Kybernetická bezpečnosť: Minimalizujte riziká aj pri práci z domu

13. 5. 2020

6 min.

Kybernetická bezpečnosť: Minimalizujte riziká aj pri práci z domu
autor
Ivo Cabral

Periodista freelance

Predstavte si, že by sa nejakému hackerovi podarilo dostať do výplatného systému firmy. V okamihu by sa mu otvoril prístup k osobným údajom všetkých zamestnancov, informáciám o ich kúpnej sile, o ich rodine… V hre je totižto omnoho viac, ako by sa nám na prvý pohľad mohlo zdať, keďže v pracovných počítačoch a mobiloch je uložené množstvo citlivých údajov. Rýchle rozšírenie koronavírusu prinútilo zo dňa na deň státisíce ľudí pracovať na diaľku či študovať online. Je to experiment obrovského rozmeru. Mnohí zisťujú, že im práca z domu vyhovuje, a bez väčších problémov dokážu skĺbiť súkromný a pracovný život, no treba pamätať aj na to, že home office môže predstavovať bezpečnostné riziko.

„Hackerský útok môže odkryť a vydať napospas dôležité aktíva firmy, ako napríklad údaje o spoločnosti, informácie o produkte, ktorý je ešte len vo fáze vývoja, či osobné údaje zamestnancov,” varuje Marc Rivero López, expert na kybernetickú bezpečnosť.

Páchatelia, ktorí sa venujú počítačovej kriminalite, sa veľmi dobre orientujú v aktuálnom dianí a používajú sofistikované taktiky. Jednou z najčastejších je posielanie podvodných emailov, pomocou ktorých sa snažia od používateľov vymámiť citlivé dáta. Niektorí hackeri používajú zámienky, ktoré majú spojitosť s aktuálnymi témami, akou je napríklad teraz koronavírus. „Tak ako ste kedysi dostávali emaily o vašom náhlom dedičstve zo zahraničia, dnes by bola správa prispôsobená dianiu okolo COVID-19,” dopĺňa Rivero López.

Zodpovednosti zamestnancov a zamestnávateľa v boji proti kybernetickým útokom.

Kybernetické hrozby nemusia byť naším strašiakom, ale mali by slúžiť ako pripomienka toho, že musíme byť ostražití a ubezpečiť sa, že veci robíme správne. V tejto súvislosti majú spoločnosti a ich zamestnanci rôzne povinnosti.

  • Firma: musí disponovať pohotovostným plánom, v ktorom by mala byť do detailu rozpísaná politika používania firemných elektronických zariadení a rovnako aj povinnosti ich užívateľov (zamestnancov). Zamestnávateľ by mal tiež poskytnúť návod, ako sa správať a čo robiť v kritických situáciách, ktoré by mohli nastať.

  • Zamestnanec: ak máte akékoľvek podozrenie, že by mohla byť ohrozená bezpečnosť, neváhajte a ihneď o tom informujte svojho nadriadeného. „Pracovník musí bezodkladne informovať osobu zodpovednú za ochranu alebo bezpečnosť údajov v prípade, že má akékoľvek pochybnosti,” odporúča Jorge Carranza, právnik so špecializáciou na ochranu dát a zabezpečovanie informácií, ktorý pracuje pre firmu Legal Army. Firma tak bude môcť zareagovať čo najskôr.

Tipy, ako udržať bezpečnosť

Bezpečnosť v kybernetickom priestore môže znieť ako niečo komplikované, no v skutočnosti je táto tematika omnoho jednoduchšia, ako sa zdá. Mnoho bezpečnostných problémov, ktoré musia firmy riešiť, je zapríčinených nedbanlivosťou. Dajú sa ľahko eliminovať, ak aplikujeme už dostupné riešenia. Carranza a Rivero López odporúčajú zaviesť nasledujúce preventívne opatrenia:

