Firmy dlouhá léta umožňovaly svým zaměstnancům používat pro přístup k nejcitlivějším souborům libovolný prohlížeč. IT šéfové byli přesvědčení, že potřebnou ochranu zajistí nejrůznější bezpečnostní software.
Jaký prohlížeč využíváte?
Až do roku 2020 byl tento názor do jisté míry platný. Okolnosti vyvolané pandemiemi, však změnily téměř vše.
Aniž by si kdokoliv všímal nebezpečí, které hrozí skrze prohlížeč, který se stal přístupovou cestou do firemního IT ekosystému z obrovského množství nových vzdálených pracovišť.
Problém s prohlížeči vyplývá ze dvou hlavních aspektů: zaměstnavatelé prakticky neomezují, jaký prohlížeč mohou zaměstnanci používat, a na podnikové úrovni nepoužívají žádnou ochranu, která by stála nad těmito prohlížeči.
Problém jménem přístup
První zmíněný problém je nejbizarnější. IT oddělení povolují používání jakéhokoli prohlížeče i v tom nejcitlivějším prostředí.
Dovedete si představit, že by takový přístup platil v jiných oblastech? Kolik IT šéfů by pracovníkům řeklo, že mohou používat jakoukoli aplikaci VPN, včetně těch bezplatných pro běžné uživatele?
Nevadilo by podnikovému CIO, kdyby někdo z finančního oddělení ignoroval firemní licenci na Excel a místo toho se rozhodl vložit citlivé údaje o mzdách do freewarové tabulky nalezené na herní stránce v Číně?
Nebo by se snad zaměstnanec mohl vzdát firemního účtu Zoom placeného kvůli videokonferencím o chystaných akvizicích a začal používat bezplatnou službu, o které nikdo nikdy neslyšel?
IT oddělení obvykle udržuje přísnou kontrolu nad veškerým softwarem, který se týká citlivých oblastí, prohlížeče ale nikdo neřeší?
Pojďme se krátce ponořit do historie. Když se grafické prohlížeče poprvé masově rozšířily do podniků (nezapomeňte, že první prohlížeče, jako například Cello a Lynx, byly čistě textové) kolem roku 1994, bylo cílem co nejvíce usnadnit lidem interakci s webem. Internet v té době existoval mnoho let, ale web se zpopularizoval teprve nedávno.
Problém spočívá v tom, že jak se prostředí stávala exponenciálně složitějšími a přístup k mimořádně citlivým datům prudce rostl, IT oddělení se nezastavilo, aby přehodnotilo staré zásady týkající se prohlížečů.
Kdyby si IT správci vybrali jeden konkrétní prohlížeč, který by nařídili používat, kontrola by byla o světelné roky jednodušší. Mohli by dokonce vyžadovat, aby uživatelé měli přístup k jeho nejnovější verzi, což by umožnilo přísně dbát na aktualizace.
A třeba interní webové stránky by mohly být navrženy přímo pro tento prohlížeč, což by mnohem pravděpodobněji poskytlo všem uživatelům stejnou zkušenost.
Takový firemní mandát však vyvolává několik otázek, které by bylo třeba řešit:
· Stolní počítače vs. mobilní zařízení. Některé podniky by možná musely zvážit standardizaci jednoho prohlížeče pro stolní počítače a případně jiného prohlížeče pro mobilní zařízení.
· IT pravidla. Některé prohlížeče s významným podílem na trhu jsou hluboce integrovány s prostředím jednoho výrobce, například Google Chrome a Microsoft Edge. V závislosti na tom, jak jsou vaše prostředí integrována s různými platformami, to může být problém.
· Dodržování předpisů. Někteří z výrobců prohlížečů jsou agresivnější v posouvání hranic ochrany osobních údajů a dalších dat, zejména pokud se jedná o generativní umělou inteligenci. Usnesení se na jednom z nich může vést k problémům s dodržováním firemních předpisů, zejména pokud máte významné zastoupení v Evropě, Austrálii nebo Kanadě.
· Geografie. Kromě problémů s dodržováním předpisů je třeba zvážit i jazykové a další otázky regionální podpory, zejména pokud máte významnou přítomnost v Asii.
Problém jménem zabezpečení
Tím se dostáváme k problému číslo dvě. Prohlížeče nebyly v počátcích navrženy tak, aby byly alespoň trochu bezpečné – a dodnes se toho moc nezměnilo.
Proto musí IT oddělení trvat na tom, aby něco fungovalo jako bezpečná vrstva mezi vaším prostředím a jakýmkoli prohlížečem – dokonce i vaším vlastnoručně vybraným oblíbeným prohlížečem.
Protože potřeby každého podniku jsou jiné, neexistuje univerzální řešení zabezpečení prohlížeče. Vrstva zabezpečení prohlížeče musí dobře spolupracovat s vašimi stávajícími systémy a rozhodujícími faktory jsou vaše konkrétní potřeby shody s firemními předpisy.
„Prohlížeč je aplikace číslo jedna, kterou všichni používají. Dnešní prohlížeče jsou mnohem výkonnější než starší verze,“ říká Dor Zvi, generální ředitel bezpečnostní firmy Red Access.
„Dnešní prohlížeče jsou tak výkonné, že se chovají téměř jako operační systém.“ Zvi nebezpečnost prohlížečů potvrzuje.
„Mnoho útoků dnes může probíhat výhradně v prohlížeči. Dochází k nim v rámci rozhraní prohlížeče, což znamená, že nebezpečí není na straně sítě ani na straně koncového bodu. Prohlížeč nyní uchovává soubory cookie a tokeny pro všechny aplikace,“ říká.
„Řekněme, že se mi někdo snaží ukrást dvoufaktorové ověřování Okta. Útočník takový útok může spustit výhradně pomocí práv prohlížeče a nikdo se o tom nedozví.“
Problém jménem rozšíření
Další problém s povolením přístupu k systémům jakémukoli prohlížeči se týká jeho rozšíření. Stejně jako Apple a Google nedokážou dostatečně hlídat své aplikace, aby odhalily a odstranily ty škodlivé, nemohou týmy prohlížečů ověřovat legitimitu nabízených rozšíření.
Škodlivý prohlížeč má často neomezený přístup ke všemu, co skrz prohlížeč děláte nebo vidíte. Proto je důležitá standardizace na jeden prohlížeč, která umožňuje IT oddělení omezit i jeho rozšíření.
Je toho hodně, o čem je třeba přemýšlet – ale raději ne těsně před spaním.
Security World si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí. Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.