CANON_072026 CANON_072026 CANON_072026

Bezpečnosť firmy počas dovoleniek

0

Leto je pre firmy obdobím, keď sa z bežných prevádzkových zvyklostí stáva bezpečnostné riziko. Zamestnanci odchádzajú na dovolenky, berú si so sebou služobné notebooky alebo pracujú z vlastných zariadení.

Samsung_042026T Advertisement

Špecifiká dovolenkového obdobia

Schvaľovanie faktúr, objednávok či zmlúv sa presúva na zastupujúcich kolegov a manažérov, ktorí dočasne získavajú nové oprávnenia. Do toho prichádza uvoľnenejšia dovolenková atmosféra, znížená pozornosť a pravidelne aj zvýšená aktivita útočníkov, ktorí skúšajú ­phishing, podvrhnuté platobné pokyny a falošné žiadosti o urgentné schválenie. Ak firma pred dovolenkami nemá stanovené jasne ­definované pravidlá, môže sa riziko zmeniť na incident s finančnými, právnymi alebo reputačnými následkami.

Politiky a pravidlá pred dovolenkami

Najlepšie bezpečnostné opatrenia sú tie, ktoré netreba vymýšľať v strese. Ak firma začne riešiť prístupy, zastupovanie a pravidlá až v momente, keď je polovica tímu preč, zvyšuje sa riziko improvizácie. Improvizácia býva síce pohodlná, ale nebezpečná.

Prvé pravidlo, ktoré by mala firma definovať ešte pred začiatkom dovolenkovej sezóny, je politika práce mimo kancelárie. Nestačí všeobecne povedať, že zamestnanec sa môže v prípade potreby pripojiť aj z hotela, letiska alebo apartmánu. Treba presne určiť, z akých zariadení sa možno pripájať, aké podmienky musí zariadenie spĺňať a aké firemné dáta sa na ňom môžu spracúvať. Zamestnanci by sa mali pripájať len cez schválené zariadenia, ktoré sú evidované, šifrované, chránené aktuálnym bezpečnostným softvérom a spravované podľa firemných štandardov. Ak firma povoľuje BYOD, musí mať preň samostatnú politiku, nie len tiché tolerovanie reality. Najväčší problém je nejasná hranica medzi súkromným a pracovným použitím. Na jednom notebooku alebo telefóne sa miešajú rodinné fotografie, sú­kromné aplikácie, cloudové úložiská a firemné dokumenty. Politika BYOD musí definovať povinné automatické zamknutie zariadenia, silné heslo alebo biometriu, ­šifrovanie disku, zákaz zdieľania zariadenia s rodinou, oddelený pracovný profil a možnosť vzdialeného odobratia firemných dát bez zásahu do súkromného obsahu.

Nebezpečenstvo verejných sietí Wi-Fi

Siete Wi-Fi v hoteloch a na verejných miestach sú počas dovoleniek jednou z najčastejších slabín. Vo väčšine prípadov sú verejné siete nejako zabezpečené, ale častejšie je problém v tom, že používateľ nevie, ku ktorej sieti sa vlastne pripája. Falošný hotspot s názvom podobným názvu hotela alebo kaviarne môže zachytávať prevádzku, presmerovať používateľa na podvrhnutú prihlasovaciu stránku alebo sa pokúsiť o útok typu man-in-the-middle, pri ktorých útočník manipuluje prenášané dáta. Preto by interná politika mala jasne stanoviť, že prístup k firemným systémom z verejných sietí je dovolený iba cez firemný prístup VPN alebo inú schválenú šifrovanú cestu.

Riziká zastupovania počas dovoleniek

Počas dovoleniek sa improvizácia vo firmách často maskuje ako flexibilita: Kolega preberie schvaľovanie faktúr, asistentka dostane prístup do manažérskeho mailboxu, vedúci tímu schváli platbu za iné oddelenie. Z prevádzkového pohľadu je to pochopiteľné, z bezpečnostného hľadiska však ide o problém, pretože dočasné prideľovanie oprávnení býva zle zdokumentované, zriedka časovo ohraničené a po návrate zamestnanca sa naň často zabudne. Pred dovolenkami preto firma potrebuje jasnú politiku zastupovania, postavenú na princípe najnižších potrebných oprávnení. Zástupca nemá „pre istotu“ dostať rovnaký prístup ako zastupovaný zamestnanec, ale iba tie práva, ktoré reálne potrebuje na konkrétne úkony počas presne vymedzeného obdobia.