  • Zistite, či má firma, pre ktorú pracujete, k dispozícii dokument o politike používania elektronických zariadení. Malo by v ňom byť detailne rozpísané, ako sa majú správne používať súbory, aký je protokol o používaní výpočtovej techniky a mobilov a aké sú pravidlá inštalovania programov či zálohovania.
  • Snažte sa nepoužívať programy či nástroje, ktoré nie sú podporované vašou spoločnosťou. Pracujte výlučne s programami, ktoré vám firma poskytuje. Napríklad si zálohujte a ukladajte všetku dokumentáciu na firemný cloud. Ak sú vaše dokumenty pod bezpečnostnou zámkou spoločnosti, informácie, s ktorými narábate, tak budú oveľa viac chránené.
  • Aktualizujte si operačný systém. To isté platí aj o všetkých nástrojoch, programoch, prehliadačoch, ba dokonca aj o rozšíreniach, ktoré používate. Ak je to možné, aktivujte si automatické aktualizácie.
  • Nepoužívajte rovnaké heslo na rozličné platformy. Sme si vedomí, že pri takom množstve stránok a služieb, ktoré od nás vyžadujú heslo, je to jednoduchšie povedať, ako vykonať. Nie je v silách bežného smrteľníka si všetky tie heslá pamätať. Trik je v tom, že použijete správcu hesiel. Služby LastPass alebo Dashlane sú dobrou voľbou. Tieto služby vám uskladnia všetky vaše heslá a budete si v nich môcť aj vytvárať nové komplikované a nepriepustné kľúče, ktoré služba vloží automaticky tam, kde to bude potrebné. Nikdy však nezabudnite hlavné heslo, aby ste sa k vášmu profilu vôbec dostali.
  • V prípade, že chcete heslo preposlať svojim kolegom, použite trezor. Digitálny trezor či správca hesiel vám prídu vhod v momente, keď chcete kolegom preposlať vstupné kľúče. Určite ich nezaznamenávajte len tak do hárkov či iných online dokumentov. Práve digitálne trezory sú najbezpečnejšia cesta.
  • Overte si, či heslo k vášmu e-mailu nebolo hacknuté. V posledných rokoch došlo k mnohým narušeniam bezpečnosti v malých aj veľkých spoločnostiach a vaše heslo a rovnako aj váš účet mohli byť napadnuté. Tento fakt si môžete ľahko overiť cez služby ako Have I been pwned alebo Firefox Monitor. Môžete sa tiež zaregistrovať a služba vás okamžite informuje v prípade, že by váš email bol napadnutý či inak ohrozený.
  • Nezadávajte osobné informácie na žiadnej webstránke, pokiaľ si nie ste úplne istí, či je služba naozaj tou, za ktorú sa vydáva. Dostanete falošný e-mail alebo inú formu správy (SMS, telefonát), ktorá má byť odoslaná z vašej banky alebo inej spoločnosti, o ktorej viete, že často vyžaduje platbu alebo zadanie informácií prostredníctvom odkazu. Tento odkaz vás zvyčajne zavedie na webovú stránku. Tá sa môže zdať úplne v poriadku, ale pokiaľ si nie ste úplne istí, že je stránka pravá, svoje údaje nezadávajte. Ak ste nečakali žiadnu správu, opatrnosť je na mieste. Kontaktujte priamo spoločnosť alebo osobu, ktorá od vás tieto podrobnosti požaduje. Uistite sa, že ste neboli hacknutí a že nejde o podvod. Hackeri vytvárajú kópie webových stránok, ktoré sú také podobné originálom, že dokážu oklamať aj tých najpokročilejších používateľov. Táto metóda sa nazýva phishing.
  • Dbajte na detaily. Neuchovávajte informácie nedbalým spôsobom. Ak je to možné, nepoužívajte harddisk svojho počítača na ukladanie firemných dát a na konci dňa vždy vymažte dočasné súbory. Keď skončíte prácu, nezabudnite sa odhlásiť z internetového prehliadača a aj z vášho počítača. Tak zamedzíte tomu, aby sa ktokoľvek iný bez vášho vedomia dostal k firemným údajom.

Pracujete z domu? Osvojte si pár rád navyše

V prípade, že pracujete na diaľku, či už na plný, alebo čiastočný úväzok, je vhodné podniknúť ešte ďalšie kroky na ochranu informácií, s ktorými pracujete:

  • Zmeňte si heslo na Wi-Fi. Ak stále používate prednastavené heslo, vedzte, že tým výrazne uľahčujete prácu hackerom. Vytvorte si vlastné silné heslo, ktoré bude obsahovať viac ako 12 znakov, veľké aj malé písmená, aspoň jeden špeciálny znak a nebude obsahovať vaše osobné údaje.

  • Skryte alebo zmeňte názov vašej bezdrôtovej siete. Je vhodnejšie použiť názov bez priamej spojitosti na vašu osobu. Pomenovaním siete „Jankova wifina” uľahčíte život niekomu, kto by sa tam rád nabúral, keďže bude na prvý pohľad zjavné, ktorá je tá vaša.

  • Nepoužívajte verejne prístupné siete. V dnešnej dobe sa aj doma môžete pripojiť na verejnú sieť, ktorú prevádzkuje vaša mestská časť alebo iná organizácia, no radšej sa im vyhnite.

