MENU Zavrieť

Diera v hradbách vašej dátovej citadely: vplyv ľudského faktora a ako pred ním chrániť svoje dáta?

  • Mgr. Jan Kozák
  • 17.10.2023
  • 7 minút čítania

Antivírusy, firewally, viacfaktorové overovanie, zabezpečené pripojenia, zložité heslá. To a oveľa viac využívajú firmy v snahe ochrániť dáta a systémy. Kým ale budú za klávesnicami sedieť ľudia, tej najväčšej slabiny v oblasti kyberbezpečnosti sa len tak nezbavíte. Núka sa teda otázka – čo s tým?

Celých 92 % firiem v eurozóne zaviedlo aspoň jedno opatrenie na ochranu svojich ICT systémov. Taký je záver prieskumu Eurostatu pre rok 2022, ktorý skúmal najčastejšie používané metódy kybernetického zabezpečenia.  

Niektoré firmy sa spoliehajú na silné heslá, iné dbajú na zálohovanie dát na oddelených miestach a niektoré spoločnosti reštriktívne obmedzujú prístup do svojej internej siete. Aj keď však pre svoju firmu použijete to najvyspelejšie opatrenie, nikdy sa nezbavíte jednej z najväčších bezpečnostných medzier – ľudského faktora.  

Poďme teraz túto pointu rozvinúť a ukázať si pár príkladov toho, čo všetko ľudský faktor dokáže ohroziť

Križiaci, Turci a Hillary Clinton 

3 príklady z minulosti, ktoré majú jedno spoločné. 

Píše sa rok 1098. Vojská križiakov už takmer rok obliehajú Antiochiu (dnešná turecká Antakya). Obliehané seldžucké sily sa v decembri 1097 márne pokúsili o protiútok a vo dvojici krvavých bitiev boli porazené aj pokusy o prelomenie obleženia zvonku. Úspech ale nemajú ani križiaci – pevné hradby Antiochie odolali všetkým útokom a z Mosulu sa blíži veľká turecká armáda. Víťazstvo im tak nakoniec prináša jediný muž – strážca jednej z veží menom Firouz, ktorý z dodnes neznámych motívov umožnil križiakom v noci prekonať hradby a otvoriť malú postrannú bránku. Križiacke sily následne vtrhli do mesta a otvorili tak cestu k definitívnemu pádu mesta. To, čo nedokázali zbrane ani hlad, zvládol jediný človek vo vnútri mesta. 

Presuňme sa teraz do roku 1453. Masívna armáda Osmanskej ríše stojí pred bránami Konštantínopola. Celý jeden mesiac sa Osmania márne snažia prebiť sa do samotného mesta, všetky frontálne útoky sa ale rozbíjajú o slávne konštantínopolské hradby (ktoré možno dodnes navštíviť v istanbulskej štvrti Fatih). Nakoniec ale rozhoduje osmanská prevaha a využitie raného delostrelectva, pomocou ktorého útočníci hradby prelamujú. Definitívne sa potom obrana zrútila po tom, čo osmanskí janičiari prenikli cez nebránenú bránku Kerkoporta a vztýčili tu svoje vlajky. Dodnes nie je zrejmé, prečo táto slabina zostala nestrážená. Bola dôvodom jednoduchá zábudlivosť niektorého zo strážnych alebo mesto padlo vinou zrady? S istotou sa to už asi nikdy nedozvieme.  

A teraz skočme do roka 2016, keď v Spojených štátoch vrcholila prezidentská kampaň. Z e-mailu Johna Podestu, volebného poradcu Hillary Clinton, uniklo veľké množstvo e-mailových správ a súborov obsahujúcich citlivé informácie o zákulisí celej kampane aj americkej politiky. Mnoho z týchto e-mailov si neskôr našlo cestu na známy server WikiLeaks. Spôsob, akým sa útočníci k dátam dostali, bol pritom podľa všetkého nanajvýš triviálny – za všetko mohol phishingový e-mail, ktorý vyzeral, akoby šlo o oznámenie od spoločnosti Google a obsahoval podozrivý odkaz. Stačilo jediné chybné kliknutie a obrovská kontroverzia bola na svete. 

