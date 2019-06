Ak máte malú firmu, zrejme máte pocit, že sa vás téma internetovej bezpečnosti veľmi netýka. Naviac, keď máte nainštalovaný antivírus. Nuž, zvážte tento postoj, čísla sú totiž proti vám.

Povedzme si krátky príbeh jednej menšej firmy zo západného Slovenska, ktorá má do päť zamestnancov. Na svojom serveri mala okrem aktuálnej webovej stránky aj jej staršiu verziu. Nová bola v systéme Wordpress, staršia v systéme Drupal. Oba patria medzi najpoužívanejšie publikačné systémy na svete. Ibaže spomínaná firma po spustení novej verzie webu zabudla tu starú odinštalovať. Niekoľko mesiacov tak nebol starý systém aktualizovaný, ale na podstránke stále bežal, veď bola online a na aktívnom serveri. Našli ho hackeri.

Samozrejme, že deravý systém nejakej malej slovenskej firmy nehľadali zámerne. Urobili to za nich ich boti – malé kódy softvéru, ktorých sú na internete tisíce, a ktoré skenujú internet pre rôzne účely – niekedy dobré a niekedy zlé. Takto našli aj neaktualizovaný publikačný systém. Urobili si z neho „svoje“ miesto – jeden z mnohých bodov na internete, ktorý využívali na ďalšie útoky po sieti. Akoby obrovský hackerský cloud. Nielenže sa server spomínanej firmy stal jedným z ohniviek v hackerskej reťazi, stala sa aj ďalšia vec. Cez starý systém sa útočníci dostali aj do adresára nového webu a infikovali ho svojim kódom natoľko, že web firmy aj jej malý e-shop prestal fungovať. Zrazu, zo dňa na deň. Vo firme si všimli, že prestali chodiť objednávky a trvalo niekoľko dní a stálo to zbytočne veľa peňazí, kým všetko dali do poriadku.

Ako sa brániť

Spomínaný príklad je len jeden z mnohých, ktoré sa každý deň dejú v online priestore. Dokonca podľa jedného z prieskumov kybernetickej bezpečnosti, ktorý urobila spoločnosť SMB Group, približne 70 percent hackerských útokov cieli na malé a stredné firmy. Zaujímavý je tiež údaj, že 60 percent malých a stredných firiem, ktoré hacknú, do pol roka v biznise skončí.

Ak chcete svoju firmu ubrániť v online priestore, je potrebné sa stať aj na manažérskej úrovni online pesimistom. Neustále byť v strehu, že sa niečo môže stať a podľa toho prispôsobiť aj IT štruktúru firmy. Je to akoby ste bojovali v malej vojne, pričom neviete, odkiaľ môže prísť útok.

1. Zmapujte si bojisko

Potrebujete vedieť, aké zariadenia máte pripojené k firemnej sieti. Slovo „zariadenia“ je použité zámerne, pretože nejde len o počítače. Internet vecí je fenomén dnešnej doby. K internetu sa vie pripojiť už takmer každé novovyrobené elektronické zariadenie a z faktu, že väčšina z nich má slabo, alebo vôbec nemá riešenú bezpečnosť, z nich robí trójske kone pre útok zvonku. V ideálnom prípade majte pripojené k sieti len zariadenia a počítače pracujúce s rovnakým operačným systémom – lepšie umenežujete bezpečnostné záplaty v jednom systéme, ako keď máte vo firme počítače bežiace na Windowsoch, Mac aj Linuxy.

2. Prístupy ľudí

Dať zamestnancom prístup ku všetkým miestam na sieti nie je len znak dôvery a firemnej transparentnosti, ale aj veľkého rizika. Zamestnanec nemusí chcieť škodiť vedome, ale ak zapojí do počítača USB infikovaný kľúč, alebo otvorí e-mail s malwarom, urobí zle celej firme. A to sa ešte k slovu nedostali právnici… Predstavte si, že citlivé dáta o zamestnancoch uložené na vašich počítačoch uniknú von a dostanú sa na verejnosť. Možno neurobia škodu, ale ktorýsi zamestnanec na váš podá za to žalobu. Uchovávali ste jeho dáta legálne? Mali ste systémy zabezpečené, tak ako treba? Na krku tak máte minimálne reputačný problém.