Zastupovanie by malo byť oficiálne nastavené, nie riešené cez preposlané heslo. V praxi to znamená, že firma má mať procesy na dočasné roly, ideálne s automatickým vypršaním platnosti, s povinným schválením nadriadeným a s auditnou stopou.

Najväčším rizikom nebýva samotné udelenie prístupu, ale jeho zabudnutie v systéme. Dočasné oprávnenie sa tak môže stať trvalou zadnou bránou, cez ktorú sa neskôr dostane k citlivým údajom niekto, kto ich už dávno nepotrebuje vidieť.

Zvýšená ostražitosť k sociálnemu inžinierstvu

Útočníci dobre vedia, že v lete bývajú tímy oslabené, procesy zastupovania sú menej zabehnuté a ľudia reagujú rýchlejšie, aby „nezdržovali kolegu na dovolenke“. Typický scenár je e-mail so žiadosťou o urgentnú úhradu, zmenu čísla účtu alebo zaslanie dokumentu, ktorý sa tvári ako správa od konateľa, finančného riaditeľa alebo dodávateľa. Ak takúto správu dostane zástupca, ktorý nemá bežný kontext a vidí len časový tlak, riziko chybnej reakcie výrazne rastie. Dôležité je preto pravidlo štyroch očí pri citlivých operáciách, najmä pri platbách, zmenách bankových účtov dodávateľov, schvaľovaní zmlúv a práci s osobnými údajmi.

Dôležitá je aj ochrana pred takzvaným consent phishingom, pri ktorom používateľ neodovzdá heslo, ale sám udelí škodlivej aplikácii prístup k firemným dátam. Útočníci sa snažia presviedčať používateľov, aby schválili aplikácie s rozsiahlymi oprávneniami.

 V kyberbezpečnosti často rozhoduje práve krok navyše — zastaviť sa, overiť si požiadavku a nenechať sa vtlačiť do umelo vytvorenej naliehavosti.

Technológie pomôžu tam, kde človek nestíha

Od zamestnancov sa nedá očakávať, že budú neustále v strehu. Najmä v lete, keď sa mieša pracovný režim s cestovaním, zastupovaním a rozptýlením, je dôležité, aby bezpečnosť nestála len na individuálnej opatrnosti, ale aj spoľahlivej technológii.

Riešenia ako ESET PROTECT pomáhajú firmám spravovať a chrániť koncové zariadenia, kombinovať prevenciu, detekciu a reakciu na hrozby, pracovať s bezpečnostnými politikami či získavať lepší prehľad o tom, čo sa deje na firemných zariadeniach. Pre firmu to v praxi znamená, že ak sa notebook ocitne mimo kancelárie, nemusí byť mimo kontroly. Ak sa objaví podozrivá aktivita, bezpečnostný tím má väčšiu šancu ju zachytiť. Ak zamestnanec pracuje na diaľku, zariadenie môže stále podliehať rovnakým pravidlám ako v kancelárii. A ak firma využíva šifrovanie alebo viacfaktorové overovanie, strata zariadenia či prihlasovacích údajov nemusí automaticky znamenať únik dát. Technológia však nie je náhrada opatrného prístupu ani vhodne nastavených interných pravidiel. Je to sieť, ktorá zachytáva chyby skôr, než prerastú do incidentu.

Resumé

Dovolenkové obdobie prináša kombináciu viacerých rizikových faktorov. Zamestnanci pracujú z hotelov, letísk a kaviarní, pripájajú sa cez verejné siete Wi-Fi, používajú vlastné zariadenia, zastupujú sa navzájom a manažéri schvaľujú dokumenty na diaľku. Z pohľadu útočníkov ide o ideálne obdobie, pretože bezpečnostné pravidlá sa často uvoľňujú a rozhodnutia sa prijímajú rýchlejšie a pod väčším časovým tlakom. Dobrá politika pred dovolenkami má byť zrozumiteľná, vynútiteľná a najmä použiteľná v reálnych situáciách, keď niekto schvaľuje faktúru z mobilu, odpovedá na e-mail z letiska alebo zastupuje kolegu, ktorého agendu bežne nepozná. Ak pravidlá nevychádzajú z reality, zamestnanci ich obídu.

Zobrazit Galériu

Ľuboslav Lacko­

Všetky autorove články

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať