Bezpečnost firemní sítě

Přestože je Česká republika sedmou nejbezpečnější zemí z pohledu rizika kyberútoků (dle statistik Kaspersky Lab pro rok 2016), tak alespoň jednou ročně se s útokem setká 16% obyvatel.

Řešíme s klienty zabezpečení dat ruku v ruce s topologií firemních sítí a obecně prevencí před možnými druhy „blackouts“, které mohou v provozu nastat.

Dovolím si menší shrnutí, které by za nás mělo být jakýmsi „minimem“ firemní sítě s ohledem na prevenci, i ochranu firemních a osobních dat.

1. Mějte vždy aktuální operační systém

Systém je spolu s důvěřivým (nezkušeným) uživatelem nejzranitelnějším místem ve firemní síti. Na systém je vedeno velké množství útoků, které uživatel může i nemůže ovlivnit svým chováním. Některé vyžadují spuštění souboru uživatelem a snaží se tak působit co nejdůvěryhodněji, jiné cílí na chyby operačního systému a uživatel o nich prakticky neví. Jednou z posledních velkých hrozeb je ransomware WannaCry, který zašifruje disky počítače a požaduje „výpalné“ ve výši 300 dolarů za odemčení dat. WannaCry se nejlépe šířil právě v sítích s neaktuálním operačním systémem jako např. Windows XP.

Mějte ideálně nejnovější operační systém. Pokud používáte Windows, aktualizujte na Windows 10 (update z Windows 7 je zdarma).

Operační systém pravidelně aktualizujte. Pro správné fungování aktualizací je nutné mít dostatek místa na disku! Pro správnou funkci automatických aktualizací systému je třeba pravidelně vypínat počítač. Nespoléhejte pouze na automatické aktualizace, ale nabídku aktualizací občas zkontrolujte i ručně.

2. Používejte antivirový program, resp. nějaký nástroj pro komplexní „Internet Security“.

Chraňte se nejen antivirem, ale ideálně komplexním řešením „Internet security“ (např. od AVG, Avast či Bitdefender). Do jisté míry tím omezíte možný útok přes již zmíněného důvěřivého uživatele. Nástroj internet security jej mj. upozorní na podvodné stránky, např. podstrčené internetové bankovnictví, které není produktem banky, ale podstrčené útočníkem.

3. Omezte práv uživatele

Ideálně mějte jednoho administrátora na každém PC a poté omezené uživatelské účty pro každého ze zaměstnanců.

Administrátorský účet mějte pod kontrolou a heslo k němu mějte unikátní a silné (viz bod 5). Pokud máte ve firmě např. 5 počítačů, mějte vždy 5 různých admin uživatelů a 5 různých hesel.
Vždy a všude se vyvarujte uživatelského jména „admin“. Jde o výchozí uživatelské jméno velké spousty služeb a výrazně tím snížíte šanci na prolomení hesla.

4. Vzdělávejte své zaměstnance

Abyste snížili riziko lidského faktoru, vzdělávejte své zaměstnance v internetové gramotnosti, bezpečnosti a prevenci možných rizik.

5. Používejte silná hesla

Silným heslem je takové, které má alespoň 15 znaků kombinující malá a velká písmena, číslice, speciální znaky. Můžete využít nejrůznějších nástrojů.
Zaměstnance pro takové heslo budete přemlouvat velmi těžko s ohledem na zapamatovatelnost a denní používání, trvejte však na kombinaci malých a velkých písmen a délce alespoň 10ti znaků. Silným heslem však nemusí být vždy nesmysl. Např. věta „Narodil jsem se 1.1.“ je velmi silné heslo a obsahuje všechny výše uvedené požadavky na heslo.

6. Pravidelně měňte hesla

Hesla pravidelně měňte. Čím častěji, tím lépe. Minimálně však jednou ročně.

7. Nepoužívejte jedno heslo do všech systémů a služeb!

Jedno heslo pro všechny služby je stejná chyba jako univerzální klíč v domácnosti. Pokud jej ztratíte, riskujete velké škody. Nemusí jít o vaší chybu, ale heslo může být odcizeno z některé ze služeb, kam jste jej zadali.

8. Nastavte si bezpečně firemní síť

Pokud již máte aktuální systém, omezená práva uživatelů, silná hesla, je na čase dobře nastavit firemní síť. Doporučujeme topologii na základě 3 sítí.

První sítí je firemní síť bez wifi. Je tvořena klasickým routerem s jedním či více WAN porty. Doporučujeme mít alespoň 2 WAN porty a 2 nezávislé poskytovatele internetu – např. rychlý hlavní internet a nejlevnější ADSL jako spolehlivé, ale záložní řešení. Do této sítě jsou zapojeny firemní počítače síťovým kabelem.

Druhou síť tvoří Wi-Fi router a je určena pouze pro zaměstnance. Předpokladem je WPA2 zabezpečení se silným heslem a ideálně skrytým SSID (aby nebyla vůbec vidět). Do této sítě se mohou přihlašovat zaměstnanci svými mobily, notebooky, atp.

Třetí síť tvoří též Wi-Fi router a je určena pro „hosty“. Ať již zákazníky, obchodní partnery, kohokoliv. Do této sítě by se neměl přihlašovat s ohledem na bezpečnost nikdo, kdo má možnost se přihlásit do 2. sítě. Síť pro hosty by měla být jasně pojmenovaná, např. „Restaurace ABC – guest“ a měla by být vždy zaheslovaná alespoň průměrně silným heslem.

U všech zařízení v síti (routery, kamery, atp.) platí vše již zmíněné – nepoužívat výchozí loginy, nepoužívat uživatele „admin“ (pokud lze změnit), používat silné heslo pro přihlášení do administrace zařízení, používat silné heslo do Wi-Fi sítí. Všechna hesla pravidelně měnit.

9. Hesla si ukládejte pouze na zabezpečená místa

Pamatování si silných hesel není v silách nikoho z nás. Pro ukládání hesel můžete využít tužku a papír nebo vhodný program. Vhodným a velmi bezpečným programem zdarma je KeePassX. Prakticky doporučujeme používat pouze KeePassX nebo 1Password, nic jiného.

10. Předvídejte a buďte racionální

Jedním z hlavních triků mallware je vyvolat v uživateli pokušení. Pokušení výhrou, neodolatelnou nabídkou, atp. Snažte se být ale racionální. Má cenu otevírat nabídku na něco, co vás v danou chvíli vůbec nezajímá? Např. nabídka na investiční fondy. Až budete chtít investovat, uděláte si přeci vlastní rešerši. Posílá vám někdo skutečně výhru? Jak můžete vyhrát, když jste u odesílatele nikdy nesoutěžili?

 

Na závěr doporučuji shlédnout záznam diskusí na téma „Týdne datové bezpečnosti„.

Autorem článku je Tomáš Libich

Tomáš u nás žongluje s mnoha míčky najednou. Domlouvá zakázky, vymýšlí strukturu a koncepty webů. Zajímá se o použitelnost a bezpečnost nejen webových aplikací. V ideálním světě by chodil do práce jen přemýšlet o tom, jakým směrem posouvat naše projekty i jednotlivé lidi ve firmě.

Komentáře

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *