Trendem posledních let je zvýšená orientace na bezpečnost dat, na druhou stranu ani útočníci nespí a přicházejí s novými způsoby útoků. Pozvali jsme si proto do jednoho z dílů Laba podcastu It’s good to be smart! odborníka na kyberbezpečnost.
Jiří Kohout působí na pozici Head of Security Architecture v Komerční bance a kyberbezpečnost je jeho srdcovým tématem už 20 let. Věnovali jsme se otázkám: co to je kyberbezpečnost, jak chránit svá data, kyberbezpečnost v podnikání a prevence kyberútoků. Co jsme se dozvěděli?
Pod kyberbezpečností si můžeme představit ochranu všeho, co se děje v kyberprostoru. A když se bavíme o bezpečnosti v kybernetickém prostředí, tak je to primárně o tom, jakým způsobem chráníme data.
Jak se můžeme bránit úniku dat? Neexistuje univerzální odpověď, vždy musíme pracovat s bezpečností na více úrovních. Jiří Kohout třeba přistupuje k bezpečnosti tak, že pracuje s několika opatřeními, která řeší podobnou věc. Řečeno jinými slovy: Naháže co nejvíc klacků pod nohy potenciálnímu útočníkovi.
Jiné možnosti má samozřejmě uživatel na svém soukromém mobilu a jiné společnost, která spravuje obrovské množství dat. Možnosti ochrany jsou diametrálně odlišné, na druhou stranu jiný je i zájem útočníků.
Ochrana dat: Proč jeden způsob nestačí?
Jiří Kohout se začal před mnoha lety zabývat kyberbezpečností, protože přišel o svoje soukromá data. Zkolaboval mu harddisk a neměl zálohu. Dnes sice máte k dispozici spoustu cloudových úložišť, nicméně odborník stále doporučuje udělat si aspoň jednou za čas kopii dat na externí médium.
Ví o případu, kdy Google někoho odpojil od jeho účtu a dotyčný neměl přístup vůbec k ničemu na svém disku. Trvalo několik měsíců, než se situaci podařilo vyřešit a dostal se zpět ke svým datům. Takže cloud není univerzální odpověď, stejně jako offline zařízení není univerzální odpověď. Vždy je nejlepším řešením kombinace, která minimalizuje riziko, související se ztrátou dat.
Firmy a kyberbezpečnost: Útočníci sází na neznalost.
Jakým způsobem může řešit kyberbezpečnost firma? Zde obvykle narážíme na komplexnější problém, protože máte mnohem více dat a mnohem více systémů. Máte spoustu interakcí s okolním světem. Útočník má pak také mnohem více cest, jakým způsobem vás může napadnout.
Tady už nepomáhají jednoduché poučky, ale je to celý soubor opatření, například organizačních – aby lidé nezapomínali na kontroly a aby nedělali chyby na procesní úrovni.
Je to rovněž o spoustě technologií, které vám s cybersecurity pomáhají. Jedná se o mnoho opatření na různých úrovních, abyste udrželi vysoký standard a vysokou bezpečnost dat, která zpracováváte. Neexistuje jedno konkrétní opatření, kteří by vám zázračně pomohlo.
Jiří Kohout, když řeší ochranu dat, tak se dívá na prostředí, které chrání, z pohledu útočníka. Používá metodiku cyber attack kill chain, která popisuje 8 fází kybernetického útoku. V každé fázi je možné udělat opatření, která útočníka buď zastaví, nebo odhalí, případně zmírní dopad, který útočník může v dané fázi udělat.
Díky této optice budujete komplexní bezpečnost napříč všemi vrstvami útoku. Víte, že máte celé prostředí postaveno tak, že například získání hesla útočníkovi nepomůže k tomu, aby pokračoval ve svém útoku.
Metodiku cyber attack kill chain vyvinula společnost Lockheed Martin a je určena k identifikaci a prevenci kybernetických útoků.
Důležité je pochopení toho, jak celá bezpečnost ve firmě funguje. Nedává smysl na jedné straně stavět železobetonovou zeď a na druhé straně mít skleněné dveře. Útočník si vždy vybere cestu nejmenšího odporu.
Hodně útočníků využívá pro své útoky neznalost lidí a jejich sníženou obezřetnost. Opatření, které opravdu dává smysl, je školení zaměstnanců, aby si uvědomovali hrozby, které na ně číhají.
