Tento článok je súčasťou seriálu 10 najväčších hrozieb.
Drvivej väčšine kybernetických incidentov sa dá účinne predísť dodržiavaním určitých pravidiel. Ochranu firiem majú vo svojich rukách IT administrátori aj samotní zamestnanci. Súbor systémových opatrení, na ktoré treba myslieť, je však robustný a firmy sa často rozhodnú pre jednoduchšiu cestu. Prvé miesto v rebríčku 10 najväčších hrozieb preto patrí nedôslednej správe firemných systémov.
V článku sa dočítate:
- Prečo treba monitorovať všetky zariadenia a aplikácie v sieti,
- prečo sa môže odkladanie aktualizácií vypomstiť útokom,
- ako správne zálohovať,
- prečo by nemali mať k citlivým údajom prístup všetci zamestnanci,
- a prečo je kľúčové vzdelávanie zamestnancov?
Každé zabezpečenie je len tak silné, ako jeho najslabší článok. V prípade ochrany firiem pred kybernetickými hrozbami to platí ešte viac. IT administrátori a bezpečnostní správcovia majú neľahkú úlohu dohliadnuť na obrovský komplex opatrení od opravy zraniteľností až po vzdelávanie zamestnancov. Platí pritom, že aj tá najmenšia chyba môže pre firmu skončiť katastrofou. Na čo všetko si treba dať pri nastavovaní firemnej bezpečnosti pozor?
Viete, čo všetko je zapojené vo firemnej sieti?
Je náročné chrániť firmu pred čoraz vyspelejšími kybernetickými hrozbami, ak neviete, z akej strany môžu prísť. Súčasťou firemných sietí je často množstvo programov, služieb ale aj zariadení, o ktorých správca nevie. Tomuto problému sa hovorí shadow IT. Neschválené prvky sa môžu v sieti vyskytnúť z dôvodu pohodlnosti zamestnancov, nerešpektovania firemných politík, nespokojnosti so súčasnými nástrojmi alebo jednoducho z dôvodu neinformovanosti.
Shadow IT predstavuje hrozbu z niekoľkých dôvodov. Zamestnanci môžu používať nástroje a aplikácie, ktoré nemusia byť dostatočne zabezpečené. Môžu napríklad obsahovať zraniteľnosti alebo nechránené dáta, čo otvára dvere pre útočníkov. Ak zamestnanci používajú nejaký nástroj „na čierno“, administrátor nad ním nemá kontrolu a kyberzločinci cez neho môžu napríklad do systému zaniesť malvér.
Samostatnou kapitolou sú IoT zariadenia zapojené do siete bez vedomia administrátorov. Často ide o zariadenia, ktorým chýbajú aj základné bezpečnostné prvky ako unikátne silné heslo pre každé zariadenie. Typickým príkladom sú napríklad Wi-Fi routre zamestnancov, ktorí pracujú z domu. Mnoho routerov má nakonfigurované slabé heslá z výroby, ktoré dokážu útočníci uhádnuť a zneužiť na pripojenie sa do siete.
Bezpečnostnou výzvou je aj koncept „Bring Your Own Device“ (BYOD). Mnohé firmy v súčasnosti umožňujú zamestnancom pracovať na svojich súkromných zariadeniach. Aj keď ide o efektívne riešenie, prináša so sebou riziká. Pri slabom zabezpečení môžu útočníci po infiltrácii súkromného zariadenia získať prístup do celofiremnej siete.
Ako minimalizovať hrozby súvisiace so shadow IT?
- Vypracujte politiku, ktorá jasne určí, aké zariadenia a aplikácie sú povolené a za akých podmienok možno do firemnej siete pripojiť nové zariadenie alebo nainštalovať program.
- Uistite sa, že zamestnanci si osvojili tieto pravidlá.
- Poskytnite zamestnancom na prácu potrebný hardvér aj softvér.
- Uvedomte si, prečo zamestnanci siahajú po neoficiálnych riešeniach. Môže to byť napríklad aj z toho dôvodu, že softvér, ktorý im firma poskytla, nevyhovuje ich požiadavkám.
- Používajte bezpečnostné riešenie, ktoré monitoruje stav na všetkých koncových zariadeniach.
