Magazín pro ženy, které už vědí, o čem je život
Víte, jak chránit data?
Pixabay
Inspirace / Užitečné aplikace

Víte, jak chránit data?

datum: 21. 4. 2021 10:00 autor: redakce ve spolupráci s Marcelem Poulem, ředitel realizace projektů společnosti BCV solutions
Žebříček top nešvarů v online bezpečnosti a rady, jak se bránit úniku a zneužití dat.

Chtělo by se říct, že chybami se člověk učí a jednou (vy)řešenými a médii omílanými bezpečnostními prohřešky se společnosti zabývají. Není tomu ale vždy tak. Je zřejmé, že skutečnost je úplně jiná.

Jak se ale proti těmto útokům bránit? Běžní uživatelé internetu a řadoví pracovníci ve firmách se často dopouštění zásadních chyb. Například jde o slabá hesla či dokonce s nulovou ochranou dat, dále pak zveřejňování fotografií i zadávání dat do neověřených aplikací. Podobné úniky dat se netýkají jen jednotlivců, v dnešní době se firmy a různé organizace musí potýkat s kyberútoky i útoky z vnitřního firemního prostředí.

Kybernetický útok a vydírání

Jednou z největších a obávaných hrozeb je kybernetický útok, během kterého hrozí únik vysoce citlivých dat ve velkém množství, a to dokonce i přes vysokou úroveň zabezpečení. Za nejčastější hrozbu současnosti se považuje také vydírání. V takové situaci útočník pronikne do klíčových systémů organizace, zašifruje data tak, aby k nim měl přístup jako jediný, přičemž jako jediný má také klíč k dešifrování.

Následuje zaslání podmínek, ve kterých žádá výkupné (poměrně často to bývá převod určité částky v Bitcoinech či jiné kryptoměně šplhající se do řádů desítek milionů Kč). Organizace pak mívají na výběr – složit částku a doufat v dešifrování dat, nebo začít svá data obnovovat ze zálohy. V obou případech však vznikají velké škody.

Jak se ale proti kybernetickému útoku bránit? 

  • Oddělit kritické systémy, jako je např. transfuzní systém v nemocnici, nebo systém pro výplatu dávek na ministerstvu apod. do oddělené infrastruktury, aby se k nim případný útočník vůbec nedostal.
  • Aktivně vyhodnocovat hrozby – s tím může pomoci Národní úřad pro kybernetickou bezpečnost. Má experty, nabízí online školení, vydává doporučení.
  • Dodržovat pravidla minimálního přístupu – zjednodušeně – všechny dveře do sítě nebo do systému jsou ve výchozím stavu zavřené, povolen je pouze vybraný a schválený přístup.
  • Používat prvky aktivní ochrany infrastruktury – Intrusion detection system, Intrusion prevension system. Když už na organizaci někdo útočí, rychle se na něj přijde a zneškodní se v zárodku.
  • Používat kvalitní nástroje pro monitoring infrastruktury. Platí to samé, co bylo napsáno výše. Pokud je provoz podezřelý nebo se systém chová nestandardně, v co nejkratší době na to lze díky kvalitním nástrojům a monitoringu přijít.
  • Mít kvalitní zálohu dat a hlavně postup, jak data ze zálohy efektivně a rychle dostat. V tomto bodě měly nemocnice také problém. Sice občas jakousi zálohu měly, ale data, která byla na záloze obsažena, byla zastaralá. V dalším případě nemocnice nebyly schopné data ze zálohy dostatečně rychle obnovit, což pak mnohdy způsobovalo omezení provozu.
  • Nechat si pravidelně dělat bezpečností audit nebo ještě lépe – nechat si dělat nezávislé penetrační testy – v podstatě kyberútok nanečisto.

Útoky uvnitř organizace a záměrná zcizení dat

Často se zapomíná na útok uvnitř organizace tzv. insider attack. Pochopitelně, firmy se tím nechlubí, protože insidery jsou často zaměstnanci, ale nesmíme zapomenout na zajímavou skupinu – bývalí zaměstnanci. Nezřídka se potkáváme s tím, že po ukončení kontraktu zaměstnance, který se nemusí nést nutně v dobrém duchu, zůstanou odchozímu i jeho přístupy jako třeba VPN (vzdálený přístup) včetně dalších přístupů.

