Najväčšou hrozbou sú pre firmy chyby, ktorým dokážu predísť. Na čo všetko si treba dať pozor pri nastavovaní bezpečnosti?

Špeciálny projekt

Každé zabezpečenie je len také silné ako jeho najslabší článok. V prípade ochrany firiem pred kybernetickými hrozbami to platí ešte viac. IT administrátori majú neľahkú úlohu dohliadnuť na obrovský komplex opatrení od opravy zraniteľností až po vzdelávanie zamestnancov. Nedôsledná správa systémov obsadila prvé miesto v rebríčku 10 najväčších hrozieb, ktorý zostavili experti zo spoločnosti ESET v rámci portálu Bezpečne vo firme.

Viete, čo všetko je zapojené vo firemnej sieti?

Je náročné chrániť firmu pred čoraz vyspelejšími kybernetickými hrozbami, ak neviete, z akej strany môžu prísť. Súčasťou firemných sietí je často množstvo programov, služieb, ale aj zariadení, o ktorých správca nevie. Tomuto problému sa hovorí shadow IT. Neschválené prvky sa môžu v sieti vyskytnúť z dôvodu pohodlnosti zamestnancov, nerešpektovania firemných politík, nespokojnosti so súčasnými nástrojmi alebo jednoducho z dôvodu neinformovanosti.

Shadow IT predstavuje hrozbu z niekoľkých dôvodov. Zamestnanci môžu používať nástroje a aplikácie, ktoré nemusia byť dostatočne zabezpečené. Môžu napríklad obsahovať zraniteľnosti alebo nechránené dáta, čo otvára dvere pre útočníkov. Ak zamestnanci používajú nejaký nástroj „načierno“, administrátor nad ním nemá kontrolu a kyberzločinci cezeň môžu napríklad do systému zaniesť malvér.

Samostatnou kapitolou sú zariadenia IoT zapojené do siete bez vedomia administrátorov. Často ide o zariadenia, ktorým chýbajú aj základné bezpečnostné prvky ako unikátne silné heslo pre každé zariadenie. Typický príklad sú Wi-Fi routery zamestnancov, ktorí pracujú z domu. Mnoho routerov má nakonfigurované slabé heslá z výroby, ktoré dokážu útočníci uhádnuť a zneužiť na pripojenie sa do siete.

Odkladáte aktualizácie? Môže sa vám to vypomstiť útokom

Okrem monitorovania toho, aké aplikácie sú nainštalované vo firemnej sieti, je kriticky dôležité ustrážiť, aby bol každý softvér aj operačný systém aktualizovaný na svoju najnovšiu verziu. Mnohé aplikácie totiž obsahujú rôzne bezpečnostné chyby, takzvané zraniteľnosti, cez ktoré sa útočníci dokážu nabúrať do celej siete. Pri obrovskom počte programov, ktoré firmy a ich zamestnanci používajú, je pravdepodobné, že skôr či neskôr bude nejaký z nich obsahovať zraniteľnosť. 

Jediný spôsob, ako zraniteľnosti opraviť, je prostredníctvom aktualizácie, ktorá chybu zapláta. Väčšina IT správcov pritom potvrdí, že oprava zraniteľností je jedna z časovo najnáročnejších úloh a celý proces je navyše čoraz zložitejší. Preťažené IT tímy preto často odsúvajú nasadzovanie záplat na druhú koľaj. Včasné nasadenie bezpečnostných záplat v aplikáciách a operačných systémoch je však kľúčové pri predchádzaní incidentom.

Dobrá správa je, že firmy môžu túto časovo náročnú úlohu najnovšie zveriť do rúk bezpečnostnému riešeniu. Nástroj ESET Vulnerability & Patch Management kontroluje tisícky populárnych aplikácií, napríklad Adobe Acrobat, Mozilla Firefox a Zoom Client, na prítomnosť viac ako 35-tisíc bežných zraniteľností a rizík (CVE). Zraniteľnosti možno filtrovať a priorizovať podľa ich závažnosti. Firmy môžu uprednostniť opravu kritických chýb a zaplátanie zvyšných naplánovať na čas mimo špičky, aby sa vyhli prerušeniam.