Jaké jsou náklady na kyberbezpečnost? Možná znáte vtip, že před úspěšným útokem je peněz málo a po úspěšném útoku je jich najednou dost. Tohle není vhodný přístup ke cybersecurity.
Pokud je bezpečnost nastavena správně, nikdo ve firmě nemá pocit, že jsou to vyhozené peníze. Bezpečnost zpracování dat je primárně o ochraně podnikání. Pokud se stane dostatečně závažný útok, tak máte problém: přijdete o data, dostanete pokutu, odejdou vám klienti, protože vám nebudou věřit, nápad vám ukradne konkurence.
Kyberbezpečnost je důležitá bez ohledu na obor podnikání. Pokud je ochrana dat nastavena správně, tak top management velice dobře ví, proč co dělá, a uvědomuje si, že úroveň cybersecurity odpovídá jejich očekávání a míře rizika, kterou jsou ochotni podstoupit.
Je důležité vzdělávat také top management v tématu, jaké hrozby a jaké dopady může porušení bezpečnosti zpracování dat mít, protože ne každý si může riziko dostatečně uvědomovat.
Ideální je, když se nastaví míra bezpečnosti, které chce společnost dosáhnout tak, aby pro ni byla kyberbezpečnost rentabilní. Nedává smysl chránit něco, co stojí milion, něčím, co stojí pět milionů. Vždy je potřeba zohlednit byznysovou stránku, pak bezpečnost nebude zbytečný náklad, ale smysluplná záležitost.
Nedá se tedy říct, jestli se má v případě nákladů jednat třeba o určité procento obratu, protože v cybersecurity nefungují všeobecná řešení.
Veškerý obsah v užitečném formátu. Rozhovory, články, life hacky a tipy ze světa businessu i korporátů na našem LinkedIn profilu.
Pojďte se připojit!
Phishing: Stará metoda, nové triky.
Jedná se o jednu z cest, jakým způsobem se útočník dostává do prostředí oběti. Jak rozpoznáte phishingový e-mail?
Co se týká rozpoznávání phishingu, znaků je vícero. Technická nastavení mohou pomoci s jeho odhalováním. Jiří Kohout připomíná obezřetnost zejména ve chvíli, kdy vám přijde e-mail z neočekávaného zdroje. Podívejte se dobře na adresu odesílatele a obecně si dávejte pozor na e-maily, které jsou označené jako spam. Je potřeba být v takové situaci opatrnější, i když ne všechny e-maily ve spamu jsou phishing.
Typickými znaky phishingu jsou:
- Nevhodný odesílatel.
- Špatná čeština. Nejedná se však o stoprocentní znak, protože dobře připravený phishing už v dnešní době zvládá správnou češtinu a vyvolání věrohodného dojmu.
Čeho se vyvarovat:
- Pozor na klikání na odkazy, o nichž nevíte, kam vedou.
- Totéž platí pro přílohy, do kterých může útočník vložit cokoliv.
- Neklikejte ani na odhlášení z odběru e-mailů (unsubscribe script), protože tím dáváte útočníkovi vědět, že váš e-mail skutečně existuje.
Když vám přijde e-mail z nejistého zdroje a se zvláštní přílohou, je ideálním řešením e-mail smazat.
Vaše zbraň proti útočníkům: Vzdělávání.
Jiří Kohout doufá, že postupem času se bude povědomí o kyberbezpečnosti zlepšovat. Připomíná, že ve firmách se školí o bezpečnosti práce, ale v oblasti kyberbezpečnosti ještě není tento postup úplně standardem. Myslí si, že dbát na bezpečnost se stává základní znalostí, ale pořád máme před sebou relativně dlouho cestu.
Každé školení je malý krůček vpřed. Každá znalost se šíří dál, mezi kolegy v práci, mezi kamarády a příbuznými.
Laba vytváří živé online kurzy, které umožňují komunikaci s lektorem a lépe tak odpoví účastníkům a účastnicím na jejich otázky a posunou je dál.
Kurz na téma kyberbezpečnosti se věnuje aktuálnímu tématu a je skvělé, že i lektor Jiří Kohout je natěšený na kurz cybersecurity, který v Laba povede. Těší se na interakci, na dotazy a podněty od účastníků a účastnic online kurzu. Obě strany mají díky živým online lekcím možnost naučit se něco nového.