Další insider attack může nastat ve chvíli, kdy současný zaměstnanec cíleně zcizí data. Ty pak může prodávat konkurenci (například v případě technických návrhů), dále je pak může používat pro nastartování vlastního byznysu (dostane se ke kontaktům) apod.

Částečně tomu může zamezit IdM (Identity Management) – kdy má zaměstnanec přístup ke správným (rozumějte schváleným) datům ve správný čas a na konkrétním místě. Dalším řešením by mohl být kvalitní log management, monitoring, DLP (Data Loss Prevention – systémy na ochranu dat), a zejména dobrý návrh samotné aplikace. Dále pak řízení přístupů pomocí rolí a různé trasholdy (prahové hodnoty) pro „podezřelé“ operace v systému – například když si někdo exportuje mnoho dat ze CRM.

Neaktuální software

Patříte mezi zastánce oddalování aktualizací – ať už z důvodu „nedostatku času“ či nejste zastánci „pokroku“ a současná verze vám dostatečně vyhovuje? Mysleli jste si, že neaktuální software není nebezpečný? Opak je pravdou.

Hackeři často vyhledávají a využívají právě zastaralých a neaktualizovaných softwarů, u kterých si jsou vědomi chyb a nedostatků. Právě ty jim pak značným způsobem usnadňují přístup k vašim citlivým údajům, se kterými pak mohou nakládat dle své libosti. V dnešní době existuje mnoho programů, které onu konkrétní zranitelnost využijí k ovládnutí systému – útočník tak nečiní manuálně, nýbrž to za něj dělají specializované nástroje.

Je důležité mít na mysli, že aktualizace softwaru je vždy zkrátka nutná. S aktualizacemi přichází bezpečnostní opravy, které znemožňují přístup útočníkům. S aktualizacemi dochází k vylepšením současných softwarů, vylepšuje se jak jejich fungování, tak i jejich zabezpečení. 

Phishing

Pochopitelně největší problémy s bezpečností jsou neustále omílané phishing útoky a hackerské útoky. Phishingový útok má víceméně jediný cíl, a to od vás získat citlivá data, jako jsou kupříkladu přístupová hesla k účtům. Přičemž je nutno podotknout, že za takovým útokem obvykle stojí člověk vydávající se za někoho důvěryhodného. Získané údaje pak může útočník použít napřímo – vykrade bankovní účet – ale čím dál častěji slouží tyto ukradené přístupové údaje jako vstupní brána k dalším útokům. Napadený se VPN připojí do firemní sítě a dvířka ke kybernetickému útoku na organizaci jsou otevřená.

Pravděpodobně jste již zaznamenali různá varování v podobě neotevírání podezřelých e-mailů, které na první pohled vypadají jako vámi vyžádaná pošta. Při druhém pohledu, například na mnohdy zvláštní e-mailovou, gramatické chyby či na pobídku o vložení e-mailové adresy i hesla k internetovému bankovnictví, je jasné, že dotyčný jedinec čelí phishingovému útoku. Opět nutno podotknout, že se v poslední době kvalita těchto podvržených webových stránek a podvržených e-mailů razantním způsobem zlepšila. To je možné přičítat i neustále se zkvalitňujícím se automatickým překladačům.

Jak se ale takovým útokům bránit? Phishing bohužel zcela odstranit nelze, ale lze se proti němu pomocí několika kroků bránit. V prvé řadě by všichni uživatelé měli dbát na to, komu a kam zadávají své informace. Kontrolovat adresu, odkud nově příchozí email přišel, nestačí. V dnešní době lze e-mailovou adresu lehce podvrhnout.

Je důležité také zvážit, zda je nutné, a hlavně bezpečné klikat na konkrétní odkaz na webu či v e-mailu. V tomto bodě by se uživatelé měli soustředit na kterou adresu vedou odkazy a v žádném případě a za žádných okolností by na stránky z odkazů neměli zadávat své přihlašovací údaje. V neposlední řadě je potřebné dbát na dostatečné zabezpečení – ať už pomocí antivirového programu nebo pomocí vícefaktorového ověření.

