Security team ITAPS radí: Majte váš biznis nápad a dáta v bezpečí!
Tento článok bude venovaný kybernetickej bezpečnosti pre začínajúce startupy alebo začínajúce firmy. Povieme si viac o tom, prečo túto oblasť nepodceňovať, prečo investovať aj do bezpečnosti a nie len do developerov a marketingu, aké nástrahy číhajú v kybernetickom priestore a čomu sa predovšetkým vyvarovať. Na záver si uvedieme pár tipov a trikov ako eliminovať hrozby, ktoré striehnu na každom "kliku".
Ste startupista alebo začínajúci podnikateľ? Máte skvelý nápad na službu alebo produkt? Rozhodnete sa investovať čas, energiu, peniaze do vývoja, marketovania, predaja vášho produktu, ale zrazu prídete na to, že vaše "know-how", resp. "tajný recept" vám niekto odcudzil?
Ako sa to len mohlo stať? S nikým som sa o tom nerozprával, mal som to uložené na svojom počítači, v žiadnom cloude… Kde mohla nastať tá osudová chyba? V každej jednej otázke, ktorú si v danej situácii človek položí, mohla chyba nastať.
Vysvetlime si to postupne.
- To, že som to nikomu nepovedal, neznamená, že je to v bezpečí.
- To, že som si to uložil len na počítači, neznamená, že je to v bezpečí. Ako mám chránený počítač? Pravdepodobne je pripojený na internet a tam číhajú hrozby. Neklikal som na nejaký "podozrivý" email, resp. nebol som na stránke, ktorá bola nedôveryhodná?
- To, že to nemám v cloude, nemusí znamenať, že je to v bezpečí. V mnohých medzinárodne prevádzkovaných cloudoch máte bezpečnosť na úrovni FBI, CIA, NSA, Bank of America, VW, atď. Veľkí cloudoví hráči myslia na bezpečnosť viac než ktokoľvek. Malé spoločnosti využívajú benefity, tzv. servitizácie produktov, kedy sa veľké riešenia stávajú dostupnými aj pre malé a začínajúce firmy.
- To, že som si to uložil na lokálny server/NAS-ko, neznamená, že je to v bezpečí. Totiž aj to je pripojené na internet. Chcem to mať dostupné odkiaľkoľvek, ale zabúdam na ochranu siete a daného zariadenia.
(Zdroj: pixabay)
Dnes samotná IT bezpečnosť neznamená mať len nainštalovaný antivírus v počítači. Je to set viacerých vecí, ktoré treba mať na mysli, ak chcem mať svoje dáta, identitu, zariadenia, sieť, infraštruktúru a aplikácie v bezpečí.
Najlepšie sa to vysvetľuje na Zero Trust koncepte.
- Explicitné overenie.
- Používanie prístupu s najmenšími oprávneniami.
- Predpokladané porušenie.
V preklade, po slovensky povedané, "Dôveruj, ale preveruj!" Tento koncept je postavený na tom, že sa nepretržite snažím overiť používateľa, či sa naozaj prihlasuje so svojou identitou. Overíme si to na základe všetkých údajových bodov, ktoré zahŕňajú identitu používateľa, miesto, stav zariadenia, služby alebo vyťaženia, klasifikáciu údajov a v neposlednom rade anomálie.
Obmedzenie prístupu používateľov sa dá riadiť aj pomocou adaptívnych politík založených na rizikovosti, ktoré sa riadia protokolmi o čase a prístupe (JIT/JEA) a ochrany osobných údajov. V prípade predpokladaného porušenia sa snažíme o minimalizáciu rozsahu škôd a prístupu k segmentom. Overovanie prebieha cez komplexné šifrovanie a využívanie analytických funkcií na zviditeľňovanie, zisťovanie hrozieb a zvýšenie obranyschopnosti pred hrozbami.
(Zdroj: pixabay)
Čo všetko treba chrániť vo firme? Odpoveď je jednoduchá - VŠETKO!
Ochrana používateľa a identita
Používateľov treba nielen chrániť, ale aj vzdelávať. Ochrana nestačí, pretože bezpečnosť je taká silná, aký silný je jej najslabší článok. Uvedieme si príklady, aby ste tomu správne porozumeli. Ak nenastavíte dostatočnú politiku hesiel - komplexnosť hesla, dĺžku, zakázané heslá, atď., ľahko sa môže stať, že si užívateľ nastaví heslo "nbu123", ktoré je jednoduché a možno ho ľahko uhádnuť.
Druhý príklad je zameraný na vzdelávanie zamestnancov. Môžete mať skvelú technológiu na kontrolu škodlivých odkazov, no ak používateľov nenaučíte, že predtým ako na niečo kliknú, si musia skontrolovať, či prijatý e-mail dáva zmysel, či tam nie sú chyby a či je adresát pre nich dôveryhodný, tak vám je čiastočne aj takáto technológia takmer nanič.
Ochrana zariadenia
Cez notebook, telefón, tablet, smart hodinky a iné zariadenia sa dnes vedia útočníci dostať k citlivým údajom. Pokiaľ nie sú zariadenia dostatočne chránené, útočník to nemá ťažké. V prvom rade treba mať na zariadení:
- vhodný antivírus,
- nainštalované posledné aktualizácie,
- zaheslované zariadenie,
- prípadné kryptovanie disku,
- nastavené MFA (multifaktorové overenie), atď.
Toto sú možnosti, ktoré útočníkom prístup skomplikujú.
Spomínané technológie nie sú drahé, mnohokrát sú vstavané, ale používatelia o nich nevedia. To je aj dôvodom, prečo v mnohých prípadoch útočníci nemajú na muške veľké spoločnosti. Je tam totiž predpoklad, že toto všetko veľké spoločností majú nastavené a využívané. Útoky sú v mnohých prípadoch vykonávané na malé a stredné firmy, ktoré podceňujú nielen bezpečnosť zariadení, ale aj samotnú bezpečnosť.
