Každé zabezpečenie je len tak silné, ako jeho najslabší článok. V prípade ochrany firiem pred kybernetickými hrozbami to platí niekoľkonásobne. IT administrátori majú neľahkú úlohu dohliadnuť na obrovský komplex opatrení od opravy zraniteľností až po vzdelávanie zamestnancov.
Odborníci zo spoločnosti ESET zostavili v rámci portálu Bezpečne vo firme rebríček 10 najväčších hrozieb, ktorým v súčasnosti čelia firmy z hľadiska kybernetickej bezpečnosti. Na prvom mieste sa umiestnila nedôsledná správa systémov. Ide o chyby, ktorým organizácie vedia predísť. Na čo rozhodne nezabudnúť pri nastavovaní bezpečnosti?
Viete, čo všetko je zapojené vo firemnej sieti?
Je náročné chrániť firmu pred čoraz vyspelejšími kybernetickými hrozbami, ak neviete, z akej strany môžu prísť. Súčasťou firemných sietí je často množstvo programov, služieb ale aj zariadení, o ktorých správca nevie. Tomuto problému sa hovorí shadow IT. Neschválené prvky sa môžu v sieti vyskytnúť z dôvodu pohodlnosti zamestnancov, nerešpektovania firemných politík, nespokojnosti so súčasnými nástrojmi alebo jednoducho z dôvodu neinformovanosti.
Shadow IT predstavuje hrozbu z niekoľkých dôvodov. Zamestnanci môžu používať nástroje a aplikácie, ktoré nemusia byť dostatočne zabezpečené. Môžu napríklad obsahovať zraniteľnosti alebo nechránené dáta, čo otvára dvere pre útočníkov. Ak zamestnanci používajú nejaký nástroj „na čierno“, administrátor nad ním nemá kontrolu a kyberzločinci cez neho môžu napríklad do systému zaniesť malvér.
Samostatnou kapitolou sú IoT zariadenia zapojené do siete bez vedomia administrátorov. Často ide o zariadenia, ktorým chýbajú aj základné bezpečnostné prvky ako unikátne silné heslo pre každé zariadenie. Typickým príkladom sú napríklad Wi-Fi routre zamestnancov, ktorí pracujú z domu. Mnoho routerov má nakonfigurované slabé heslá z výroby, ktoré dokážu útočníci uhádnuť a zneužiť na pripojenie sa do siete.
Odkladáte aktualizácie? Môže sa vám to vypomstiť útokom
Okrem monitorovania toho aké aplikácie sú nainštalované vo firemnej sieti, je kriticky dôležité ustrážiť, aby bol každý softvér aj operačný systém aktualizovaný na svoju najnovšiu verziu. Mnohé aplikácie totiž obsahujú rôzne bezpečnostné chyby, takzvané zraniteľnosti, cez ktoré sa útočníci dokážu nabúrať do celej siete. Pri obrovskom počte programov, ktoré firmy a ich zamestnanci používajú, je pravdepodobné, že skôr či neskôr bude nejaký z nich obsahovať zraniteľnosť.
Jediný spôsob, ako zraniteľnosti opraviť, je prostredníctvom aktualizácie, ktorá chybu zapláta. Väčšina IT správcov pritom potvrdí, že oprava zraniteľností je jednou z časovo najnáročnejších úloh a celý proces je navyše čoraz zložitejší. Preťažené IT tímy preto často odsúvajú nasadzovanie záplat na druhú koľaj. Včasné nasadenie bezpečnostných záplat v aplikáciách a operačných systémoch je však kľúčové pri predchádzaní incidentom.
Dobrou správou je, že firmy môžu túto časovo náročnú úlohu najnovšie zveriť do rúk bezpečnostnému riešeniu. Nástroj ESET Vulnerability & Patch Management kontroluje tisícky populárnych aplikácií, napríklad Adobe Acrobat, Mozilla Firefox a Zoom Client, na prítomnosť viac ako 35-tisíc bežných zraniteľností a rizík (CVE). Zraniteľnosti je možné filtrovať a priorizovať podľa ich závažnosti. Firmy môžu uprednostniť opravu kritických chýb a zaplátanie zvyšných opráv naplánovať na čas mimo špičky, aby sa vyhli prerušeniam.