Kto všetko má prístup do firemných systémov?

Častá chyba, ktorú si firmy neraz ani neuvedomujú, je poskytovanie prístupu k citlivým dátam aj zamestnancom, ktorí ho nepotrebujú. Útočníci tak majú väčšiu šancu, že sa dostanú k daným údajom. Ak napríklad zamestnanec marketingu naletí na phishingový e-mail, hackeri sa môžu cez jeho účet dostať k osobným údajom ostatných zamestnancov z HR oddelenia. Problému by sa pritom dalo predísť tým, že zamestnanec marketingu by k týmto dátam nemal prístup.

Predchádzajúci príklad opisoval problém so zle nastavenou šírkou prístupových dát. Nebezpečenstvo však predstavuje aj to, keď sú práva používateľov zbytočne príliš vysoké. V prípade, že by ten istý marketingový zamestnanec mal napríklad práva administrátora, hackeri by dokázali po krádeži jeho prihlasovacích údajov vypnúť antivírusovú ochranu v celej firme a spustiť tak masívny útok. Je preto dôležité nastaviť zamestnancom iba také práva, ktoré potrebujú na vykonávanie svojej práce.

Prihlasuje sa do siete zamestnanec alebo útočník? 

Pri zabezpečení by mali firmy myslieť aj na vynucovanie silných a unikátnych hesiel pre každú službu. Jednoduché heslá dokážu hackeri prelomiť v rámci útokov hrubou silou. Ich podstata spočíva v tom, že hádajú obľúbené kombinácie znakov. K heslám sa navyše môžu zločinci dostať aj cez úniky údajov zo slabo zabezpečených aplikácií, ktoré zamestnanci používajú napríklad v súkromnom živote.

„Ak útočníci získajú heslo, skúšajú, či ho obeť nepoužíva aj inde, napríklad v pracovných účtoch. Práve preto je dôležité dbať na to, aby zamestnanci používali unikátne heslá,“ vysvetľuje Ondrej Kubovič, špecialista na digitálnu bezpečnosť spoločnosti ESET.

Mnohé firmy žiadajú od zamestnancov, aby si pravidelne menili heslá. Aj keď je úmysel dobrý, zamestnancov môže toto pravidlo pri veľmi vysokej frekvencii zvádzať k nastavovaniu slabých hesiel. Často sa stáva, že v starom a jednoduchom hesle zmenia iba jeden znak, aby si vedeli to nové zapamätať. V tomto prípade platí, že lepšie je zamerať sa na kvalitu hesla ako na jeho časté vymieňanie. Pri kvalitnom hesle stačí vyžadovať jeho zmenu aj iba raz ročne.

Treba sa však poistiť aj pre prípad, že útočníci heslo získajú či už phishingom, hrubou silou, alebo z úniku dát. Bezpečnostná poistka, ktorá ich ďalej nepustí, je dvojfaktorová autentifikácia, ktorá si od používateľa vyžiada ďalší údaj a overí tak, že ide skutočne o autorizovanú osobu. Najbezpečnejšia cesta je využiť autentifikáciu vo forme fyzických tokenov alebo aplikácií na generovanie jednorazových kódov.

Najmä pri práci na diaľku je vhodnou formou ochrany aj sprístupnenie vybraných destinácií iba po prihlásení sa na firemnú sieť VPN. Tá vytvára šifrovaný tunel medzi používateľom a firemnou sieťou. Keď sú určité služby dostupné iba cez VPN, znižuje to exponované plochy a vystavenie vonkajším hrozbám. To znamená, že služby nie sú priamo prístupné z internetu a sú chránené pred bežnými hrozbami, napríklad pred hromadným skenovaním.