Ochrana dát
Pod ochranou dát si môžete predstaviť:
- dokumenty,
- emaily,
- štruktúrované dáta,
- audio-vizuálne dáta, a pod.
V tomto prípade je určite vhodné mať dáta zálohované a kryptované a prístupy k nim zabezpečené. Mať nastavené, kto k dátam môže pristupovať a čo s nimi môže robiť.
(Zdroj: pixabay)
Aplikácie
V tomto prípade vieme veľmi dobre, že používatelia používajú na zariadeniach rôzne typy aplikácií. Je dobré, ak vytvoríte politiky, ktoré obmedzia používanie nedôveryhodných aplikácií a jednoducho ich zakážete používať. "Žiadna aplikácia, žiaden problém."
Infraštruktúra a sieť
Ak sa cez váš router priamo pripájate na lokálny server, NAS alebo do cloudovej infraštruktúry, stojí za zváženie, aký router, aké heslo a aké nastavenia portov máte nastavené. Je to jeden z prvých prístupových bodov, cez ktorý sa útočník vie dostať k vašim dátam, aplikáciám a používateľom, prípadne aj do zariadení. Nemožno podceňovať sieťové prvky vo vašej firme, na takýchto "drobnostiach" sa neoplatí šetriť.
Pár tipov a trikov ako na zvýšenie bezpečnosti vo vašej organizácii
Antivírus je "must-have"
Dnes je to položka, ktorá nestojí veľa a pomáha viac, než si myslíte. Moderné antivírusové programy využívajú prvky umelej inteligencie, odhaľujú možné riziká a sú ďaleko lepšie ako kedysi vďaka cloudu.
MFA (multifaktorová autentifikácia)
Či už máte súkromný alebo firemný e-mail, nastavte si MFA. Mnohokrát je už súčasťou danej e-mailovej služby a klik naviac nikomu neublíži. V dnešnej dobe sa dá meno a heslo veľmi ľahko uhádnuť, resp. odhaliť.
Zvýšte počet znakov v hesle a komplexnosť hesla
Áno, je to otravné ťukať do telefónu 10 a viac znakov, ale oplatí sa riskovať? Používajte špeciálne znaky, malé, veľké písmená a čísla. 10 znakov na heslo je minimum, momentálne sa odporúča používať aspoň 12 znakové heslá.
Nastavte si PIN
Overenie biometrickým prvkom (odtlačok prsta, tvár) na prístup do vášho zariadenia (telefón, tablet, notebook, PC). Ochráni to čiastočne vaše zariadenie pri strate alebo odcudzení. Dnes môžete pracovať odkiaľkoľvek a riziká práce rastú tým pádom tiež odkiaľkoľvek. Dajme si ruku na srdce, koľkokrát ste sa vrátili po telefón zabudnutý na stole v kaviarni? Takto budú vaše dáta aspoň trochu v bezpečí, ak sa niekto dostane k vášmu zariadeniu.
(Zdroj: pixabay)
Používatejte veľké dátové centrá
Veľké dátové centrá sú na vaše projekty lepšie ako lokálne servery alebo služby menších lokálnych hráčov v oblasti hostingu. Veľké cloudové centrá majú nastavenú bezpečnosť na inej úrovni, než si môžu dovoliť malí poskytovatelia. Zároveň môžete využiť ich veľkosť a silu pred prípadnými hrozbami, pretože investujú do ochrany viac, než si viete predstaviť. Bezpečnosť v cloude je vyššia a v neposlednom rade aj lacnejšia. Či už sa bavíme o jednoduchej mailovej službe alebo zdieľanom úložisku, je to lacnejšie aj na samotnú prevádzku. Zároveň minimalizujete riziko odcudzenia, straty dát, prípadne nedostupnosti služby.
Vzdelávajte seba a vašich kolegov alebo zamestnancov
Ak si myslíte, že technológie všetko vyriešia, ste na omyle. Technológie sú inteligentné, ale nezabúdajte, že ak neskúsený používateľ bude klikať na všetko možné a uverí aj hoaxu. Napríklad, keď vaša pani účtovníčka, v dobrej viere, klikne na priloženú "faktúru", ktorú treba uhradiť, pričom daná "faktúra" skrýva škodlivý kód, ktorý môže infikovať ďalšie zariadenia alebo spustí skript na odosielanie dát z klávesnice. Viete si predstaviť, čo tým všetkým vie útočník získať?
Aktualizujte zariadenia na najnovšie verzie hneď ako je to možné
Neodkladajte túto povinnosť o dni alebo mesiace. Hneď! Prečo? Lebo aktualizácie okrem nových "fičúr" prinášajú aj opravu chýb OS (operačných systémov) a aplikácií. Tým minimalizujete riziko, ktoré môžu zneužiť útočníci vo svoj prospech.
Systém na správu zariadení
Ak sa vaša firma skladá už aspoň z piatich členov, pouvažujte nad systémom na správu zariadení. Nie je to drahé a hlavne si ušetríte kopec času na prípadné hasenie problému, ktoré nastáva z uniknutých dát, prípadne možného zneužitia identity. Vďaka týmto nástrojom nastavíte jednoducho bezpečnostné politiky alebo prístupy a aplikácie, ktoré chcete, aby neboli používané vašimi kolegami.
Držíme vám palce pri vašom podnikaní! Ak potrebujete pomôcť s bezpečnosťou, obráťte sa na našich odborníkov. V ITAPSe sa tejto téme podrobne venujeme a preto vám s čímkoľvek radi poradíme. Ozvite sa nám na obchod@itaps.sk.
Autor: Security team ITAPS