Kto všetko má prístup do firemných systémov?
Častou chybou, ktorú si firmy mnohokrát ani neuvedomujú, je poskytovanie prístupu k citlivým dátam aj zamestnancom, ktorý ho nepotrebujú. Útočníci tak majú väčšiu šancu, že sa dostanú k daným údajom. Napríklad, ak zamestnanec marketingu naletí na phishingový e-mail, hackeri sa môžu cez jeho účet dostať k osobným údajom ostatných zamestancov z HR oddelenia. Problému by sa pritom dalo predísť tým, že zamestnanec marketingu by k týmto dátam nemal prístup.
Príklad vyššie popisoval problém so zle nastavenou šírkou prístupových dát. Nebezpečenstvo však predstavuje aj keď sú práva používateľov zbytočne príliš vysoké. V prípade, že ten istý marketingový zamestnanec má napríklad práva administrátora, hackeri by dokázali po krádeži jeho prihlasovacích údajov vypnúť antivírusovú ochranu v celej firme a spustiť tak masívny útok. Je preto dôležité nastaviť zamestnancom iba také práva, ktoré potrebujú na vykonávanie svojej práce.
Prihlasuje sa do siete zamestnanec alebo útočník?
Pri zabezpečení by mali firmy myslieť aj na vynucovanie silných a unikátnych hesiel pre každú službu. Jednoduché heslá dokážu hackeri prelomiť v rámci útokov hrubou silou. Ich podstata spočíva v tom, že hádajú obľúbené kombinácie znakov. K heslám sa navyše môžu zločinci dostať aj cez úniky údajov zo slabo zabezpečených aplikácií, ktoré zamestnanci používajú napríklad v súkromnom živote.
„Ak útočníci získajú heslo, skúšajú, či ho obeť nepoužíva aj inde, napríklad v pracovných účtoch. Práve preto je dôležité dbať na to, aby zamestnanci používali unikátne heslá,“ vysvetľuje Ondrej Kubovič, špecialista na digitálnu bezpečnosť spoločnosti ESET.
Mnohé firmy žiadajú po zamestnancoch, aby si pravidelne menili heslá. Aj keď je úmysel dobrý, zamestnancov môže toto pravidlo pri príliš vysokej frekvencii zvádzať k nastavovaniu slabých hesiel. Často sa stáva, že v starom a jednoduchom hesle zmenia iba jeden znak, aby si vedeli to nové zapamätať. V tomto prípade platí, že lepšie je zamerať sa na kvalitu hesla ako na jeho časté vymieňanie. Pri kvalitnom hesle stačí vyžadovať jeho zmenu aj iba raz ročne.
Treba sa však poistiť aj pre prípad, že útočníci heslo získajú či už phishingom, hrubou silou alebo z úniku dát. Bezpečnostnou poistkou, ktorá ich ďalej nepustí, je dvojfaktorová autentifikácia, ktorá si od používateľa vyžiada ďalší údaj a overí tak, že ide skutočne o autorizovanú osobu. Najbezpečnejšou cestou je využiť autentifikáciu vo forme fyzických tokenov alebo aplikácií na generovanie jednorazových kódov.
Vhodnou formou ochrany je najmä pri práci na diaľku aj sprístupnenie vybraných destinácií iba po prihlásení sa na firemnú VPN sieť. Tá vytvára šifrovaný tunel medzi používateľom a firemnou sieťou. Keď sú určité služby dostupné iba cez VPN, znižuje to exponované plochy a vystavenosť vonkajším hrozbám. To znamená, že služby nie sú priamo prístupné z internetu a sú chránené pred bežnými hrozbami, napríklad pred hromadným skenovaním.
