Používání vlastních zařízení zaměstnanců (BYOD) / nezabezpečená osobní zařízení

Kombinace práce na dálku a zvýšené potřeby online komunikace a sdílení souborů stále více stírá hranice mezi pracovními a osobními zařízeními. Obvyklým řešením je zavedení zásad pro používání vlastních zařízení zaměstnanců (BYOD), které povolují používání osobních zařízení, pokud jsou vybavena dostatečným bezpečnostním softwarem a zaměstnanci dodržují firemní zásady týkající se hesel a fyzického zabezpečení.

Používání vlastních zařízení zaměstnanců bohužel představuje značná rizika a obvykle se neslučuje s osvědčenými postupy (např. uživatel se připojuje k nezabezpečené Wi-Fi síti nebo neinstaluje bezpečnostní opravy), což může vytvářet zranitelná místa náchylná ke zneužití. Tato zranitelná místa mohou představovat rizika nejen pro kybernetické zabezpečení vás samotných, ale také pracoviště nebo firmy.

Zaměstnanci (phishing / sociální inženýrství)

Bez ohledu na to, odkud vaši zaměstnanci pracují, zůstává častou příčinou úniků dat lidská chyba. Proto jsou zaměstnanci jedním z nejčastějších vstupních bodů útoku. Takový útok může mít podobu phishingu nebo sociálního inženýrství s cílem přimět uživatele kliknout na škodlivý odkaz nebo sdílet citlivé informace.

Největší nebezpečí spočívá v tom, že si dotyčná osoba pravděpodobně neuvědomí, že byla zmanipulována, a dává tak ransomwaru nebo jinému malwaru čas na šíření po síti.

Zaměstnanci by měli být proškoleni, jak rozpoznat podezřelou aktivitu a jak ji rychle nahlásit. Navíc by měli používat pouze zařízení s nainstalovaným firemním antivirem a antimalwarem, aby mohli vyhledávat instalace neschválených aplikací a jiné hrozby a předcházet jim, a zachytávat tak problémy, které by jinak mohly proniknout do systému.

Weby

Hackeři považují weby za cestu do podnikové sítě, při které získají spoustu cenných dat. Po hacknutí webu cílové firmy může dojít k nasazení malwaru nebo k odcizení dat a jejich využití pro sociální inženýrství. Obvyklými cíli útoků jsou velké weby, ale menší firmy by neměly předpokládat, že jejich data nejsou dostatečně cenná na to, aby se stala cílem útoku.

Mezi útoky na weby patří DDoS (Distributed Denial of Service), při kterém dojde k vyřazení webu z provozu v důsledku zahlcení.

Útoky využívající injektáž SQL vloží do webu škodlivý kód, který dokáže obejít zabezpečení a usnadnit krádež dat včetně přihlašovacích údajů a platebních údajů, a přesměrovat uživatele na falešnou verzi daného webu. Při takovém množství různých motivů je ochrana vašeho webu naprosto nezbytná. Vedle školení a firewallů by měly být zavedeny přísné zásady řízení přístupu, aby bylo zajištěno, že změny mohou provádět pouze ti, kteří přístup aktivně potřebují. Penetrační testování by mělo sloužit k simulaci kybernetického útoku, což vám pomůže vyhodnotit účinnost zabezpečení sítě a identifikovat zranitelná místa.

Internet věcí

Vpád chytrých zařízení do našich každodenních životů je dramatický. Praktičnost hlasových asistentů v reproduktorech, tiskáren, domovních zvonků, kamer a termostatů je často upřednostňována před zabezpečením. Zařízení internetu věcí (IoT) se tak mohou stát cílem útočníků, kteří vás chtějí špehovat. Pokud dojde k napadení jednoho zařízení, může to kybernetickým zločincům umožnit převzetí kontroly nad dalšími IoT zařízeními, která jsou připojena ke stejné síti.

Hesla

Zabezpečení heslem je velmi běžným a vždy doporučovaným postupem, jak zabránit úniku dat. Bývá však často zmařeno složitými požadavky. Když zaměstnanci pracují, chtějí se rychle přihlásit a pracovat na svých projektech, aniž by museli resetovat a měnit hesla, která si obtížně pamatují. V důsledku toho stále převládají špatné návyky, například vytváření slabých hesel (krátkých, snadno zapamatovatelných), sdílení hesel a jejich zapisování na papírky.

Školení sice pomůže zvýšit povědomí, ale v tomto případě jsou zapotřebí praktická řešení, která vyváží zabezpečení a pohodlí.

Správci hesel jsou vynikajícím řešením problému s „příliš mnoha hesly“. Umožňují kontrolovat sílu hesel, zajistit bezpečné sdílení přístupu a automaticky generovat nová hesla, čímž zrychlují proces přihlašování a udržují účty v bezpečí. A uživatel si musí pamatovat pouze jedno heslo – to k samotnému správci hesel.

Všude, kde je to možné, by se vedle silných hesel mělo používat vícefázové ověření, aby se kromě hesla ověřila i totožnost uživatele prostřednictvím jeho zařízení, polohy nebo biometrických údajů.

Častější využívání cloudu a online nástrojů

Cloudová úložiště a cloudové nástroje nabízejí mnoho výhod pro firemní uživatele, zejména pro ty, jejichž zaměstnanci pracují na dálku. Cloudové služby třetích stran, často označované pojmem „software jako služba“ (SaaS), poskytují software prostřednictvím internetového připojení, aniž by bylo nutné ho instalovat a udržovat místně. Mezi výhody patří přístup k vyššímu výpočetnímu výkonu, cenová dostupnost a vzdálený přístup k softwaru a nástrojům.

Při uložení dat mimo zabezpečenou síť však může hrozit únik dat nebo v horším případě útok na server. Využití poskytovatele třetí strany s sebou přináší také nedostatek kontroly nad používáním dat a zásadami.

Pro ochranu dat v cloudu je nezbytné vícefázové ověření a účinné řešení pro zabezpečení cloudu, jako je například Avast Business Hub.

Nezabezpečené Wi-Fi sítě

Připojení k nezabezpečené Wi-Fi síti přináší mnohá rizika. Pokud nepoužíváte šifrování, lze zobrazit vše, co děláte online. Tedy i historii procházení, přihlašovací údaje a přenosy dat. Pomocí těchto informací by hacker mohl ukrást citlivé údaje a získat přístup k firemním účtům. Pravděpodobně také dojde ke krádeži identity a vaše údaje budou použity k útoku využívajícímu sociální inženýrství na vaše kolegy.

Nezabezpečené Wi-Fi sítě se nejčastěji vyskytují na nádražích, letištích a v kavárnách pod označením „Wi-Fi zdarma“ nebo „hotspot“. Tento typ připojení by se měl používat pouze v krajním případě a pouze pro prohlížení stránek – nikdy ne pro transakce nebo weby, které vyžadují přihlášení.

Místo neznámého připojení by uživatelé na cestách měli pro bezpečné připojení používat své mobilní telefony a tablety.

Je třeba také pečlivě zkontrolovat domácí Wi-Fi síť a zajistit správné nastavení zabezpečení.

Nešifrované sdílení souborů

V hybridním pracovním prostředí je možnost přímého sdílení dokumentů nezbytná pro spolupráci a produktivitu. Pokud jsou však soubory odesílány bez šifrování, pravděpodobnost úniku dat se značně zvyšuje.

IT oddělení sice zodpovídá za to, aby zavedené nástroje (například firewally) a procesy účinně zabezpečovaly soubory před novými hrozbami, ale aktivní musí být i jednotlivé osoby. Zaměstnanci musí dodržovat osvědčené bezpečnostní postupy, například používat při odesílání a přijímání souborů pouze autorizované bezpečnostní nástroje, aby se předešlo chybám, kterým se lze vyhnout.

Přečtěte si další informace o šifrování přenášených dat.

Neschválené IT prostředky

Neschválené IT prostředky znamenají bezpečnostní hrozbu způsobenou připojením neautorizovaných zařízení nebo softwaru k firemní síti bez vědomí nebo souhlasu pracovníků IT oddělení. Jedná se o rostoucí hrozbu, na kterou upozorňuje naše zpráva o mobilní pracovní síle pro rok 2021.

Používání neschválených IT prostředků často není záměrné a může se jednat o něco tak prostého, jako je přihlášení zaměstnance k pracovním účtům na osobním zařízení nebo používání neautorizovaného softwaru a nástrojů v pracovním notebooku.