Ak by sme zostali pri porovnaní s bojiskom, tiež na ňom nemá ktorýkoľvek vojak prístup k hocijakým zbraniam v ľubovoľnom čase. Každý vie, čo má robiť a aké má právomoci, aby sa armáda nepoškodila zvnútra.

3. Plán pre krízu

Možno ste len malá firma, možno zamestnávate stovky ľudí. Krízový plán pre prípad digitálneho problému však potrebujete. Zoberte si príklad firmy opísaný vyššie. Čo by ste robili v takom prípade vy? Viete, komu zavolať? Kto hoci aj v noci začne riešiť vaše napadnuté servery? Ako rýchlo viete zjednať nápravu a kto ju urobí? Krízový scenár možno nevyužijete nikdy. Ale ak sa stane problém, môže vám zachrániť reputáciu, peniaze aj dáta.

Ako to vyzerá v praxi

Aby sme nehovorili len v teoretickej rovine porozprávali sme sa aj s odborníkom na kybernetickú bezpečnosť. Na otázky odpovedal Vladimír Frčo, špecialista na sieťovú a telekomunikačnú bezpečnosť zo spoločnosti Orange.

Čo je väčším rizikom pre firmy? Zlý softvér alebo nedbalí zamestnanci?

Záleží od miery rizika. Rozhodne netreba podceňovať ani jednu oblasť. Pri každom bezpečnostnom opatrení myslíte aj na jeho efektivitu, a či sa námaha na jeho nasadenie vyrovná riziku a možným škodám. Každopádne je dobré mať zamestnancov s vyšším povedomím o bezpečnosti. Security oddelenie sa tak odľahčí od riešenia menej závažných problémov. Nedbalosť môže byť často aj nevedomosť, preto sa aj my snažíme zamestnancov vzdelávať a viesť k určitej samostatnosti v oblasti bezpečnosti.

Povedzte to na príklade.

Dobrým príkladom je pracovník predajného miesta. Z laického pohľadu je možno nezaujímavý, ale má veľkú moc z pohľadu ochrany osobných údajov alebo ochrany aktív zákazníkov. Napríklad jedna chyba overenia totožnosti pri výmene SIM karty by mohla niekoho stáť balík peňazí. Pokiaľ máte autorizáciu platieb nastavenú cez SMS kód, zvážte jej zmenu. V zahraničí sú totiž podvody s výmenami SIM kariet bežné.

Vo svete sa tvrdí, že pri zneužití údajov má social hacking väčší úspech, ako technologické útoky. Platí to aj u nás? Sú napríklad v Orangei častejšie technologické útoky, alebo snaha získať citlivé údaje napr. vydávaním sa za iného človeka na hotline?

Ak sú hradby príliš silné, neostáva vám nič iné ako postaviť „trójskeho koňa“. A to doslova. Pokiaľ má firma dostatočne silnú ochranu na perimetri, útočník musí nájsť iný spôsob prieniku do jej vnútra. Dôležitý je vektor útoku a plocha, ktorú môže útočník zasiahnuť. Ak má firma v internete len jeden server so statickou web stránkou, bude ťažké sa cez ňu dostať k cenným informáciám. Pre útočníka bude ľahšie nájsť emailové adresy zamestnancov a rozposlať na ne mail s linkom na malware. Plocha útoku je rozhodne väčšia ako jedna IP adresa web servera.

A ten social hacking?

Vydávať sa za niekoho iného nie je u nás také bežné. Útočníci skôr uprednostňujú neosobné spôsoby. Ak k úniku aj dôjde, je to prostredníctvom osoby, ktorá má autorizovaný prístup k dátam a robí to vedome.

Ktoré miesta vo firme sú bezpečnostne najzraniteľnejšie?

Z technológií sú to legacy systémy a systémy, ktoré už dávno nemali fungovať, boli vyradené, ale niekto ich zabudol odpojiť. Tiež sem patria služby, ktorých patchovací cyklus je príliš dlhý a nereflektujú na aktuálnu situáciu.

Z pohľadu zamestnancov sú útoky najčastejšie cielené na zákaznícke centrum, finančné a IT oddelenie. Neznamená to však, že sú aj najzraniteľnejšie. Zraniteľnosť zamestnancov závisí od viacerých faktorov a niekedy aj ten najlepší zamestnanec spraví chybu.