Ste pripravení aj na najhorší scenár?

Niekedy sa stane, že útočníkom sa podarí do siete preniknúť aj pri solídnom zabezpečení. V prípade útoku ransomvérom napríklad zašifrujú citlivé dáta, o ktoré môže firma nenávratne prísť, čo môže ochromiť chod celej prevádzky. Hrozbou sú však napríklad aj prírodné katastrofy, ktoré môžu spolu so zariadeniami zničiť aj údaje. Je preto potrebné, aby mali firmy vždy vypracovaný plán pre krízové situácie a pravidelne zálohovali.

Efektívne zálohovanie by malo byť diverzifikované. Existujú softvéry, ktoré sa postarajú o pravidelné a automatizované zálohovanie. No najbezpečnejšie je údaje uchovávať zároveň aj na fyzických nosičoch. Treba si však pritom dávať pozor na zabezpečenie miesta, kam takéto disky umiestnite.

Zverte bezpečnosť do rúk kompetentných ľudí

Realita mnohých menších slovenských firiem je taká, že o ich digitálnu bezpečnosť sa stará známy alebo známa, „čo tomu rozumie“. Organizácie často kybernetické hrozby podceňujú a chybne si myslia, že sa ich netýkajú. Kybernetickú ochranu tak zveria do rúk jednej osobe, ktorá má na starosti všetko, čo sa týka IT, od vymenenia tonerov v tlačiarni až po bezpečnosť všetkých zariadení v sieti. Spoliehajú sa pritom na to, že ochranu zastreší najmä antivírusový softvér.

Kvalitné bezpečnostné riešenie síce dokáže mnohé riziká pokryť, no bez vstupu človeka nepredstavuje komplexnú a nepriestrelnú ochranu. Problémom totiž môže byť nedodržiavanie rôznych bezpečnostných opatrení, ktoré spomíname aj v tomto texte.

„Firma môže používať to najlepšie bezpečnostné riešenie, ale keď raz útočník vymámi prostredníctvom techník sociálneho inžinierstva od nevyškoleného zamestnanca heslo, samotný softvér bez ďalších opatrení jej nepomôže. Je preto potrebné, aby bezpečnosť vo firme spravovala kompetentná osoba, ktorá si uvedomuje jej komplexnosť,“ vysvetľuje Ondrej Kubovič.

Veľké firmy sa zas môžu pre nedostatok špecialistov trápiť so správou pokročilých bezpečnostných riešení, ako je XDR, ktoré nepretržite monitorujú dianie v celej sieti a hlásia v reálnom čase podozrivú aktivitu. Riešením pre firmy, ktoré nemajú vlastných profesionálov, ale chcú využívať pokročilý nástroj XDR, sú služby riadenej detekcie a reakcie MDR, ktoré zákazníka kompletne odbremenia od všetkých starostí so správou digitálnej bezpečnosti.

Bez vzdelávania zamestnancov to nepôjde

Jeden z najdôležitejších krokov, ktorým môžete na systémovej úrovni prispieť k posilneniu kybernetickej odolnosti vašej organizácie, je vzdelávanie zamestnancov. Práve na nich totiž stojí a padá snaha IT tímov. Pri správnej komunikácii dokážete k technickým opatreniam pridať aj ľudský firewall.

Kľúčové je, aby zamestnanci nemali pocit, že IT oddelenie ide proti nim. Dôležitú úlohu v tomto prípade zohrávajú aj sofstkillové zručnosti IT pracovníkov, ktorí dokážu kolegom z ostatných oddelení vysvetliť, že bezpečnosť je niečo, čo im pomáha, a nie nepriateľ, ktorý im hádže polená pod nohy.

Konkrétne tipy na optimálne zabezpečenie firmy pred kybernetickými hrozbami nájdete na portáli Bezpečne vo firme.