Bezpečnost organizací #1: Základy

Datum: April 21, 2022 | 3 min. čtení | Autor: Filip Holec

Úvodem

Dlouhodobě pozorujeme, že počet útoků na organizace se každoročně zvyšuje a je velmi pravděpodobné, že v každé z nich (včetně té vaší) jsou místa, která nejsou z hlediska bezpečnosti IT pokryta. Cílem tohoto seriálu je poskytnout praktické kroky, které povedou ke zvýšení bezpečnosti s co nejmenšími náklady - časovými i finančními. Články jsou určeny především lidem ve firmách a organizacích s tím, že informace pomohou i jednotlivcům.

Z pohledu dat se celosvětové náklady na kybernetickou bezpečnost každoročně zvyšují o více než 10 % a s postupným přechodem podnikání do online světa a větší digitalizací firem se toto číslo bude zvyšovat. Podle webu Cyberventures by měli celosvětové škody za kyberkriminalitu narůst do roku 2025 na více než 10 bilionu dolarů (zdroj). Pro srovnání, v roce 2015 byly tyto škody „jenom“ 3 biliony dolarů.

Podle statistik společnosti CyberEdge Group se až 86 % dotazovaných organizací stalo terčem úspěšného kybernetického útoku. Níže je uveden graf vývoje úspěšnosti útoků na organizace v průběhu let (zdroj).

Graf s procentem kompromitovaných organizací

Procento kompromitovaných organizací alespoň jedným útokem v průběhu let

Data stranou, podívejme se nyní na to, jak byste se mohli dívat na IT bezpečnost ve vaší organizaci a co byste mohli udělat pro její základní pokrytí.

Úrovně bezpečnosti

Bezpečnost v rámci organizací je možné rozdělit na více úrovní (levelů). Od určitého kroku je nutné věnovat této oblasti alespoň nějakou pozornost, protože únik dat, případně útok může společnost položit, nebo alespoň způsobit reputační škodu. Několik organizací se o tom přesvědčilo - v průběhu týdnů až měsíců po útoku přešli do konkurzu a požádali o bankrot.

Vybudovat si reputaci trvá dvacet let, zničit ji může několik minut kybernetického incidentu.

Nyní se pojďme podívat na samotné úrovně.

Level #0: Organizace bez zabezpečení

Kybernetická bezpečnost je považována za "nutné zlo". Neexistuje žádná formální IT strategie ani přidělené odpovědnosti.

Na této úrovni je časté používání sdílených a slabých hesel, neřeší se zabezpečení serverů ani aplikací. To však dává smysl - není nutné investovat čas a peníze do bezpečnosti aplikace, infrastruktury a procesů, když není jasné, jestli má samotná aplikace potenciál přinést peníze zpátky do týmu.

Příkladem může být startup v prvních měsících svého života, menší lokální organizace a neziskovky.

Na této úrovni nebudeme řešit žádné zlepšení, jenom zmiňujeme výchozí stav organizace.

Bezpečnost organizací na úrovni 0

Bezpečnost organizací na úrovni 0

Level #1: Nutný základ zabezpečení

V tomto bodě mají lidé v organizaci minimální představu o tom, jak chtějí řešit bezpečnost IT. Základem je používat šifrované připojení HTTPS na všech stránkách otevřených světu, aby zákazníci mohli bezpečně procházet web a pracovat s citlivými údaji. Nechceme totiž, aby útočník mohl jednoduše odposlouchávat síť a získat tak např. přihlašovací jméno a heslo, informace, které zákazník zadává na webu, nebo číslo kreditní karty při platbě za produkt.

Pokud jde o bezpečnost z pohledu zaměstnanců společnosti, ti mají základní znalosti o tom, jak pracovat v různých systémech, znají zásady používání hesel a používají dostatečně silná hesla. V ideálním případě je vhodné používat vícefaktorové ověřování služeb. Při odchodu od počítače je v organizaci osvědčeným postupem zabezpečit (uzamknout) počítač heslem pomocí uzamčené obrazovky.

Na této úrovni jsou všechny důležité služby několikrát denně zálohovány na externí úložiště, takže v případě útoku ransomware, smazání databáze útočníkem nebo jiné nesprávné manipulace s daty je možné kritická data obnovit ze zálohy.

Pokud jde o vyvinutý kód, neobsahuje žádné pevně dané citlivé hodnoty - příkladem mohou být hesla nebo tokeny pro komunikaci s externími službami. Ty jsou uloženy v konfiguračních souborech v prostředí, kde je služba spuštěna.

V případě serverů se při přihlašování k infrastruktuře/serverům používá zabezpečení pomocí soukromého a veřejného klíče, není možné se připojovat pomocí hesel.

V ideálním případě se společnost zabývá také zpracováním informací v souladu s GDPR a dalšími předpisy, které se vztahují na oblast, kde společnost působí. Například pro EU se jedná o zpracování analytických údajů až po schválení tohoto typu sledování zákazníkem. Organizace také informuje zákazníky o tom, jaké údaje od nich shromažďuje a s jakými třetími stranami je sdílí.

Bezpečnost organizací na úrovni 1

Bezpečnost organizací na úrovni 1

Závěrem

To je pro tento díl vše. V případě, že s námi chcete zkonzultovat zabezpečení vaší organizace, dejte nám vědět na náš mail info@tunasec.com. Také se můžete podívat na stránku našeho projektu WebScan, kde prvním 10 zájemcům pomůžeme oskenovat jejich webové stránky a servery zdarma.

V případě, že nechcete přijít o nové články a pokračování seriálu o firemní bezpečnosti, sledujte nás na sociálních sítích (Linkedin, Twitter, Facebook). Pokud si myslíte, že tato série článků bude pro někoho přínosná, budeme vděční za sdílení 🙂

Na konci seriálu jsme pro vás připravili kontrolní seznam ve formátu PDF se všemi oblastmi, které byste měli mít ve své organizaci pokryté.

Přidej se do našeho mailing listu

Chceš se dozvědět víc ohledně IT bezpečnosti? Tak si na správném místě.


TunaSec z.s.
Moldavská 527/3, Bohunice, 625 00 Brno
Phone  +420 774 071 231
Envelope  info@tunasec.com