Magazín pro ženy, které už vědí, o čem je život
Víte, jak chránit data?
Pixabay
Inspirace / Užitečné aplikace

Víte, jak chránit data?

datum: 21. 4. 2021 10:00 autor: redakce ve spolupráci s Marcelem Poulem, ředitel realizace projektů společnosti BCV solutions
Žebříček top nešvarů v online bezpečnosti a rady, jak se bránit úniku a zneužití dat.

Chtělo by se říct, že chybami se člověk učí a jednou (vy)řešenými a médii omílanými bezpečnostními prohřešky se společnosti zabývají. Není tomu ale vždy tak. Je zřejmé, že skutečnost je úplně jiná.

Jak se ale proti těmto útokům bránit? Běžní uživatelé internetu a řadoví pracovníci ve firmách se často dopouštění zásadních chyb. Například jde o slabá hesla či dokonce s nulovou ochranou dat, dále pak zveřejňování fotografií i zadávání dat do neověřených aplikací. Podobné úniky dat se netýkají jen jednotlivců, v dnešní době se firmy a různé organizace musí potýkat s kyberútoky i útoky z vnitřního firemního prostředí.

Kybernetický útok a vydírání

Jednou z největších a obávaných hrozeb je kybernetický útok, během kterého hrozí únik vysoce citlivých dat ve velkém množství, a to dokonce i přes vysokou úroveň zabezpečení. Za nejčastější hrozbu současnosti se považuje také vydírání. V takové situaci útočník pronikne do klíčových systémů organizace, zašifruje data tak, aby k nim měl přístup jako jediný, přičemž jako jediný má také klíč k dešifrování.

Následuje zaslání podmínek, ve kterých žádá výkupné (poměrně často to bývá převod určité částky v Bitcoinech či jiné kryptoměně šplhající se do řádů desítek milionů Kč). Organizace pak mívají na výběr – složit částku a doufat v dešifrování dat, nebo začít svá data obnovovat ze zálohy. V obou případech však vznikají velké škody.

Jak se ale proti kybernetickému útoku bránit? 

  • Oddělit kritické systémy, jako je např. transfuzní systém v nemocnici, nebo systém pro výplatu dávek na ministerstvu apod. do oddělené infrastruktury, aby se k nim případný útočník vůbec nedostal.
  • Aktivně vyhodnocovat hrozby – s tím může pomoci Národní úřad pro kybernetickou bezpečnost. Má experty, nabízí online školení, vydává doporučení.
  • Dodržovat pravidla minimálního přístupu – zjednodušeně – všechny dveře do sítě nebo do systému jsou ve výchozím stavu zavřené, povolen je pouze vybraný a schválený přístup.
  • Používat prvky aktivní ochrany infrastruktury – Intrusion detection system, Intrusion prevension system. Když už na organizaci někdo útočí, rychle se na něj přijde a zneškodní se v zárodku.
  • Používat kvalitní nástroje pro monitoring infrastruktury. Platí to samé, co bylo napsáno výše. Pokud je provoz podezřelý nebo se systém chová nestandardně, v co nejkratší době na to lze díky kvalitním nástrojům a monitoringu přijít.
  • Mít kvalitní zálohu dat a hlavně postup, jak data ze zálohy efektivně a rychle dostat. V tomto bodě měly nemocnice také problém. Sice občas jakousi zálohu měly, ale data, která byla na záloze obsažena, byla zastaralá. V dalším případě nemocnice nebyly schopné data ze zálohy dostatečně rychle obnovit, což pak mnohdy způsobovalo omezení provozu.
  • Nechat si pravidelně dělat bezpečností audit nebo ještě lépe – nechat si dělat nezávislé penetrační testy – v podstatě kyberútok nanečisto.

Útoky uvnitř organizace a záměrná zcizení dat

Často se zapomíná na útok uvnitř organizace tzv. insider attack. Pochopitelně, firmy se tím nechlubí, protože insidery jsou často zaměstnanci, ale nesmíme zapomenout na zajímavou skupinu – bývalí zaměstnanci. Nezřídka se potkáváme s tím, že po ukončení kontraktu zaměstnance, který se nemusí nést nutně v dobrém duchu, zůstanou odchozímu i jeho přístupy jako třeba VPN (vzdálený přístup) včetně dalších přístupů.