Odkladáte aktualizácie? Môže sa vám to vypomstiť útokom
Okrem monitorovania toho aké aplikácie sú nainštalované vo firemnej sieti, je kriticky dôležité ustrážiť, aby bol každý softvér aj operačný systém aktualizovaný na svoju najnovšiu verziu. Mnohé aplikácie totiž obsahujú rôzne bezpečnostné chyby, takzvané zraniteľnosti, cez ktoré sa útočníci dokážu nabúrať do celej siete. Pri obrovskom počte programov, ktoré firmy a ich zamestnanci používajú, je pravdepodobné, že skôr či neskôr bude nejaký z nich obsahovať zraniteľnosť.
Jediný spôsob, ako zraniteľnosti opraviť, je prostredníctvom aktualizácie, ktorá chybu zapláta. Väčšina IT správcov pritom potvrdí, že oprava zraniteľností je jednou z časovo najnáročnejších úloh a celý proces je navyše čoraz zložitejší. Preťažené IT tímy preto často odsúvajú nasadzovanie záplat na druhú koľaj. Včasné nasadenie bezpečnostných záplat v aplikáciách a operačných systémoch je však kľúčové pri predchádzaní incidentom.
Dobrou správou je, že firmy môžu túto časovo náročnú úlohu najnovšie zveriť do rúk bezpečnostnému riešeniu. Nástroj ESET Vulnerability & Patch Management kontroluje tisícky populárnych aplikácií, napríklad Adobe Acrobat, Mozilla Firefox a Zoom Client, na prítomnosť viac ako 35-tisíc bežných zraniteľností a rizík (CVE). Zraniteľnosti je možné filtrovať a priorizovať podľa ich závažnosti. Firmy môžu uprednostniť opravu kritických chýb a zaplátanie zvyšných opráv naplánovať na čas mimo špičky, aby sa vyhli prerušeniam.
Kto všetko má prístup do firemných systémov?
Častou chybou, ktorú si firmy mnohokrát ani neuvedomujú, je poskytovanie prístupu k citlivým dátam aj zamestnancom, ktorý ho nepotrebujú. Útočníci tak majú väčšiu šancu, že sa dostanú k daným údajom. Napríklad, ak zamestnanec marketingu naletí na phishingový e-mail, hackeri sa môžu cez jeho účet dostať k osobným údajom ostatných zamestancov z HR oddelenia. Problému by sa pritom dalo predísť tým, že zamestnanec marketingu by k týmto dátam nemal prístup.
Príklad vyššie popisoval problém so zle nastavenou šírkou prístupových dát. Nebezpečenstvo však predstavuje aj keď sú práva používateľov zbytočne príliš vysoké. V prípade, že ten istý marketingový zamestnanec má napríklad práva administrátora, hackeri by dokázali po krádeži jeho prihlasovacích údajov vypnúť antivírusovú ochranu v celej firme a spustiť tak masívny útok.
Ani manažér by nemal mať administrátorské práva
Pri nastavovaní prístupových práv môže dôjsť ku kolízii medzi pohľadom IT oddelenia a manažéra či majiteľa spoločnosti. Pracovníci s rozhodovacou právomocou by často chceli mať prístup ku všetkým firemným systémom. IT oddelenie by im však malo vysvetliť, že ide o bezpečnostné riziko. Útočníci sa totiž často zameriavajú práve na vysokopostavených ľudí so širokými a vysokými právomocami.
Je preto dôležité nastaviť zamestnancom iba také práva, ktoré potrebujú na vykonávanie svojej práce. Riešením však nemusia byť ani extrémne prísne nastavené pravidlá, lebo tie majú zamestnanci tendenciu obchádzať. Z praxe však nie je pre náročnosť implementácie a správu pre všetky firmy úplne ideálny ani model zero-trust. Tento koncept sa zakladá na predpoklade, že netreba dôverovať žiadnemu prvku v sieti a vyžaduje kontrolu na každom kroku. To však znamená ďalšiu záťaž na zamestnancov, ktorý túto kontrolu vykonávajú a schvaľujú prípadné zmeny.
Prihlasuje sa do siete zamestnanec alebo útočník?