(zdroj: ESET)
Ste pripravení aj na najhorší scenár?
Niekedy sa stane, že útočníkom sa podarí do siete preniknúť aj pri solídnom zabezpečení. V prípade útoku ransomvérom napríklad zašifrujú citlivé dáta, o ktoré môže firma nenávratne prísť, čo môže ochromiť chod celej prevádzky. Hrozbou sú však napríklad aj prírodné katastrofy, ktoré môžu spolu so zariadeniami zničiť aj údaje. Je preto potrebné, aby mali firmy vždy vypracovaný plán pre krízové situácie a pravidelne zálohovali.
Efektívne zálohovanie by malo byť pri tom diverzifikované. Existujú softvéry, ktoré sa postarajú o pravidelné a automatizované zálohovanie. Najbezpečnejšie je však údaje uchovávať zároveň aj na fyzických nosičoch. Treba si však pritom dávať pozor na zabezpečenie miesta, kam takéto disky umiestnite.
Zverte bezpečnosť do rúk kompetentných ľudí
Realita mnohých menších slovenských firiem je taká, že o ich digitálnu bezpečnosť sa stará známy alebo známa, „čo tomu rozumie“. Organizácie často kybernetické hrozby podceňujú a chybne si myslia, že sa ich netýkajú. Kybernetickú ochranu tak zveria do rúk jednej osobe, ktorá má na starosti všetko, čo sa týka IT, od vymenenia tonerov v tlačiarni až po bezpečnosť všetkých zariadení v sieti. Spoliehajú sa pritom na to, že ochranu zastreší najmä antivírusový softvér.
Kvalitné bezpečnostné riešenie síce dokáže mnohé riziká pokryť, no bez vstupu človeka nepredstavuje komplexnú a nepriestrelnú ochranu. Problémom totiž môže byť nedodržiavanie rôznych bezpečnostných opatrení, ktoré spomíname aj v tomto texte.
„Firma môže používať to najlepšie bezpečnostné riešenie, ale keď raz útočník vymámi prostredníctvom techník sociálneho inžinierstva z nevyškoleného zamestnanca heslo, samotný softvér bez ďalších opatrení jej nepomôže. Je preto potrebné, aby bezpečnosť vo firme spravovala kompetentná osoba, ktorá si uvedomuje jej komplexnosť,“ vysvetľuje Ondrej Kubovič.
Veľké firmy sa zas môžu pre nedostatok špecialistov trápiť so správou pokročilých bezpečnostných riešení ako je XDR, ktoré nepretržite monitorujú dianie v celej sieti a hlásia v reálnom čase podozrivú aktivitu. Riešením pre firmy, ktoré nemajú vlastných profesionálov, ale chcú využívať pokročilý nástroj XDR, sú služby riadenej detekcie a reakcie MDR, ktoré zákazníka kompletne odbremenia od všetkých starostí so správou digitálnej bezpečnosti.
Bez vzdelávania zamestnancov to nepôjde
Jedným z najdôležitejších krokov, ktorým môžete na systémovej úrovni prispieť k posilneniu kybernetickej odolnosti vašej organizácie, je vzdelávanie zamestnancov. Práve na nich totiž stojí a padá snaha IT tímov. Pri správnej komunikácii dokážete k technickým opatreniam pridať aj ľudský firewall.
Kľúčové je, aby zamestnanci nemali pocit, že IT oddelenie ide proti nim. Dôležitú úlohu v tomto prípade zohrávajú aj sofstkillové zručnosti IT pracovníkov, ktorí dokážu kolegom z ostatných oddelení vysvetliť, že bezpečnosť je niečo, čo im pomáha, a nie nepriateľ, ktorý im hádže polená pod nohy.
Konkrétne typy na optimálne zabezpečenie firmy pred kybernetickými hrozbami nájdete na portáli Bezpečne vo firme.
