Magazín pro ženy, které už vědí, o čem je život
Víte, jak chránit data?
Pixabay
Inspirace / Užitečné aplikace

Víte, jak chránit data?

datum: 21. 4. 2021 10:00 autor: redakce ve spolupráci s Marcelem Poulem, ředitel realizace projektů společnosti BCV solutions
Žebříček top nešvarů v online bezpečnosti a rady, jak se bránit úniku a zneužití dat.

Chtělo by se říct, že chybami se člověk učí a jednou (vy)řešenými a médii omílanými bezpečnostními prohřešky se společnosti zabývají. Není tomu ale vždy tak. Je zřejmé, že skutečnost je úplně jiná.

Jak se ale proti těmto útokům bránit? Běžní uživatelé internetu a řadoví pracovníci ve firmách se často dopouštění zásadních chyb. Například jde o slabá hesla či dokonce s nulovou ochranou dat, dále pak zveřejňování fotografií i zadávání dat do neověřených aplikací. Podobné úniky dat se netýkají jen jednotlivců, v dnešní době se firmy a různé organizace musí potýkat s kyberútoky i útoky z vnitřního firemního prostředí.

Kybernetický útok a vydírání

Jednou z největších a obávaných hrozeb je kybernetický útok, během kterého hrozí únik vysoce citlivých dat ve velkém množství, a to dokonce i přes vysokou úroveň zabezpečení. Za nejčastější hrozbu současnosti se považuje také vydírání. V takové situaci útočník pronikne do klíčových systémů organizace, zašifruje data tak, aby k nim měl přístup jako jediný, přičemž jako jediný má také klíč k dešifrování.

Následuje zaslání podmínek, ve kterých žádá výkupné (poměrně často to bývá převod určité částky v Bitcoinech či jiné kryptoměně šplhající se do řádů desítek milionů Kč). Organizace pak mívají na výběr – složit částku a doufat v dešifrování dat, nebo začít svá data obnovovat ze zálohy. V obou případech však vznikají velké škody.

Jak se ale proti kybernetickému útoku bránit? 

  • Oddělit kritické systémy, jako je např. transfuzní systém v nemocnici, nebo systém pro výplatu dávek na ministerstvu apod. do oddělené infrastruktury, aby se k nim případný útočník vůbec nedostal.
  • Aktivně vyhodnocovat hrozby – s tím může pomoci Národní úřad pro kybernetickou bezpečnost. Má experty, nabízí online školení, vydává doporučení.
  • Dodržovat pravidla minimálního přístupu – zjednodušeně – všechny dveře do sítě nebo do systému jsou ve výchozím stavu zavřené, povolen je pouze vybraný a schválený přístup.
  • Používat prvky aktivní ochrany infrastruktury – Intrusion detection system, Intrusion prevension system. Když už na organizaci někdo útočí, rychle se na něj přijde a zneškodní se v zárodku.
  • Používat kvalitní nástroje pro monitoring infrastruktury. Platí to samé, co bylo napsáno výše. Pokud je provoz podezřelý nebo se systém chová nestandardně, v co nejkratší době na to lze díky kvalitním nástrojům a monitoringu přijít.
  • Mít kvalitní zálohu dat a hlavně postup, jak data ze zálohy efektivně a rychle dostat. V tomto bodě měly nemocnice také problém. Sice občas jakousi zálohu měly, ale data, která byla na záloze obsažena, byla zastaralá. V dalším případě nemocnice nebyly schopné data ze zálohy dostatečně rychle obnovit, což pak mnohdy způsobovalo omezení provozu.
  • Nechat si pravidelně dělat bezpečností audit nebo ještě lépe – nechat si dělat nezávislé penetrační testy – v podstatě kyberútok nanečisto.

Útoky uvnitř organizace a záměrná zcizení dat

Často se zapomíná na útok uvnitř organizace tzv. insider attack. Pochopitelně, firmy se tím nechlubí, protože insidery jsou často zaměstnanci, ale nesmíme zapomenout na zajímavou skupinu – bývalí zaměstnanci. Nezřídka se potkáváme s tím, že po ukončení kontraktu zaměstnance, který se nemusí nést nutně v dobrém duchu, zůstanou odchozímu i jeho přístupy jako třeba VPN (vzdálený přístup) včetně dalších přístupů.

