Hľadáte niečo konkrétne?

Skúste zadať kľúčové slovo/-á.

Avris
  /     /  GDPR a ochrana informácií   /  IT bezpečnosť v roku 2020: Na čo sa treba pripraviť?

IT bezpečnosť v roku 2020: Na čo sa treba pripraviť?

Zamyslite sa: Koľko e-mailov pošlete počas jedného pracovného dňa? Predstavte si, že za deň je na celom svete poslaných až 294 miliárd e-mailov.  To už je celkom dosť na to, aby sme sa začali zaujímať aj o našu bezpečnosť. V digitálnom svete hovoríme o IT, informačnej alebo o kybernetickej bezpečnosti.

Na čo musíme v roku 2020 pripraviť naše IT zariadenia?

Neustále viac ľudí používa prenosné zariadenia (notebooky, mobily, tablety) ako tie kancelárske (neprenosné). Iné to nebude ani v roku 2020 a trend bude pokračovať. Z pohľadu kybernetickej bezpečnosti vyplývajú dve veľké nástrahy:

  • Prenosné zariadenia sú vystavené riziku straty, krádeže alebo poškodenia, a tým aj riziku straty, alebo zneužitia dát.
  • Kybernetickí zločinci sa budú stále viac zameriavať na platformy a aplikácie, ktoré sa používajú na prenosných zariadeniach, aby mohli používateľov pripraviť o peniaze.

Ako týmto narastajúcim rizikám predísť?

Či už zariadenie používate súkromne alebo pracovne, mali by ste dodržiavať nasledovné zásady informačnej bezpečnosti:

  1. Zabezpečiť prístup pomocou silného hesla, aby ho v prípade straty nálezca, či zlodej nemohli uhádnuť a zneužiť. Ak ide o firemné zariadenia tak by pravidlá pre prístupové heslá k notebookom a mobilom mali byť súčasťou firemných smerníc.
  2. Zašifrovať údaje uložené v zariadení, ak to zariadenie umožňuje. Často totiž bývajú v mobiloch uložené údaje a poznámky, ktoré chce mať používateľ po ruke, napríklad PIN čísla bankových kariet, alebo heslá k aplikáciám a účtom na internete a podobne.

V roku 2019 bolo najčastejšie využívaným heslom „123456“. Nesmieme sa čudovať, že toto heslo patrí aj do kategórie najčastejšie prelomených hesiel hackermi.

Pri šifrovaní sa na chvíľu zastavme, pretože používatelia často potrebu šifrovania dát podceňujú a to môže byť veľká chyba. Šifrovanie údajov predstavuje druhú úroveň ochrany, ak po strate či krádeži zariadenia páchateľ heslo obíde, alebo heslo prekoná.

Pre firemné zariadenia by šifrovanie malo byť súčasťou bezpečnostných opatrení a to bez ohľadu na veľkosť firmy. Požiadavky GDPR  na ochranu osobných údajov uvádzajú šifrovanie ako základné bezpečnostné opatrenie. Stratu, či krádež firemného notebooku nemožno podceňovať a ak nie je obsah pevného disku zašifrovaný, heslo údaje neochráni. Stačí totiž počítač rozobrať, pripojiť disk k inému počítaču a všetky uložené údaje sú čitateľné.

V čom tkvie riziko pri častejšom používaní mobilných zariadení?

Ak sa na riziká narastajúceho používania mobilných zariadení pozrieme z pohľadu kybernetickej bezpečnosti, tak zistíme, že úloha ochrániť firmu, jej pracovníkov, zariadenia a všetky dáta nie je vôbec jednoduchá. V praxi totiž nastávajú situácie kedy:

  1. zamestnanci používajú služobné zariadenia aj na súkromné účely,
  2. zamestnanci používajú na prácu z domu svoje súkromné zariadenie,
  3. zamestnanci si nosia so sebou do práce vlastné zariadenia, pripájajú ho do podnikovej siete a pracujú s nimi.

Ide o nový populárny model BYOD (z ang. Bring Your Own Device), ktorý v sebe ale z pohľadu správy zariadení a zaručenia bezpečnosti skrýva mnohé riziká.