Zabezpečení dlouhým heslem nestačí

Hesla nám nejenže pomáhají, ale vyloženě chrání naše soukromí, citlivá data, fotografie a mnoho dalšího. V případě slabého hesla je, bohužel, jen otázkou času, kdy nám bude narušeno naše soukromí.

V případě vymýšlení silného hesla je důležité mít na paměti originalitu, délku a znaky. Zadáním našeho rodného čísla, jména či jména dětí anebo dokonce toho, co máme rádi, nikoho neobelstíme. Heslo by nemělo být krátké a zároveň by v něm měly být využité speciální znaky. Tady ovšem pozor – dnes se již stalo denním pořádkem, že některé znaky nahrazují písmena, proto bychom je měli využívat originálně.

V této chvíli se však dostáváme do bodu, kdy ani takto vymyšlené heslo nemusí být dostatečné. Proto je vhodné využívat vícefaktorové ověření například v podobě aplikace v telefonu (dnes hojně využívané bankami) nebo vícefaktorové ověření v podobě biometriky – otisku prstu či scanu obličeje.

V případě vícefaktorového ověření nám po zadání hesla přijde obvykle na telefonní číslo unikátní kód, po jehož zadání budeme ke svému účtu přihlášeni. Právě vícefaktorové ověření výrazným způsobem přispívá k vysoké online bezpečnosti.


Zaujal vás tento článek? Pokud chcete mít jistotu, že vám žádný další neunikne, sledujte nás na Facebooku!

Další články z rubriky

6 důvodů, proč se učit data a proč být „in“ (a on-line) v každém věku

6 důvodů, proč se učit data a proč být „in“ (a on-line) v každém věku

Autor: redakce ve spolupráci s Lubomírem Husarem,LovelyData.cz, Datum: 16. 6. 2021 10:00

Doba je nejistá a zdá se, že k jakékoliv změně dojde velmi pozvolna. Jedno ale jisté je: svět se…

Ulov knihu!

Ulov knihu!

Autor: -red-, Datum: 18. 5. 2021 15:00

Víte, že díky novému vyhledávači skoro 2 miliony starších knih ze všech antikvariátů teď máte dosah…

Léčba migrény online?

Léčba migrény online?

Autor: -an-, Datum: 11. 5. 2021 15:00

Potenciál pro telemedicínu je v ČR vysoký. Víte, že nově dostupná je i pro pacienty s migrénou?

6 tipů „ajťáků“ pro lepší on-line výuku i práci z domova

6 tipů „ajťáků“ pro lepší on-line výuku i práci z domova

Autor: redakce ve spolupráci s makeITtoday, Datum: 22. 3. 2021 10:00

Už je to rok, kdy se naše byty proměnily v kancelář a školní třídu v jednom. S home office a…

3 rady, jak podat daňové přiznání na dálku

3 rady, jak podat daňové přiznání na dálku

Autor: -red-, Datum: 17. 3. 2021 15:00

Týká se i vás povinnost podat daňové přiznání za rok 2020? První dobrou zprávou je, že letos…

Co škodí mobilu v zimě?

Co škodí mobilu v zimě?

Autor: -red-, Datum: 2. 1. 2021 11:00

Nízké teploty ovlivňují fungování akumulátorů. Tento fakt je už všeobecně známý, ale i přesto nás v…

Čím potěšit puberťáka na Vánoce?

Čím potěšit puberťáka na Vánoce?

Autor: -ava-, Datum: 28. 11. 2020 11:00

Překvapit teenagera dárkem, ze kterého bude mít nefalšovanou radost, je extrémně složité. Jako…

Na které seš větvi aneb Rozumíte, když programátor říká...

Na které seš větvi aneb Rozumíte, když programátor říká...

Autor: redakce ve spolupráci s Janou Večerkovou, Coding Bootcamp, Datum: 17. 11. 2020 15:00

V Česku jsou aktuálně programátoři na pracovním trhu velmi žádaní. Přesto jsou veřejností, hlavně…

Tip šéfredaktorky

Příběh Elišky (41): Pozdní láska mé babičky Milady

29. 5. 2021 0:05 autor podle příběhu Elišky H. napsala Alžběta Morávková