Během pandemie se používání neschválených IT prostředků značně rozšířilo, protože nedostatek zdrojů přispěl k tomu, že některé firmy pobízely zaměstnance k používání osobních zařízení.

Ať už je důvod jakýkoli, připojení, o kterých IT oddělení neví, rozšiřují možnosti útoků na síť a vytvářejí další vstupní body, které mohou hackeři zneužít.

Síť

Při posuzování zabezpečení sítě je třeba brát v úvahu dva obecné aspekty. V tradičních kancelářích je obvyklým vstupním bodem útoků fyzický síťový hardware. Sem patří směrovače, servery a fyzická úložiště. Zabezpečení těchto prvků vyžaduje kombinaci fyzického zabezpečení a softwarových řešení.

Škála různých typů síťových útoků se rozšiřuje – od ransomwaru a malwaru až po phishing. Tyto útoky mohou sbírat informace o účtech používaných pro směrovače a další fyzické prvky a potenciálně předat řízení přístupu k síti hackerovi.

Druhým typem je softwarové zabezpečení síťového provozu. Sem patří antivirus, zabezpečení serveru a firewally. Zavedení těchto opatření a provádění pravidelných záloh pomohou minimalizovat dopad úniku dat nebo útoku.

Dalším častým problémem je útok přes prostředníka, který dokáže po dlouhou dobu bez odhalení odposlouchávat komunikaci, a vystavit tak i lépe zabezpečené informace riziku krádeže. Z tohoto důvodu je pro odhalování skrytých útoků zásadní pravidelně opravovaný software pro zabezpečení serveru a sítě.

Fyzické zabezpečení na veřejných místech

Zabezpečení zařízení se netýká pouze softwaru. Pro ty, kdo pracují na cestách, představuje fyzické zabezpečení významné bezpečnostní riziko. Nejčastějším příkladem je ztráta telefonu nebo zapomenutí pracovního notebooku ve vlaku.

Fyzické zabezpečení zahrnuje také diskrétnost, která by měla být důležitým faktorem při používání zařízení na cestách. Dbejte na zabezpečení tím, že nedovolíte ostatním cestujícím, aby viděli vaši obrazovku, a vyhněte se hlasitým rozhovorům o firemních záležitostech a citlivých tématech – obojí by mohlo poskytnout informace, které se dají využít pro spear phishing.

Jelikož se jedná o vstupní bod zabezpečení, který závisí na konkrétním uživateli, měli by být všichni zaměstnanci proškoleni o bezpečnostních rizicích a očekáváních při práci na dálku.

Co lze udělat pro ochranu před kybernetickým útokem nebo únikem dat?

Zabezpečení perimetru sítě

Přestože většina firem byla během pandemie nucena rychle se přizpůsobit práci na dálku, základy zabezpečení firmy zůstávají stejné bez ohledu na to, kde se zaměstnanec nachází. Ačkoli „kancelář“ již není omezena na jedinou fyzickou místnost nebo budovu, zabezpečení perimetru sítě je stále jedním z nejdůležitějších kroků, které může firma podniknout, aby zajistila zachování důvěry zákazníků, příjmů a produktivity a minimalizovala prostoje v případě kybernetického útoku.

Hybridní práce je výzvou pro firmy všech velikostí, ale důvody se obvykle liší. Malá firma obvykle nedisponuje takovými finančními prostředky jako její větší protějšky a má také méně zaměstnanců a zařízení, která je třeba monitorovat a spravovat.

Klíčem k úspěchu je osvěta. Proškolení zaměstnanců o alespoň minimální úrovni zabezpečení a používání osvědčených postupů umožní pracovníkům rychle upozorňovat na podezřelou aktivitu a minimalizovat hrozby, kterým lze předejít. Kvíz o základech kybernetického zabezpečení od Avastu je skvělým způsobem, jak zjistit úroveň znalostí vašeho týmu v oblasti zabezpečení a určit, které aspekty vyžadují další školení.

Ochrana firmy pomocí pokročilého antiviru

Chraňte svou firmu před hrozbami využívajícími tyto vstupní body a dalšími komplexními kybernetickými útoky pomocí řešení kybernetického zabezpečení Avast Business pro malou firmu nebo domácí kancelář.