„Nejjednodušší cesta do sítě vede přes neproškoleného uživatele,” říká Jan Mitoraj
S úniky citlivých dat se setkáváme dnes a denně. Jaká místa v síti jsou ale ohrožena nejvíce a jak by mělo vypadat její správné zabezpečení? To vše (a ještě mnohem více) prozradil v rozhovoru vedoucí oddělení outsourcingu Railsformers s.r.o. Jan Mitoraj.
Prozradíš nám ve zkratce, co si vlastně můžeme pod pojmem kyberbezpečnost představit?
Když to vezmu laickým pohledem, jakmile opustím dům, zamykám za sebou dveře. V IT je to dost podobné, avšak s jediným podstatným rozdílem. Když zamknu dům, chráním se proti zlodějům, kteří přijdou zvenčí. V případě bezpečnosti v IT chceme většinou chránit i zevnitř. Navíc, většina firemního IT je bludiště s milionem dveří, kde někdo (nebo něco) musí hlídat, kdo má od kterých dveří klíč a zda jsou všechny zamčené.
Odbornějším pohledem jsou to hlavně procesy, technické prostředky a správně poučení uživatelé. Když máme zajištěny všechny tyto prvky, získáme slušný základ pro zabezpečení.
Ke které části sítě by se firmy měly chovat jako k té nejrizikovější co se napadnutelnosti týče?
Protože jsou peníze vždy až na prvním místě, je rizikové především účetnictví, přístupy do bank, elektronické podpisy, datová úložiště obsahující firemní know-how a podobně. Dobrý zdroj informací je také e-mail, protože za předpokladu, že o tom jeho majitel neví, se může hacker doptat na informace, které ho zajímají, případně dokonce manipulovat s ostatními zaměstnanci ve svůj prospěch.
Příkladem podobné situace byly nedávné phishingové (phishing - podvržené podvodné e-maily) útoky, kdy řediteli společnosti dorazil e-mail z účtárny s požadavkem o urgentní proplacení faktury. Tomu samozřejmě lze zabránit technickými prostředky (antispam, kontrola zpráv), ale hlavně také procesy ve firmě samotné - například pokud je definováno, že si ředitel vždy zpětně ověřuje pravdivost zaslané zprávy z účtárny, takovému riziku snadno zabrání.
Dále jsou velmi častým problémem zálohy. Jejich zabezpečení se nevěnuje přílišná péče navzdory faktu, že obsahují veškerá důležitá data firmy, protože nedůležitá data přece není potřeba zálohovat. Když se pak hacker dostane k zálohám, má přístup téměř ke všemu, i když nemá nejaktuálnější údaje. Co je však největší problém jsou lidé: nedostatečně proškolený personál rád vydá cokoliv komukoliv a ještě popřeje šťastnou cestu nebo hezký den, bohužel.
Stačí v takovém případě běžné školení například IT oddělení ve společnosti nebo je potřeba zásahu odborníků z venčí?
V případě, že je organizace dost velká a má na to rozpočet, je interní IT vždy výhodnější. Interní „ajťáci” (omlouvám se všem IT pracovníkům za tento nenáviděný slangový pojem) většinou znají uživatele osobně, což v mnoha případech usnadňuje práci. Vědí totiž, co od koho očekávat. V případě menší organizace nebo omezeného rozpočtu je lepší správu ICT přenechat odborníkům, kteří se tím živí. Ti mají vyvinuté lepší a efektivnější postupy, jak řešit problémy a situace, protože to dělají pro více firem. Mají také lepší všeobecný rozhled a nehrozí u nich stagnace vědomostí, protože ten tlak na sebevzdělávání je v případě obsluhy více zákazníků větší. Z hlediska bezpečnosti je ale velmi rozšířen mýtus, že externí IT vyřeší bezpečnost a zákazník se už dál nemusí o nic starat. To bohužel není tak úplně pravda. Budu se opakovat, ale bezpečnost je proces, který zahrnuje všechny členy ve firmě.
Jak snadné je pro hackera napadnout síť, pokud není dostatečně zabezpečená?
S rostoucí mírou zabezpečování všeho je to obtížnější, nikdy ale nemožné. Snadná cesta je například přes nezabezpečenou bezdrátovou síť (WiFi). Pokud si firma nehlídá fyzický přístup ke svým počítačům, serverům a síťovým prvkům, je to také velmi jednoduché. Opět ale platí, že nejjednodušší je jít přes neproškoleného uživatele. Pošlete mu například e-mailem odkaz na podvodnou přihlašovací obrazovku, on si toho nevšimne a zadá do ní své přístupové údaje, čímž vám efektivně předá přístup. Zaslechl jsem také historku o tom, jak někdo v okolí firmy rozházel flash disky. Téměř všichni nálezci je pak zapojili do svých počítačů aby zjistili, co na nich je. Což je samozřejmě nebezpečné a špatně. Existují ale i sofistikovanější techniky spoléhající na chyby v nainstalovaných programech nebo systému, ale to tady nebudu rozebírat, bylo by to nudné a na dlouho... (smích)
Jak podle tebe vypadá dobře zabezpečená síť?
Úplně zabezpečená síť neexistuje, ale dobře zabezpečená má, řekněme, stanovená nějaká pravidla pro komunikaci. Segmentuje zařízení a uživatele do určitých celků podle toho, jakou úroveň přístupu má daný uživatel nebo zařízení mít. To znamená, že určitě nechci mít na stejné síti návštěvy, robotický vysavač a firemní počítače. Zároveň bych měl mít možnost se zpětně podívat, kam které zařízení komunikovalo a kolik toto odeslalo/přijalo - prostě nějaké rámcové statistiky, co se na mé síti vůbec děje. A k tomu ideálně člověka, který se v těchto statistikách vyzná a chytřejší firewall, který je schopný detekovat podezřelou aktivitu. Největší efekt bude mít pravidelné školení uživatelů, jak se chovat a co na síti nedělat.
„Naše firma je maličká, naše data nejsou pro útočníky zajímavá.” Je dobrý nápad tohle tvrdit?
Tak tato věta samozřejmě může být pravdivá, otázkou pak zůstává, jakou životnost má taková firma. V těch ostatních případech platí, že realizovat některé phishingové útoky je u malých firem jednodušší, protože útočník si snadno například pohledem na sociální sítě (především pak LinkedIn) udělá představu o struktuře a fungování. Poslat pak falešný e-mail, požadující zaslání platby, je jednodušší než u velké firmy, která má vytvořené procesy a kontrolní mechanismy. Další nevýhodou malých firem je, že většinou vzniknou kolem unikátního nápadu a je spousta konkurentů, kteří by ten nápad, případně know-how kolem něj, chtěli získat.
Která data jsou tedy pro hackery nejlákavější?
Ve zkratce řečeno se jedná o jakákoliv data, která je možné jednoduše zpeněžit.
A jak je na tom vaše síť? Možná dobře? V oblasti citlivých dat neexistuje prostor pro možná, asi, pravděpodobně. Raději jednejte ihned. Rádi vám pomůžeme v diagnostice a slabá místa vaší sítě v čas zabezpečíme. Aby si na vás netroufl ani ten nejšikovnější hacker!