Informační bezpečnost

Informační bezpečnost – ochrana informací ve všech jejich formách a po celý jejich životní cyklus – tedy během jejich vzniku, zpracování, ukládání, přenosu a likvidace.

Pokud jde o praxi, stále přetrvávají přístupy, které říkají, že neutrácíme za zbytečné nástroje a když už to někde padne na úrodnou půdu, pak se to odehraje systémem: uděláme tendr na výběr dodavatele a integrátora ERP systému a po zaběhnutí uděláme projekt Bezpečnost.

Obojí je špatně. Můj bývalý kolega ze společnosti APP, kde působil jako ředitel pro bezpečnost vždy říkal: „Když se zavážeme dodat zákazníkovi např. systém ORACLE Financials, pak to znamená, že zpracujeme a dodáme:

  • Bezpečnou analýzu situiace a potřeb klienta
  • Bezpečný návrh systému a jeho bezpečné integrace do prostředí klienta
  • Bezpečnou implementaci navrženého systému
  • Bezpečný přechod do bezpečného provozu a jeho bezpečného sledování, vyhodnocování a upgradu.“

Kybernetická bezpečnost – systém bezpečnostních opatření, která chrání před zneužitím informací a infrastruktury, která umožňuje jejich sdílení. Cílem je chránit všechna zařízení v organizaci, které jsou připojena do sítě a díky tomu je potřeba u nich kybernetickou bezpečnost řešit.

Rozvoj technologií obecně a informačních zvláště dosáhl úrovně, na které již zasahuje prakticky do všech oblastí života společnosti.

S expandujícími možnostmi a schopnostmi nových technologií, které již v řadě případů přesahují do oblasti umělé inteligence (Artificial Intelligence), se samozřejmě mění i možná rizika a hrozby v oblasti IT.

Pokud jde o firmy, a zvláště bankovní sektor a kritická infrastruktura, je úroveň zabezpečení na odpovídající úrovni.

V institucích veřejné správy, ve zdravotnictví v médií není situace zdaleka dobrá. Většinou vítězí tzv. „Přístup dobrého hospodáře“, nebudeme utrácet za „hračky“ pro bezpečnostní referenty.

Rusko má na svém seznamu dvě nepřátelské země. Tou první jsou Spojené státy americké, tou druhou je pak Česká republika. A i když klasickou podobu války nám Ruské vedení připomnělo konfliktem na Krymu a ve své gradaci se připomněla nyní, odborníci poukazovali na válku již dlouhou dobu předtím. Na takovou, ve které nefiguruje dělostřelectvo, tanky a vojáci se samopaly, ale počítače, média a internet. Mluvím o kybernetické a informační válce.

Národní úřad pro kybernetickou a informační bezpečnost (NUKIB) vydal minulý pátek varování, ve kterém udává, že hrozba špionáže a kybernetických útoků na ČR dosahuje úrovně kritická. Což znamená, že k takovým útokům téměř jistě dojde. Byť jsou ohroženy hlavně instituce veřejné správy, kritická infrastruktura a média, i my jako běžní uživatelé můžeme být ohroženi a měli bychom dbát zvýšené ostražitosti.

Ochrana institucí

Instituce najdou velmi užitečné rady, pokyny i náměty pro osvětu a vzdělávání zde:

https://www.nukib.cz/cs/kyberneticka-bezpecnost/vzdelavani/publikace-ke-vzdelavani/

CSIRT – https://csirt.cz/cs/

Jako zaměstnanci i jako individuální uživatelé se můžeme setkat s následujícími hrozbami:

Phishing

Jako uživatelé můžeme očekávat větší objem phishingových („rybářských“)útoků. To jsou takové ty nečekané maily, které z vás chtějí vyloudit informace a číslo kreditní karty. Momentálně začal kolovat poměrně sofistikovaný email, který se vydává za českou poštu. Phishingový email má však pár indikátorů, jak ho poznat. Obsahuje většinou obecné oslovení, požadavek na citlivé informace, podezřele výhodnou nabídku, tlak na urgenci a dříve špatnou gramatiku.

Infikované e-maily

V rámci emailů také může nastat situace, kdy bude váš email, či email nějakého poskytovatele vašich služeb napaden. Tyto emaily se pak tváří důvěryhodněji, často se vrací jako odpovědi na předchozí konverzaci a týkají se často faktur nebo plateb. Pokud tedy takový neočekávaný email obdržíte, raději si zavolejte a informujte se. Neklikejte na pochybné odkazy, nestahujte přílohy. Také pozor na QRishing, který k podvodům využívá QR kódy. Skenujte obezřetně.

Pochybné odkazy

No a samozřejmě neklikejte na sociálních sítích na pochybné linky které chodí se zprávami typu „Jsi na tom videu opravdu ty?“ či „Jsem sexy žena, podívej se na moje video“. Neuvidíte ani sebe, ani nahou ženu. Uvidíte maximálně tak jak se vám zařízení plní malwarem.

Co můžeme dělat a jak se chránit?

  1. Dobré je mít vždy vícestupňové zabezpečení. K heslu si přidat i ověření přes SMS či telefon. Mít silná hesla – žádné MůjPejsekRexik nebo Brno1234 a nepoužívat stejné heslo k více účtům.
  2. Dbát zvýšené opatrnosti a mít na mysli, že pokud byste měli někdy skočit na špek útokům na internetu, tak je to pravděpodobně zrovna teď. Ale rozhodně si nestáhněte VPN a (ne)přidávejte k DDoS útokům na ruské a běloruské weby z webu norussian.tk a dalších stránek.  Viz článek Útočit na Rusko může kdokoliv s počítačem je to ale velké riziko: https://www.novinky.cz/internet-a-pc/bezpecnost/clanek/utocit-na-rusko-muze-kdokoliv-s-pocitacem-je-to-velke-riziko-varuji-experti-40388777

Pokud se vám nějaký link či soubor nezdá, zkontrolujte je na https://www.virustotal.com, která vám odhalí jejich bezpečnost. Pokud máte podezření, že se vám někdo naboural do mailu nebo telefonu, udělejte kontrolu přes stránku https://haveibeenpwned.com/.Také se podívejte na stránku https://www.internetembezpecne.cz/, kde se o bezpečí na internetu dozvíte více.

Mobilní komunikace

Pokud budete mít pochybnosti o zajištění bezpečnosti volání či zpráv

  1. SMS prostřednictvím svého mobilního operátor
  2. Zprávy či volání přes Viber
  3. Zprávy či volání přes WhatsApp

nebo prostě budete chtít bezpečnou mobilní komunikaci, máte možnost přejít na aplikaci Signal, viz https://www.nukib.cz/cs/infoservis/doporuceni/1816-doporuceni-pro-pouzivani-aplikace-signal/

  1. Information Security Awareness (Phishing) https://www.youtube.com/watch?v=QYo9jv-eCMY
  2. How to Avoid a Phishing Scam – https://www.youtube.com/watch?v=C6z-HadM258
  3. Microsoft – next examples of phishing emails – Links in phishing-like emails lead to tech support scam: interesting examples of suspicious emails (see https://blogs.technet.microsoft.com/mmpc/2017/08/07/links-in-phishing-like-emails-lead-to-tech-support-scam/)