Další insider attack může nastat ve chvíli, kdy současný zaměstnanec cíleně zcizí data. Ty pak může prodávat konkurenci (například v případě technických návrhů), dále je pak může používat pro nastartování vlastního byznysu (dostane se ke kontaktům) apod.

Částečně tomu může zamezit IdM (Identity Management) – kdy má zaměstnanec přístup ke správným (rozumějte schváleným) datům ve správný čas a na konkrétním místě. Dalším řešením by mohl být kvalitní log management, monitoring, DLP (Data Loss Prevention – systémy na ochranu dat), a zejména dobrý návrh samotné aplikace. Dále pak řízení přístupů pomocí rolí a různé trasholdy (prahové hodnoty) pro „podezřelé“ operace v systému – například když si někdo exportuje mnoho dat ze CRM.

Neaktuální software

Patříte mezi zastánce oddalování aktualizací – ať už z důvodu „nedostatku času“ či nejste zastánci „pokroku“ a současná verze vám dostatečně vyhovuje? Mysleli jste si, že neaktuální software není nebezpečný? Opak je pravdou.

Hackeři často vyhledávají a využívají právě zastaralých a neaktualizovaných softwarů, u kterých si jsou vědomi chyb a nedostatků. Právě ty jim pak značným způsobem usnadňují přístup k vašim citlivým údajům, se kterými pak mohou nakládat dle své libosti. V dnešní době existuje mnoho programů, které onu konkrétní zranitelnost využijí k ovládnutí systému – útočník tak nečiní manuálně, nýbrž to za něj dělají specializované nástroje.

Je důležité mít na mysli, že aktualizace softwaru je vždy zkrátka nutná. S aktualizacemi přichází bezpečnostní opravy, které znemožňují přístup útočníkům. S aktualizacemi dochází k vylepšením současných softwarů, vylepšuje se jak jejich fungování, tak i jejich zabezpečení. 

Phishing

Pochopitelně největší problémy s bezpečností jsou neustále omílané phishing útoky a hackerské útoky. Phishingový útok má víceméně jediný cíl, a to od vás získat citlivá data, jako jsou kupříkladu přístupová hesla k účtům. Přičemž je nutno podotknout, že za takovým útokem obvykle stojí člověk vydávající se za někoho důvěryhodného. Získané údaje pak může útočník použít napřímo – vykrade bankovní účet – ale čím dál častěji slouží tyto ukradené přístupové údaje jako vstupní brána k dalším útokům. Napadený se VPN připojí do firemní sítě a dvířka ke kybernetickému útoku na organizaci jsou otevřená.

Pravděpodobně jste již zaznamenali různá varování v podobě neotevírání podezřelých e-mailů, které na první pohled vypadají jako vámi vyžádaná pošta. Při druhém pohledu, například na mnohdy zvláštní e-mailovou, gramatické chyby či na pobídku o vložení e-mailové adresy i hesla k internetovému bankovnictví, je jasné, že dotyčný jedinec čelí phishingovému útoku. Opět nutno podotknout, že se v poslední době kvalita těchto podvržených webových stránek a podvržených e-mailů razantním způsobem zlepšila. To je možné přičítat i neustále se zkvalitňujícím se automatickým překladačům.

Jak se ale takovým útokům bránit? Phishing bohužel zcela odstranit nelze, ale lze se proti němu pomocí několika kroků bránit. V prvé řadě by všichni uživatelé měli dbát na to, komu a kam zadávají své informace. Kontrolovat adresu, odkud nově příchozí email přišel, nestačí. V dnešní době lze e-mailovou adresu lehce podvrhnout.

Je důležité také zvážit, zda je nutné, a hlavně bezpečné klikat na konkrétní odkaz na webu či v e-mailu. V tomto bodě by se uživatelé měli soustředit na kterou adresu vedou odkazy a v žádném případě a za žádných okolností by na stránky z odkazů neměli zadávat své přihlašovací údaje. V neposlední řadě je potřebné dbát na dostatečné zabezpečení – ať už pomocí antivirového programu nebo pomocí vícefaktorového ověření.