V čase rozmachu práce na diaľku a využívania rôznych služieb na spoluprácu je nevyhnutné tieto nástroje aj poriadne zabezpečiť. E-mailové servery, riešenia pre vzdialený prístup ako napríklad remote desktop protokol (RDP), cloudové služby či firemné aplikácie s verejným rozhraním API umožňujú jednoduchšiu komunikáciu aj spoluprácu. Zároveň sú však vystavené do internetu, a tým pádom aj prístupné útočníkom zvonka.
Pri ich zabezpečení by mali firmy začať vynucovaním silných a unikátnych hesiel pre každú službu. Jednoduché heslá dokážu hackeri prelomiť v rámci útokov hrubou silou. Ich podstata spočíva v tom, že hádajú obľúbené kombinácie znakov. K heslám sa navyše môžu zločinci dostať aj cez úniky údajov zo slabo zabezpečených aplikácií, ktoré zamestnanci používajú napríklad v súkromnom živote.
„Ak útočníci získajú heslo, skúšajú, či ho obeť nepoužíva aj inde, napríklad v pracovných účtoch. Práve preto je dôležité dbať na to, aby zamestnanci používali unikátne heslá,“ vysvetľuje Ondrej Kubovič, špecialista na digitálnu bezpečnosť spoločnosti ESET.
Mnohé firmy žiadajú po zamestnancoch, aby si pravidelne menili heslá. Aj keď je úmysel dobrý, zamestnancov môže toto pravidlo pri príliš vysokej frekvencii zvádzať k nastavovaniu slabých hesiel. Často sa stáva, že v starom a jednoduchom hesle zmenia iba jeden znak, aby si vedeli to nové zapamätať. V tomto prípade platí, že lepšie je zamerať sa na kvalitu hesla ako na jeho časté vymieňanie. Pri kvalitnom hesle stačí vyžadovať jeho zmenu aj iba raz ročne.
Pomôcť vám môže správca hesiel
Ak si chcete byť istí, že zamestnanci vo vašej firme používajú naozaj silné heslá, implementujte na zariadeniach nástroj password manager. Správca hesiel generuje unikátne a silné heslá pre všetky účty, pričom používateľovi stačí zapamätať si iba jedno hlavné heslo.
Treba sa však poistiť aj pre prípad, že útočníci heslo získajú či už phishingom, hrubou silou alebo z úniku dát. Bezpečnostnou poistkou, ktorá ich ďalej nepustí, je dvojfaktorová autentifikácia, ktorá si od používateľa vyžiada ďalší údaj a overí tak, že ide skutočne o autorizovanú osobu.
Existuje niekoľko foriem verifikácie. Medzi najpoužívanejšie patrí overenie prostredníctvom SMS kódu. Tento postup však nie je ideálny, lebo existujú techniky, ktoré útočníkom umožňujú sledovať, odchytiť prípadne aj presmerovať zaslaný SMS kód. Bezpečnejšou cestou je využiť autentifikáciu vo forme fyzických tokenov alebo aplikácií na generovanie jednorazových kódov.
Overovanie chráni, nie škodí
Mnohí zamestnanci môžu niekoľkonásobné preukazovanie svojej identity vnímať ako zbytočnú záťaž, ktorá ich spomaľuje. Je potrebné im vysvetliť, pred akými situáciami chráni dvojfaktorová autentifikácia firmu a zdôrazniť im, že súčinnosťou prispievajú ku kybernetickej odolnosti firmy.
Vhodnou formou ochrany je najmä pri práci na diaľku aj sprístupnenie vybraných destinácií iba po prihlásení sa na firemnú VPN sieť. Tá vytvára šifrovaný tunel medzi používateľom a firemnou sieťou. Keď sú určité služby dostupné iba cez VPN, znižuje to exponované plochy a vystavenosť vonkajším hrozbám. To znamená, že služby nie sú priamo prístupné z internetu a sú chránené pred bežnými hrozbami, napríklad pred hromadným skenovaním.
Opatrnosť je na mieste aj v prípade partnerov
Pri nastavovaní pravidiel kybernetickej bezpečnosti je potrebné myslieť aj na vašich biznis partnerov. Subdodávatelia majú často určité prístupy aj do firmy, s ktorou spolupracujú. Môžu napríklad zdieľať spoločné systémy alebo služby, napríklad cloudové úložiská alebo komunikačné nástroje. Ak sa útočníkovi podarí preniknúť do systému vášho partnera, môže sa za určitých okolností nabúrať aj do vašej firmy. Útoky na dodávateľský reťazec sú obávané práve najmä z dôvodu ich širokého zásahu.