Čo majú uvedené prípady spoločné? Áno, hádate správne – ľudský faktor spomínaný v úvode článku. Vo všetkých troch príbehoch dokázalo pochybenie či zlý úmysel jedného človeka zničiť celé mestá či vypustiť do sveta tajné informácie. A ak dokáže jeden človek spôsobiť pád pevnosti, aké následky by mohla ľudská chyba mať pre vaše firemné dáta? Nemusí pritom vôbec ísť o zlý úmysel; ťažko môžeme Jeremyho Podestu podozrievať zo zlomyseľnej snahy potopiť Hillary Clinton. Rovnako tak dokáže vašej firme poriadne zavariť aj zamestnanec, ktorý v slabej chvíľke klikne na phishingový odkaz. A čo je najhoršie – pri takom útoku zvnútra sa nedá spoliehať len na vyspelé bezpečnostné technológie.   

Čo s tým urobíme? 

Je potrebné priznať si jednu dôležitú vec: kým vo vašich kanceláriách nebudú sedieť roboti, riziku ľudského pochybenia sa jednoducho nevyhnete. Môžete ale podniknúť kroky, ktoré toto riziko výrazne znížia. 

Tip 1: Učiť sa, učiť sa, učiť sa! 

Aby ste mohli vy aj vaši zamestnanci hrozbám čeliť, je najprv nutné dobre ich poznať. Nepodceňujte preto hodnotu pravidelných kurzov o kyberbezpečnosti a dbajte na to, aby boli zamestnanci pravidelne informovaní o aktuálnych hrozbách a vedeli ich rozpoznávať. Zamerajte sa tiež na budovanie základných bezpečnostných návykov, ako napríklad zamykanie počítačov pri odchode z pracoviska, používanie VPN a vyhýbanie sa nezabezpečeným externým médiám. Neverili by ste, koľko ľudí aj v roku 2023 necháva svoje heslo napísané na papieriku vedľa monitora.  

Tip 2: Viacfaktorové overovanie 

Aj to najzložitejšie heslo môže byť s dostatkom času a prostriedkov prelomené. Ak ho ale doplníte ďalšími prihlasovacími prostriedkami, stane sa z neho solídna obranná bariéra. Najčastejšie používanou metódou sú dnes SMS správy v mobiloch alebo overovacie mobilné aplikácie (napr. Microsoft Authenticator). Áno, mnohým sa môže nutnosť pri každom prihlásení bežať po mobil zdať otravná, ale v porovnaní s rizikami ide len o malý detail.  

Tip 3: Nezabúdajte na detekciu a prevenciu útokov 

Bez ohľadu na to, ako veľmi sa budete snažiť, skôr či neskôr k nejakému narušeniu bezpečnosti predsa len príde. V takom prípade sa nezaobídete bez tzv. governance, teda vnútrofiremných procesov naviazaných na kyberbezpečnosť. Tie opisujú konkrétne kroky, ako hrozby vyhodnotiť, vyriešiť a do budúcna zaistiť ich prevenciu.  

Tip 4: Prioritizácia a obmedzenie prístupu 

Veľmi užitočným krokom na zaistenie bezpečnosti vašich dát je tzv. Principle of least privileges. Pri ňom zamestnancom udelíte len také prístupové práva, ktoré nutne potrebujú na výkon svojej práce. Okrem vyššej bezpečnosti tým spravidla dosiahnete aj lepší výkon celého systému a uľahčíte svojim ľuďom prístup k údajom, ktoré sú pre nich dôležité. 

Tip 5: Zaistenie koncových zariadení 

Uistite sa, že všetky koncové zariadenia majú nainštalovaný zodpovedajúci ochranný softvér a ich prístup do firemnej siete je patrične zabezpečený. Zároveň sa vyplatí dozrieť na to, aby zamestnanci svoje pracovné počítače používali skutočne len na prácu a nepoužívali ich na sťahovanie filmov, hier či iných nepracovných súborov. Niektoré firmy tento problém riešia úplným obmedzením inštalačných práv, iné sa spoliehajú na poctivosť svojich ľudí a pravidelné vzdelávanie.  

Bráňte svoj dátový hrad 

Vyššie uvedené tipy zďaleka nie sú všetkým, čo možno urobiť pre zníženie vplyvu ľudského faktora na kyberbezpečnosť. Minimálne vás ale nasmerujú správnym smerom a v ideálnom prípade vás prinútia zamyslieť sa nad bezpečnosťou firemných dát. Ak by ste si v tejto oblasti radi nechali poradiť od skutočných expertov, navštívte naše webové stránky a sami si povedzte, v akej oblasti IT infraštruktúry potrebujete pomôcť. Ponúkneme vám tím expertov a vlastné know-how, ktoré sme si vytvorili na základe dekád skúseností s projektmi pre firmy všetkých odborov a veľkostí. Dosť bolo slov – presvedčte sa sami! 

Čo mi môže Seyfor ponúknuť?

Prihláste sa na odber nášho newslettera

Podobné články