Zabezpečení dlouhým heslem nestačí

Hesla nám nejenže pomáhají, ale vyloženě chrání naše soukromí, citlivá data, fotografie a mnoho dalšího. V případě slabého hesla je, bohužel, jen otázkou času, kdy nám bude narušeno naše soukromí.

V případě vymýšlení silného hesla je důležité mít na paměti originalitu, délku a znaky. Zadáním našeho rodného čísla, jména či jména dětí anebo dokonce toho, co máme rádi, nikoho neobelstíme. Heslo by nemělo být krátké a zároveň by v něm měly být využité speciální znaky. Tady ovšem pozor – dnes se již stalo denním pořádkem, že některé znaky nahrazují písmena, proto bychom je měli využívat originálně.

V této chvíli se však dostáváme do bodu, kdy ani takto vymyšlené heslo nemusí být dostatečné. Proto je vhodné využívat vícefaktorové ověření například v podobě aplikace v telefonu (dnes hojně využívané bankami) nebo vícefaktorové ověření v podobě biometriky – otisku prstu či scanu obličeje.

V případě vícefaktorového ověření nám po zadání hesla přijde obvykle na telefonní číslo unikátní kód, po jehož zadání budeme ke svému účtu přihlášeni. Právě vícefaktorové ověření výrazným způsobem přispívá k vysoké online bezpečnosti.


Zaujal vás tento článek? Pokud chcete mít jistotu, že vám žádný další neunikne, sledujte nás na Facebooku!

Další články z rubriky

Brnem vás provede nová mobilní aplikace!

Brnem vás provede nová mobilní aplikace!

Autor: -an-, Datum: 8. 7. 2021 15:00

Play Brno je mobilní aplikace, která moderní, interaktivní formou a s využitím rozšířené reality …

6 důvodů, proč se učit data a proč být „in“ (a on-line) v každém věku

6 důvodů, proč se učit data a proč být „in“ (a on-line) v každém věku

Autor: redakce ve spolupráci s Lubomírem Husarem,LovelyData.cz, Datum: 16. 6. 2021 10:00

Doba je nejistá a zdá se, že k jakékoliv změně dojde velmi pozvolna. Jedno ale jisté je: svět se…

Ulov knihu!

Ulov knihu!

Autor: -red-, Datum: 18. 5. 2021 15:00

Víte, že díky novému vyhledávači skoro 2 miliony starších knih ze všech antikvariátů teď máte dosah…

Léčba migrény online?

Léčba migrény online?

Autor: -an-, Datum: 11. 5. 2021 15:00

Potenciál pro telemedicínu je v ČR vysoký. Víte, že nově dostupná je i pro pacienty s migrénou?

6 tipů „ajťáků“ pro lepší on-line výuku i práci z domova

6 tipů „ajťáků“ pro lepší on-line výuku i práci z domova

Autor: redakce ve spolupráci s makeITtoday, Datum: 22. 3. 2021 10:00

Už je to rok, kdy se naše byty proměnily v kancelář a školní třídu v jednom. S home office a…

3 rady, jak podat daňové přiznání na dálku

3 rady, jak podat daňové přiznání na dálku

Autor: -red-, Datum: 17. 3. 2021 15:00

Týká se i vás povinnost podat daňové přiznání za rok 2020? První dobrou zprávou je, že letos…

Co škodí mobilu v zimě?

Co škodí mobilu v zimě?

Autor: -red-, Datum: 2. 1. 2021 11:00

Nízké teploty ovlivňují fungování akumulátorů. Tento fakt je už všeobecně známý, ale i přesto nás v…

Čím potěšit puberťáka na Vánoce?

Čím potěšit puberťáka na Vánoce?

Autor: -ava-, Datum: 28. 11. 2020 11:00

Překvapit teenagera dárkem, ze kterého bude mít nefalšovanou radost, je extrémně složité. Jako…

Tip šéfredaktorky

Nemocné ledviny nebolí. Otestujte se 16. a 17. září!

1. 9. 2021 15:00 autor -an-