Další insider attack může nastat ve chvíli, kdy současný zaměstnanec cíleně zcizí data. Ty pak může prodávat konkurenci (například v případě technických návrhů), dále je pak může používat pro nastartování vlastního byznysu (dostane se ke kontaktům) apod.

Částečně tomu může zamezit IdM (Identity Management) – kdy má zaměstnanec přístup ke správným (rozumějte schváleným) datům ve správný čas a na konkrétním místě. Dalším řešením by mohl být kvalitní log management, monitoring, DLP (Data Loss Prevention – systémy na ochranu dat), a zejména dobrý návrh samotné aplikace. Dále pak řízení přístupů pomocí rolí a různé trasholdy (prahové hodnoty) pro „podezřelé“ operace v systému – například když si někdo exportuje mnoho dat ze CRM.

Neaktuální software

Patříte mezi zastánce oddalování aktualizací – ať už z důvodu „nedostatku času“ či nejste zastánci „pokroku“ a současná verze vám dostatečně vyhovuje? Mysleli jste si, že neaktuální software není nebezpečný? Opak je pravdou.

Hackeři často vyhledávají a využívají právě zastaralých a neaktualizovaných softwarů, u kterých si jsou vědomi chyb a nedostatků. Právě ty jim pak značným způsobem usnadňují přístup k vašim citlivým údajům, se kterými pak mohou nakládat dle své libosti. V dnešní době existuje mnoho programů, které onu konkrétní zranitelnost využijí k ovládnutí systému – útočník tak nečiní manuálně, nýbrž to za něj dělají specializované nástroje.

Je důležité mít na mysli, že aktualizace softwaru je vždy zkrátka nutná. S aktualizacemi přichází bezpečnostní opravy, které znemožňují přístup útočníkům. S aktualizacemi dochází k vylepšením současných softwarů, vylepšuje se jak jejich fungování, tak i jejich zabezpečení. 

Phishing

Pochopitelně největší problémy s bezpečností jsou neustále omílané phishing útoky a hackerské útoky. Phishingový útok má víceméně jediný cíl, a to od vás získat citlivá data, jako jsou kupříkladu přístupová hesla k účtům. Přičemž je nutno podotknout, že za takovým útokem obvykle stojí člověk vydávající se za někoho důvěryhodného. Získané údaje pak může útočník použít napřímo – vykrade bankovní účet – ale čím dál častěji slouží tyto ukradené přístupové údaje jako vstupní brána k dalším útokům. Napadený se VPN připojí do firemní sítě a dvířka ke kybernetickému útoku na organizaci jsou otevřená.

Pravděpodobně jste již zaznamenali různá varování v podobě neotevírání podezřelých e-mailů, které na první pohled vypadají jako vámi vyžádaná pošta. Při druhém pohledu, například na mnohdy zvláštní e-mailovou, gramatické chyby či na pobídku o vložení e-mailové adresy i hesla k internetovému bankovnictví, je jasné, že dotyčný jedinec čelí phishingovému útoku. Opět nutno podotknout, že se v poslední době kvalita těchto podvržených webových stránek a podvržených e-mailů razantním způsobem zlepšila. To je možné přičítat i neustále se zkvalitňujícím se automatickým překladačům.

Jak se ale takovým útokům bránit? Phishing bohužel zcela odstranit nelze, ale lze se proti němu pomocí několika kroků bránit. V prvé řadě by všichni uživatelé měli dbát na to, komu a kam zadávají své informace. Kontrolovat adresu, odkud nově příchozí email přišel, nestačí. V dnešní době lze e-mailovou adresu lehce podvrhnout.

Je důležité také zvážit, zda je nutné, a hlavně bezpečné klikat na konkrétní odkaz na webu či v e-mailu. V tomto bodě by se uživatelé měli soustředit na kterou adresu vedou odkazy a v žádném případě a za žádných okolností by na stránky z odkazů neměli zadávat své přihlašovací údaje. V neposlední řadě je potřebné dbát na dostatečné zabezpečení – ať už pomocí antivirového programu nebo pomocí vícefaktorového ověření.