Je potrebné, aby sa firmy pripravili po technickej aj právnej stránke na možnosť, že útok môže prísť cez dodávateľský reťazec. Po svojom partnerovi môžete napríklad požadovať zmluvné podmienky, v ktorých garantuje svoje kybernetické zabezpečenie. Môže ísť o požiadavky ako pravidelné testovanie bezpečnosti systémov, aktualizácie zabezpečenia, používanie silných hesiel či šifrovanie dát.
Rebríček 10 najväčších hrozieb
1. Nedôsledná správa firemných systémov
2. Phishing
3. Ransomvér
4. Hybridná práca
5. Útoky na dodávateľský reťazec
6. IoT hrozby
7. Fyzické hrozby
8. Pokročilé hrozby
9. Nedostatok bezpečnostných špecialistov
10. Hrozby zvnútra firmy
Ste pripravení aj na najhorší scenár?
Niekedy sa stane, že útočníkom sa podarí do siete preniknúť aj pri solídnom zabezpečení. V prípade útoku ransomvérom napríklad zašifrujú citlivé dáta, o ktoré môže firma nenávratne prísť, čo môže ochromiť chod celej prevádzky. Hrozbou sú však napríklad aj prírodné katastrofy, ktoré môžu spolu so zariadeniami zničiť aj údaje. Je preto potrebné, aby mali firmy vždy vypracovaný plán pre krízové situácie a pravidelne zálohovali.
Efektívne zálohovanie by malo byť pri tom diverzifikované. Existujú softvéry, ktoré sa postarajú o pravidelné a automatizované zálohovanie. Najbezpečnejšie je však údaje uchovávať zároveň aj na fyzických nosičoch. Treba si ale pritom dávať pozor na zabezpečenie miesta, kam takéto disky umiestnite.
Pri zálohovaní odporúčame dodržiavať tieto pravidlá:
- Zálohujte pravidelne a zvoľte si dôveryhodného dodávateľa automatizovaného zálohovania
- Ukladajte zálohy na viacero miest, fyzicky aj v cloude
- Pravidelne overujte funkčnosť zálohovacieho systému
- Zaistite, že zálohované dáta sú šifrované
- Obmedzte prístup k zálohám, tak aby prístup mali iba oprávnené osoby
Zverte bezpečnosť do rúk kompetentných ľudí
Realita mnohých menších slovenských firiem je taká, že o ich digitálnu bezpečnosť sa stará známy alebo známa, „čo tomu rozumie“. Organizácie často kybernetické hrozby podceňujú a chybne si myslia, že sa ich netýkajú. Kybernetickú ochranu tak zveria do rúk jednej osobe, ktorá má na starosti všetko, čo sa týka IT, od vymenenia tonerov v tlačiarni až po bezpečnosť všetkých zariadení v sieti. Spoliehajú sa pritom na to, že ochranu zastreší najmä antivírusový softvér.
Kvalitné bezpečnostné riešenie síce dokáže mnohé riziká pokryť, no bez vstupu človeka nepredstavuje komplexnú a nepriestrelnú ochranu. Problémom totiž môže byť nedodržiavanie rôznych bezpečnostných opatrení, ktoré spomíname aj v tomto texte.
„Firma môže používať to najlepšie bezpečnostné riešenie, ale keď raz útočník vymámi prostredníctvom techník sociálneho inžinierstva z nevyškoleného zamestnanca heslo, samotný softvér bez ďalších opatrení jej nepomôže. Je preto potrebné, aby bezpečnosť vo firme spravovala kompetentná osoba, ktorá si uvedomuje jej komplexnosť,“ vysvetľuje Ondrej Kubovič.