  • Ak to vaša firma umožňuje, použite pripojenie VPN. Mnoho spoločností má v počítačoch svojich zamestnancov nainštalovaný súkromný a šifrovaný prístup do fyzickej miestnej siete v kancelárii. Ide o virtuálnu súkromnú sieť (Virtual Private Network, VPN). Jej použitím sa môžete pripojiť k internetu a intranetu spoločnosti aj v prípade, že pracujete z domu, akoby ste boli v kancelárii. To výrazne minimalizuje riziká spojené s používaním vašej vlastnej siete Wi-Fi.

Posledná rada pre trochu pokročilejších užívateľov – pomocou adresy MAC (Media Access Control) môžete mať prehľad o tom, aké zariadenia momentálne používajú vašu sieť. V prípade potreby umožňuje aj skryť prístupový bod do vašej siete. Ak nepodniknete žiaden z vyššie spomínaných krokov a necháte router a Wi-Fi v pôvodnom nastavení, podľa počítačového experta hackerom postačí 15 minút, aby zabezpečenie prelomili.

Aj tak ma hackli. Čo s tým?

Neexistuje dokonalé zabezpečenie. Jediné, čo môžeme urobiť, je vynaložiť maximum a skomplikovať tým prácu kybernetickým kriminálnikom, no isté riziko stále zostáva. Najčastejšie čelíme týmto hrozbám:

  • Phishing: podvodné správy, ktoré sa z vás snažia vytiahnuť vaše osobné dáta.
  • Ransomware: typ malvéru, ktorý uzamkne, prípadne zašifruje obsah vášho zariadenia. Jeho cieľom je vymáhať od vás peniaze s prísľubom obnovenia prístupu k vášmu obsahu po zaplatení požadovanej sumy.
  • Adware: programy, ktorých úlohou je zobrazovať reklamu. Adware v internetovom prehliadači sám otvorí nové pop-up okno s reklamou.
  • Spyware: typ malvéru, pomocou ktorého útočník bez dovolenia sleduje činnosť používateľa.
  • Remote access: hacker môže ovládať váš počítač na diaľku.
  • Červy: počítačový červ je škodlivý malvér, ktorý sa multiplikuje v intranete, čím dokáže infikovať ďalšie firemné počítače.
  • Trójske kone: predstavujú jedno s najväčších bezpečnostných rizík. Počítačové trójske kone sú infiltrácie, ktoré sa snažia zamaskovať za užitočné programy, a zabezpečiť tým svoje spustenie. Keď sú spustené a nainštalované, môžu odcudziť vaše informácie.

Ak si myslíte, že ste sa mohli stať obeťou niektorého z vyššie zmienených útokov, bezodkladne o tom informujte svoju spoločnosť. Firma má povinnosť situáciu zanalyzovať a pokúsiť sa zistiť príčinu problému.

Dôsledky pre zamestnanca

Dôsledky budú závisieť od závažnosti narušenia bezpečnosti a od informácií, ktoré spoločnosť poskytla svojim zamestnancom o protokoloch na používanie zariadení. Na základe týchto dvoch faktorov by mohol kybernetický útok na zamestnanca dokonca viesť k jeho prepusteniu, a to v prípade, že by sa tak stalo následkom hrubej nedbanlivosti z jeho strany. „Určite sa nebudú posudzovať rovnako prípady, keď zanecháte otvorený firemný notebook v kaviarni zabezpečený heslom 1234, ako keby ste sa stali obeťou hackera, ktorý získal prístup k vašej sieti Wi-Fi napriek prijatým preventívnym opatreniam,” zdôrazňuje Jorge Carranza.

Spoločnosť má zároveň právo z času na čas skontrolovať vaše zariadenie, aby sa ubezpečila, že implementujete odporúčania týkajúce sa kybernetickej bezpečnosti s cieľom zabrániť neoprávnenému použitiu počítača. Firma sa rovnako zaväzuje vopred vás informovať o detailoch previerky. V žiadnom prípade by nemalo byť narušené vaše súkromie.

Z tohto dôvodu je dôležité, aby mali spoločnosti vypracované podrobné pravidlá týkajúce sa kybernetickej bezpečnosti. „Tieto pravidlá by mali dokumentovať práva a povinnosti spoločnosti a zamestnancov a podrobne uvádzať, v ktorých prípadoch môže spoločnosť vykonať audit používateľov,“ uvádza Carranza. Ak sú pravidlá jasné a postupujete podľa týchto základných bezpečnostných tipov, práca z domu môže byť prakticky rovnako bezpečná ako práca z kancelárie.

Preklad: Veronika Michalková

Foto: Welcome to the Jungle

Sledujte Welcome to the Jungle na Facebooku, prihláste sa na odber noviniek a nechajte si posielať naše články každý týždeň.

Preberané témy