Zabezpečení dlouhým heslem nestačí

Hesla nám nejenže pomáhají, ale vyloženě chrání naše soukromí, citlivá data, fotografie a mnoho dalšího. V případě slabého hesla je, bohužel, jen otázkou času, kdy nám bude narušeno naše soukromí.

V případě vymýšlení silného hesla je důležité mít na paměti originalitu, délku a znaky. Zadáním našeho rodného čísla, jména či jména dětí anebo dokonce toho, co máme rádi, nikoho neobelstíme. Heslo by nemělo být krátké a zároveň by v něm měly být využité speciální znaky. Tady ovšem pozor – dnes se již stalo denním pořádkem, že některé znaky nahrazují písmena, proto bychom je měli využívat originálně.

V této chvíli se však dostáváme do bodu, kdy ani takto vymyšlené heslo nemusí být dostatečné. Proto je vhodné využívat vícefaktorové ověření například v podobě aplikace v telefonu (dnes hojně využívané bankami) nebo vícefaktorové ověření v podobě biometriky – otisku prstu či scanu obličeje.

V případě vícefaktorového ověření nám po zadání hesla přijde obvykle na telefonní číslo unikátní kód, po jehož zadání budeme ke svému účtu přihlášeni. Právě vícefaktorové ověření výrazným způsobem přispívá k vysoké online bezpečnosti.


Zaujal vás tento článek? Pokud chcete mít jistotu, že vám žádný další neunikne, sledujte nás na Facebooku!

Další články z rubriky

Kybernetické vydírání není výjimečné: Jak se bránit?

Kybernetické vydírání není výjimečné: Jak se bránit?

Autor: Anna Vágnerová, Datum: 28. 8. 2024 0:05

Vydírání přes internet se v poslední době stává častějším a závažnějším problémem, který zasahuje…

Uměná inteligence (AI): Používejte ji jako prostředek, ne jako zkratku

Uměná inteligence (AI): Používejte ji jako prostředek, ne jako zkratku

Autor: Jana Nováková, Datum: 30. 7. 2024 0:05

Umělá inteligence zásadně mění vzdělávání a profesní rozvoj. Jana Večerková, zakladatelka a…

Přichází doba aplikační

Přichází doba aplikační

Autor: Anna Vágnerová, Datum: 14. 6. 2024 0:05

Mobilní aplikace mnoha lidem pomáhají a jejich používání šetří čas, peníze, ale je k ruce třeba i…

Preventivka: Aplikace pro zdraví

Preventivka: Aplikace pro zdraví

Autor: redakce ve spolupráci s MUDr. Kateřinou Šédovou, Loono, Datum: 10. 1. 2024 11:18

Kromě dodržování zásad zdravého životního stylu bychom neměli zapomínat na preventivní prohlídky a…

Zaparkujte v klidu po celém světě s aplikací

Zaparkujte v klidu po celém světě s aplikací

Autor: -mav-, Datum: 15. 11. 2023 15:05

Vánoční čas by měl být obdobím míru a pokoje. Nezapomeňte si na své sváteční cesty s sebou přibalit…

5 aplikací, s kterými se vám bude chtít do práce

5 aplikací, s kterými se vám bude chtít do práce

Autor: Hana Lorencová, Datum: 14. 9. 2023 0:05

V září se jde nejen zpátky do školy, ale taky do plného pracovního módu po letních dovolených.…

Aplikace Týmuj.cz sdružuje

Aplikace Týmuj.cz sdružuje

Autor: -ket-, Datum: 17. 7. 2023 15:00

Dříve individuální sportovní aktivity se stávají skupinovými. Jedná se například o běhání či…

Bojíte se o data? Začněte s externím diskem

Bojíte se o data? Začněte s externím diskem

Autor: -ak-, Datum: 25. 5. 2023 17:11

Externí úložiště jsou v digitální době stále důležitější. Umožňují nám přenášet, ukládat a…

Tip šéfredaktorky

Nový kvíz: Jak dobře znáte Paříž?

1. 9. 2024 17:22 autor -jav-