Riešením môže byť outsourcing bezpečnosti
Ak má vaša firma problém zohnať vlastného špecialistu na IT bezpečnosť, alebo si ho nemôžete dovoliť, riešením je využiť služby externých poskytovateľov MSP (Managed Service Provider). Ide o spoločnosti, ktoré majú vlastné tímy špecialistov na jednotlivé oblasti. Tieto služby si môžete prenajať na správu celej IT infraštruktúry vašej organizácie. Postarajú sa o chod a aktualizáciu systémov, vybavia operatívne požiadavky zamestnancov a dohliadnu aj na bezpečnosť.
Veľké firmy s vlastným IT tímom sa zas môžu trápiť so správou pokročilých bezpečnostných riešení. Na svoju ochranu totiž často používajú sofistikovaný nástroj rozšírenej detekcie a reakcie (XDR), ktorý nepretržite monitoruje dianie v celej sieti a hlási v reálnom čase podozrivú aktivitu. Aby z tohto riešenia dokázali firmy vyťažiť maximum, potrebujú dostatočný počet špecializovaných pracovníkov na jeho správu a vyhodnocovanie.
Riešením pre firmy, ktoré nemajú vlastných profesionálov, ale chcú využívať pokročilý nástroj XDR, sú služby riadenej detekcie a reakcie MDR, ktoré zákazníka kompletne odbremenia od všetkých starostí so správou digitálnej bezpečnosti. ESET tieto služby ponúka v balíku ESET PROTECT MDR.
Bez vzdelávania zamestnancov to nepôjde
Jedným z najdôležitejších krokov, ktorým môžete na systémovej úrovni prispieť k posilneniu kybernetickej odolnosti vašej organizácie, je vzdelávanie zamestnancov. Práve na nich totiž stojí a padá snaha IT tímov. Pri správnej komunikácii dokážete k technickým opatreniam pridať aj ľudský firewall.
Kľúčové je, aby zamestnanci nemali pocit, že IT oddelenie ide proti nim. Dôležitú úlohu v tomto prípade zohrávajú aj sofstkillové zručnosti IT pracovníkov, ktorí dokážu kolegom z ostatných oddelení vysvetliť, že bezpečnosť je niečo, čo im pomáha, a nie nepriateľ, ktorý im hádže polená pod nohy.
Problém môžu mať aj dlhoroční zamestnanci
Starší zamestnanci, ktorí sú zvyknutí dlhé roky na určité postupy, sa môžu brániť novým pravidlám. O to dôležitejšia je trpezlivosť pri vysvetľovaní významu zavádzaných opatrení.
Pri posilňovaní kybernetickej odolnosti zamestnancov odporúčame riadiť sa týmito princípmi:
- Poskytnite zamestnancom tréningy kybernetickej bezpečnosti. Uistite sa, že vedia ako odhaliť rôzne hrozby a ako na ne bezpečne reagovať. V ideálnom prípade začnite už od prvého dňa a neustále rozvíjajte znalosti svojich zamestnancov. Môžete pri tom využiť rôzne interaktívne techniky, napríklad posielať pracovníkom cvičné phishingové e-maily a zisťovať, či ich nahlásia.
- Vytvorte ľahko zrozumiteľné bezpečnostné politiky. Nezaťažujte zamestnancov prílišným množstvom informácií, no uistite sa, že každý zamestnanec vie, čo má robiť a ako neohroziť digitálnu bezpečnosť.
- Na nikoho nezabudnite. Terčom kybernetických zločincov sa môže stať ktokoľvek vrátane generálneho riaditeľa či pracovníka na recepcii. Nevynechajte žiadneho zamestnanca a uistite sa, že každý vie, s akými situáciami sa môže na svojej pozícii stretnúť.
- Odmeňte pokrok. Ak vidíte, že vaši zamestnanci komunikujú s IT oddelením, dodržiavajú bezpečné pracovné návyky v digitálnom svete a sú ochotní učiť sa a napredovať v oblasti digitálnej bezpečnosti, ponúknite tým, ktorí si to zaslúžia, nejakú odmenu.
2. Phishing – manipulácia, ktorá môže pre firmu skončiť pohromou
Na začiatku ničivých kybernetických útokov voči firmám je väčšinou zamestnanec, ktorý naletí na podvodný e-mail. Kým donedávna sa dali takéto správy pomerne jednoducho rozoznať, s nástupom nástrojov umelej inteligencie sa treba pripraviť na pokusy, ktoré budú takmer na nerozoznanie od legitímnej komunikácie.