Ani v nejmenším se teď nechystáme kritizovat, nebo se snad někomu posmívat. Doufáme, že uvedením věcí na pravou míru můžeme pořád někomu pomoci.
Mýtus 1: nejsem pro kyberzločince zajímavý
Tato mylná představa vychází z nepochopení povahy většiny kyberútoků a je o to nebezpečnější, že je zdánlivě opřená o celkem logickou úvahu – co by si na mně kdo vzal? Vždyť nic nemám.
Realita:
Většina kyberútoků dnes probíhá naprosto neadresně a plošně, asi jako když na chalupě do otevřených oken pověsíte mucholapky. Chycená moucha, kdyby toho snad byla schopná, by možná hořekovala, proč to musela být zrovna ona. Ale vy jste na konkrétní mouchu necílili, od toho je plácačka.
Na stejném principu probíhají útoky metodou phishing. Chytíte se na mucholapku, i když jste pro útočníka naprosto anonymní bytost, kterou před tím neznal. Rozmisťuje pasti a nechává lidi, aby se jako mouchy chytili sami.
Ani úvaha o tom, že nemáte, co by vám ukradli, není správně. Například přístup k vašim mailům může posloužit jako velice zákeřná zbraň k dalším cílenějším útokům. Na vaše zákazníky, kolegy, spolupracující firmy, nebo i známé a přátele.
Tipy na řešení:
-
Implementujte vícefaktorové ověřování (MFA): Vynucuje další úroveň zabezpečení a činí přístup k účtům obtížnější.
-
Používejte monitoring přístupu: Sledujte, kdo a odkud přistupuje k vašim účtům, abyste mohli rychle zareagovat na podezřelé aktivity.
Mýtus 2: platím si přece antivir
Softwarová ochrana je schopná zachytit velkou škálu útoků vedených na vaše zařízení prostřednictvím škodlivého kódu.
Realita:
I když je nutné a správné chránit se profesionálním antivirem a antimalware, zdaleka se nejedná o kompletní ochranu a existuje plejáda forem útoku, na které toto zabezpečení nemůže reagovat. Přeba právě zmíněný phishing, který spíš než na zranitelné technologie útočí na lidské uvažování jako na nejslabší článek.
Komplexní přístup kombinuje antiviry s firewally, vyžaduje pravidelné aktualizace softwaru, vícefaktorové ověřování identity, vzdělávání uživatelů a strategie zálohování dat.
Tipy na řešení:
-
Školte zaměstnance v kyberbezpečnosti: Naučte je rozpoznat podvodné e-maily, odkazy a další techniky sociálního inženýrství.
-
Zavádějte pravidelné aktualizace softwaru: Starší verze softwaru mohou mít zranitelnosti, které útočníci snadno využijí.
Mýtus 3: o to se nám přece stará IT oddělení
Představa, že když si za bezpečnost někoho platím, není to nadále moje starost, je opět poměrně nebezpečným nepochopením situace.
Realita:
I když je velice důležité svěřit ochranu firemních dat a infrastruktury do správných rukou profesionálů, na každém dalším zaměstnanci stále zůstává povinnost dodržovat zásady bezpečnosti, kdy jejich zanedbání pomáhá útočníkům překonat i komplexní a nákladnou ochranu.
Třeba jen taková drobnost, jako čtení soukromých mailů na služebním počítači a neopatrné kliknutí na podvodný odkaz, může přivést celou firmu až do konkurzu. A to bez přehánění. Udržovat všechny zúčastněné osoby informované je skutečně starostí odborníků, ale nedopustit se chyb s nedozírnými následky je úkolem pro každého.
Tipy na řešení:
-
Zaveďte politiky minimálních oprávnění: Každý zaměstnanec by měl mít přístup pouze k datům a systémům nezbytným pro jeho práci.
-
Provádějte simulované phishingové útoky: Testujte reakce zaměstnanců na podvodné zprávy a zlepšujte jejich povědomí.
Mýtus 4: k zabezpečení účtů nám stačí velmi silná hesla
Doby, kdy se kolegovi člověk dostal do počítače zkoušením slov „heslo” nebo „1234”, případně data narození manželky, jsou doufáme dávno pryč. Je dobře, že důležitost komplexních hesel si uvědomuje čím dál více lidí. Ale představa, že nic víc nepotřebujete, je opět mylná.
Realita:
Zase je potřeba pochválit každého, kdo hesla nebere na lehkou váhu. Ale je potřeba připomínat, že i dobré heslo lze překonat a vůbec se nemusí jednat o takzvané útoky hrubou silou, o kterých si řekneme zase někdy příště.
K obejití silných hesel velmi často vedou úspěšné útoky s pomocí sociálního inženýrství a hlavně z tohoto důvodu je opět nutné zajistit vaše data komplexnějším systémem zahrnujícím další překážky na vstupu, jako vícefaktorové ověřování identity, ale také metodami, které minimalizují následky v případě, kdy se útočníkům povede první linii prolomit.
Tipy na řešení:
-
Používejte správce hesel: Generují a ukládají komplexní hesla, čímž snižují riziko jejich opětovného použití.
-
Aktivujte upozornění na podezřelé přihlášení: Buďte informováni o pokusech přihlásit se z neznámých zařízení či lokalit.
Mýtus 5: jsme malá firma a komplexnější nástroje ochrany jsou drahé
Mnoho malých podniků se domnívá, že robustní kybernetická bezpečnost je mimo jejich dosah kvůli rozpočtovým omezením. V dnešní době je však k dispozici mnoho cenově dostupných a uživatelsky přívětivých nástrojů. Implementace základních postupů kybernetické bezpečnosti, jako jsou zásady silných hesel, pravidelné aktualizace softwaru a školení zaměstnanců, navíc stojí málo, ale poskytují významnou ochranu.
Realita:
Efektivní kybernetická bezpečnost nemusí být nákladná ani složitá. Trh se ze strany firem podnikajících v oblasti kyberbezpečnosti přizpůsobil a účelné snížení rizik je v nabídce za ceny, které odpovídají možnostem i malých firem.
Podobně jako ve všech předchozích bodech je potřeba připomenout, že kompletní zabezpečení není jen otázkou technologií, ale také o dodržování bezpečnostních pravidel ze strany zaměstnanců, a to není vůbec otázkou peněz.
Tipy na řešení:
-
Nasazujte cloudové služby s integrovaným zabezpečením: Řešení jako Microsoft 365 nebo Google Workspace nabízejí přístupné bezpečnostní nástroje.
-
Vytvořte základní krizový plán: Mějte kontakty na odborníky, postupy pro izolaci útoku a obnovu dat.
Závěr:
Velká část mýtů se točí kolem představy, že zrovna vaší firmě se kyberútok vyhne. Ať už kvůli její domnělé nedůležitosti, malé velikosti, nebo kvůli oboru podnikání, který útočníky přece nebude zajímat.
Odpovědí na všechny tyto omyly je vysvětlení principu plošných útoků, jejichž obětí může být vdova v důchodě stejně jako nadnárodní korporace s miliardovými obraty. Není to tak, že by si podvodníci vybírali cíle.
Dalším důležitým bodem k zamyšlení je fakt, že pokud někdo „klikne, kam nemá‟, pomůže útočníkům překonat i poměrně drahá zabezpečení. Být aktivní součástí ochrany firemních dat je proto velmi důležité.