Veľkou hrozbou je, keď zamestnanci používajú služobné zariadenia na súkromné účely. Vykonávajú napríklad kamarátske telefonáty, inštalujú si do mobilu či tabletu rôzne aplikácie (sociálne siete, hry), prípadne zo zariadení pristupujú do svojich súkromných účtov. Takýmto správaním však nerešpektujú pravidlá, ktoré by ich mohli monitorovať, pretože by stratili časť svojho súkromia. Zamestnávateľ musí rešpektovať súkromie zamestnancov, ale nezodpovední pracovníci predstavujú riziko, že do pracovného zariadenia sa dostane nebezpečný softvér. Škodlivý program môžu do zariadenia stiahnuť z neoverenej aplikácie, pri kliknutí na správu obsahujúcu nebezpečnú prílohu alebo rizikový odkaz. Potom sa tento škodlivý softvér (vírus alebo červ) rozšíri do ostatných zariadení v podnikovej sieti.

Kybernetická bezpečnosť mobilných zariadení – ako na ňu?

Každej firme odporúčame (ak tak ešte nerobia) zaviesť pravidlá pre prácu s mobilnými zariadeniami. Inšpirovať sa môžete napríklad bezpečnostnou normou ISO 27001 (so zavedením ktorej vám vieme pomôcť) a časťou ktorá rieši bezpečnosť mobilných zaradení a vzdialený prístup. Ak ste ešte bezpečnosť mobilných zariadené neriešili, začať môžete podľa nasledujúceho zoznamu:

  1. Začnite evidenciou mobilných zariadení, aby ste mali prehľad o tom koľko ich je, kto ich používa a akú využívajú platformu (operačný systém).
  2. Potom zadefinujte požiadavky na bezpečnosť, t.j. verzie používaného softvéru, pravidelné inštalovanie bezpečnostných aplikácií, pravidlá pre prihlasovanie sa k firemnému e-mailu, pravidlá pre používanie vzdialeného prístupu.
  3. Zadefinujte aj požiadavky na to, ako zamestnanci budú fyzicky chrániť zariadenia, t.j. že ich nenechajú položené v aute, alebo v zasadačke počas prestávky.
  4. Pripravte zariadenia tak, aby ich bolo možné v prípade straty, alebo krádeže lokalizovať, uzamknúť, prípadne vymazať na diaľku a to hlavne v prípadoch, keď sú v nich uložené heslá pre prácu s inými aplikáciami, PIN čísla, alebo iné citlivé údaje.
  5. Pravidelne zálohujte a nezabudnite na šifrovanie týchto zariadení.
  6. Preškoľte zamestnancov na zásady bezpečného používania webových služieb, riziká nevyžiadanej pošty, zásady bezpečnej práce s WiFi na služobných cestách a podobne.

Okrem väčšieho nárastu hrozieb zameraných na zraniteľnosť mobilných zariadení, budú v roku 2020 pretrvávať riziká spojené predovšetkým so škodlivý softvérom, zameraným na vynucovanie platieb výpalného (tzv. ransomvér) a tiež škodlivým kódom, ktorý zneužíva výpočtovú kapacitu zariadení na skryté výpočty súvisiace s dolovaním kryptomien. Proti týmto hrozbám sa používatelia a firmy musia chrániť kvalitným antivírusovým softvérom a firewallom.

Ak potrebujete v roku 2020 pomôcť s riešením kybernetickej bezpečnosti obráťte sa na nás. Disponujeme tímom  odborníkov a skúsenosťami z projektov v minulosti.

Autor článku: Dušan Peško, Senior Consultant

PRIDAŤ KOMENTÁR

Prihláste sa k odberu nášho Newslettra.

Registrácia

Zásady spracúvania osobných údajov prevádzkovateľom Avris Consulting, s.r.o. nájdete v Ochrane osobných údajov

Odoslaním údajov súhlasím s ich spracúvaním na účely registrácie. Súhlas je dobrovoľný a môžem ho kedykoľvek odvolať.

Resetovať heslo

Radi Vám pomôžeme
Zásady spracúvania osobných údajov prevádzkovateľom Avris Consulting, s.r.o. nájdete v Ochrane osobných údajov