku, je typickým příkladem toho, jak důležité je poučit se z průšvihů druhých. Jak, to vám ukáže náš webcast.
Registrujte se zde.
2. Bezpečnost ohlídá antivirový program
Řada organizací se spoléhá na silná hesla a antivirový software. Ačkoliv obojí má svou nepochybnou hodnotu, ani jedno neposkytuje absolutní záruku bezpečnosti. Silná hesla jsou dobrá věc.
Při dostatečném úsilí, tedy dostatečném množství strojového času, je ale možné prakticky každé heslo prolomit. Obranou je hesla obměňovat, a hlavně používat dvou- či vícefaktorovou autentizaci.
Problém antivirového softwaru je v tom, že tyto programy obvykle využívají rozsáhlou databázi škodlivého kódu. Pokud bude vaši síť ohrožovat něco, co software už zná, není příliš důvodů se strachovat. Proti novým hrozbám však taková pasivní obrana nestačí.
Pro zajištění bezpečnosti firemní infrastruktury je nejspolehlivější metodou aktivní vyhledávání zranitelných míst, což ale není úkol pro interní IT oddělení, tomu se věnují odborné týmy, vysvětluje Merta.
3. Zabezpečit je třeba hlavně počítače
Do firemních sítí je připojena řada zařízení, která nejsou vnímána jako nebezpečná, a přesto přes ně protékají důležitá data, zajímavá pro útočníky. Typickým příkladem jsou kombinované skenery a tiskárny, na nichž se skenují, kopírují a tisknou smlouvy, nabídky a další citlivá data.
„Dnes už nic jako čistě „hardware“ neexistuje. Všechno jsou integrované obvody, v podstatě malé počítače, které mohou dělat cokoliv a ke své správné činnosti potřebují obslužný software. A jako software se v principu mohou stát zranitelnými,“ tvrdí Ondřej Ševeček, odborník na etický hacking a bezpečnost z Gopasu.
Kvůli tomu se podle něj zavádí ve firmách bezpečnostní standardy určující například pravidelné aktualizace a záplatování všech informačních technologií – od počítačů po čidla teploty. Plyne z toho také, že žádné zabezpečení není samo dostatečné.
Bezpečnosti se dosahuje tedy vrstvením různých bezpečnostních opatření. V případě útoků na sdílené firemní tiskárny se dá expozice snížit například tím, že nejsou přístupné z internetu nebo ani z celé firmy, pouze ze sítí, kde se zrovna ta která konkrétní tiskárna využívá, dodává Ševeček.
4. Bezpečnostní hrozby přichází zvenku
Poslední z rozšířených pověr je představa, že bezpečnostní hrozby přichází odněkud zvenku. Velmi často to tak není.
Podstatnou část úniků dat mají na svědomí zaměstnanci. Ať už jde o úmyslnou činnost odcházejícího nespokojeného zaměstnance nebo se jedná o incident způsobený nepozorností, nejzranitelnější článek bezpečnostního řetězce vždycky byl a bude člověk. Vnitřní hrozby je proto potřeba monitorovat stejně jako vnější, uzavírá Accenture.
Security World si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí. Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.