Ako chrániť firemné počítače

Drvivá väčšina počítačových vírusov sa na seba podobá ako vajce vajcu. O drvivej väčšine počítačových útokov platí to isté. Rovnako drvivú väčšinu chýb, ktoré v počítačovej bezpečnosti robíme, už urobil niekto tisíckrát pred nami. Aké sú to chyby a ako sa im možno vyhnúť? Základným problémom je podceňovanie. „My sme malí bezvýznamní hráči, nás sa to netýka,“ možno často počuť. Lenže to nie je pravda. Najbezpečnejšie by sa podľa toho mali cítiť domáci používatelia. Táto logika však nie je správna. Mnohokrát totiž nie sú cieľom útoku údaje, ale počítače samotné. Ak chce útočník vytvoriť napríklad sieť počítačov Zombie, teda počítačov, ktorým môže zadávať príkazy a ktoré môže na diaľku ovládať, je mu úplne jedno, či sa nachádzajú vo veľkej firme, malej firme alebo doma. Dokonca platí opak všeobecnej mienky. Takže práve slabo chránené „malé“ ciele sú pre neho ľahkou korisťou. Útokov je čoraz viac Nepodceňujme útočníkov, ktorí sa usilujú preniknúť do počítačov. Všade sa nájde niečo zaujímavé, čo sa dá zneužiť. Samozrejme, malý miestny poskytovateľ služieb alebo predajca nejakého tovaru nie je z hľadiska prestíže takým atraktívnym cieľom ako nejaká nadnárodná korporácia. Ale útoky z prestížnych dôvod rýchlo odumierajú, pretože dnešných hackerov zaujíma viac finančný prospech z ich útokov. A ten nájdu takmer všade. Príkladom môže byť priemyselná špionáž. Naozaj si myslíte, že sa vás niečo podobné nemôže týkať? V susednom Česku ročne odhalia asi 300 odpočúvacích zariadení, ktoré sú zneužívané na nekalé konkurenčné účely. Štatistiky tohto svojrázneho odpočúvania, na ktoré sa využívajú špeciálne počítačové programy, pritom z mnohých dôvodov nie sú vôbec k dispozícii, lebo jednoducho neexistujú. Možno sa však domnievať, že ich v skutočnosti bude rádovo aj dvakrát viac než sa uvádza. Už len z toho dôvodu, že – hoci to pre väčšinu a najmä pre laikov bude znieť neuveriteľne – takéto programy si možno nielen jednoducho, ale ešte aj zadarmo stiahnuť z internetu. Ďalším častým problémom v oblasti informačnej bezpečnosti je skutočnosť, že chýba celková a dlhodobá koncepcia. Na jednej strane to je pochopiteľné. Predovšetkým malé a stredné podniky sa usilujú udržať náklady „na uzde“ a nechcú priveľmi rozhadzovať, pričom nemajú také možnosti šetrenia ako podniky veľké. Preto musia klásť dôraz na iné oblasti než na počítačovú bezpečnosť. O tú sa začnú naozaj vážne zaujímať, až keď sa dostanú do problémov. Atraktívne zavírené prílohy e-mailov To je, samozrejme, chyba, pretože takýto prístup neumožňuje vzniku problémov aktívne predchádzať a zároveň unáhlené zaplátanie takto vzniknutých dier – keďže na iné už nezostáva v takých prípadoch čas – je v konečnom dôsledku výrazne drahšie ako prevencia. Naopak, jednoduchšie a aj lacnejšie je myslieť na počítačovú bezpečnosť už pri nákupe nového hardvéru alebo softvéru, prípadne pri návrhu podnikovej informačnej siete. Treba si predovšetkým uvedomiť fakt, že aj ten najdokonalejší hardvér a softvér v konečnom dôsledku používajú „len“ bežní používatelia. A že práve softvér a hardvér sú len automatické nástroje, ktoré človek predsa len dokáže obísť alebo prekabátiť. Nemalo by sa to síce stávať, aj tieto systémy by mali byť vymyslené a nastavené tak, aby sa to nedalo, lenže človek je predsa len vynaliezavejší, takže k takým situáciám často dochádza. Bežným prípadom, s ktorým sa určite stretla aj väčšina našich čitateľov, je, že používateľ elektronickej pošty dostane e-mail so zavírenou prílohou, ktorá však má atraktívny názov. Dobrý antivírusový program ho v takom prípade včas varuje pred možnosťou napadnutia. Používateľ však dokázal ochranné mechanizmy nastavené správcom siete obísť a vírus napokon spustil. Mimochodom, viete, že vyše osemdesiat percent bezpečnostných incidentov majú na svedomí nesvedomití interní zamestnanci, a nie nejakí útočníci zvonka? Aj s tým by šikovný podnikateľ mal pri kalkulácii a príprave bezpečnostných opatrení počítať. Stačí pár pravidiel Približne polovica organizácií v USA nemá žiadnu bezpečnostnú politiku na ochranu počítačov. U nás to bude celkom určite ešte smutnejšie číslo, lenže ani takáto štatistika nie je k dispozícii. Teraz vás nikto nechce presviedčať, že do vašej agendy musia pribudnú ďalšie objemné fascikle s mnohými nudnými ustanoveniami, článkami a paragrafmi, ktoré aj tak nebude napokon nikto z vašich zamestnancov čítať. Bezpečnostná politika môže byť naopak postavená na niekoľkých jednoduchých a jasne zrozumiteľných, a preto aj pochopiteľných bodoch. Čo robiť pri prijímaní podozrivej elektronickej správy, ako takúto správu vôbec rozoznať od bezpečnej správy, ako sa zachovať v prípade krízy, koho treba urýchlene kontaktovať a podobne. Častým problémom totiž je, že používateľ pri odhalení nejakého podobného problému ani nevie, na koho sa má obrátiť. Bezpečnostná politika však jasne definuje práva a povinnosti, takže nešťastným situáciám môže veľmi efektívne zabrániť. Nesmie chýbať záujem V prípade malých firiem sa na sto percent potvrdzuje pravidlo, že ak niečo robia všetci, v konečnom dôsledku to vlastne nerobí nikto. Častou ťažkosťou preto býva absencia povereného človeka alebo oddelenia, ktoré by malo informačnú bezpečnosť na starosti a zároveň by za ňu zodpovedalo. Práve preto chýba i znalostný základ ohľadom vzdelávania ďalších pracovníkov, rovnako ako autorita, ktorá by vyhodnocovala situáciu a stanovovala pravidlá či odporúčala nejaké opatrenia. To však, samozrejme, neznamená, že firma, ktorá zamestnáva piatich ľudí, by mala mať na plný úväzok zamestnaného šiesteho ako bezpečnostného špecialistu. Na základe takejto logiky by totiž takáto firma musela na plný úväzok zamestnávať aj hasiča, automechanika, vrátnika a mnoho ďalších profesií. O informatiku všeobecne a teda aj o počítačovú bezpečnosť sa v prípade malých firiem spravidla stará externý administrátor. Takýto človek však zväčša nemá čas a už vôbec nemá chuť starať sa aj o bezpečnostné opatrenia. Väčšinu problémov spravidla rieši tak, že administrátorské práva udeľuje čo najväčšiemu počtu používateľov firemnej siete alebo nejakým podobným spôsobom, ktoré však ide na úkor bezpečnosti. Ako túto situáciu riešiť? Pomerne jednoducho: do zmluvy s týmto externistom treba pridať časť o zabezpečení antivírusovej a ďalšej bezpečnosti, aby mal za ňu aj svoj podiel zodpovednosti a za prípadné problémy mohol byť postihnutý. Ak už nič iné, tak administrátor začne aspoň aplikovať bezpečnostné záplaty na operačný systém, čo z hľadiska bezpečnosti nie je vôbec málo. Neopakovať chyby Ďalším všeobecne veľmi rozšíreným nešvárom sú heslá, ktoré sú buď zdieľané alebo sú verejné. Takéto heslá však nemôžu plniť ochrannú úlohu. Často sa tiež možno stretnúť s tým, že v malých organizáciách akékoľvek prihlasovacie prvky úplne chýbajú, bez ohľadu na to, aký na to existuje dôvod. Zväčša však neexistuje žiadny. Ak to všetko zhrnieme, usilujte sa neopakovať školácke chyby, pri ktorých máte to šťastie, že ich za vás už urobil niekto iný a pred vami. Zjednodušíte si tak život a napokon aj ušetríte nemalé množstvo finančných prostriedkov, ktoré musíte vynakladať na riešenie bezpečnostných incidentov alebo na bezhlavé nakupovanie softvéru či hardvéru. Prevzaté z denníka Právo. Spracované a upravené.