Kybernetická hygiena je souhrn pracovních návyků, činností a procesů díky kterým se snižuje pravděpodobnost, že nastane nějaký kybernetický incident nebo že útok bude úspěšný. Proč? Pokud lidé takové návyky a pravidla dodržují, tak svým chováním předcházejí vzniku rizikových situací.
- Osvojení základních prvků a návyků kybernetické hygieny patří mezi základní a nejdůležitější opatření při zvyšování kybernetické bezpečnosti v organizacích
- Návyky kybernetické hygieny pomáhají předcházet rizikovým situacím
- Návyky kybernetické hygieny umožňují bránit se lépe kybernetickým hrozbám
Nejčastější hříchy kyber-hygieny
- Lidé otevírají infikované nebo podvodné e-maily, protože nedokážou rozpoznat jejich podvodnou povahu
- Lidé používají jednoduchá hesla, která lze snadno uhodnout nebo prolomit, například „123456“ nebo „heslo“
- Lidé si nezálohují svoje data, počítače nebo telefony
- Lidé neinstalují aktualizace softwaru a záplaty a používají starý software
Kybernetická hygiena se týká jak běžných zaměstnanců a jejich chování v běžných pracovních situacích, jako je otevírání emailů, tak se samozřejmě týká i IT profesionálů, tedy těch, kteří se starají o informační systém a pracují v IT firmy.
Základní návyky kybernetické hygieny zaměstnanců
Běžní zaměstnanci způsobují svým chováním, často nevědomě mnoho problémových situací. Stačí však, aby dodržovali pár jednoduchých zásad a návyků a mohou většitě takových situací jednoduše předejít. Každý jednotlivý zaměstnanec tak díky tomu, že bude dodržovat správný management hesel, bude mít zálohovaná svoje data nebo mít aktuální software, dokáže předejít velké většině problémů a to nejen ve svém zaměstnání, ale i v soukromém životě.
- Neotvítejte podezřelé maily
- Nepoužívejte snadno uhádnutelná hesla
- Pravidelně zálohujte svůj počítač a telefon nebo alespoň důležité soubory v nich
- Používejte jen podporované a aktuální verze operačního systému
- Nepoužívejte neznámé wifi sítě
- Neinstalujte neznámé, podezřelé a neprověřené aplikace
- Aktualizujte používané aplikace
- Používejte antivirové programy a další ochranu před škodlivými programy
Základní návyky kybernetické hygieny IT profesionálů při správě IT
IT profesionálové mají přirozeně více povinností než běžní zaměstnanci, co se jejich nejlepší praxe a návyků týká. Mají na starosti provoz IT a informačního systému a z toho musí vycházet i jejich návyky a nejlepší praxe. Dodržování základních návyků minimalizuje příležitosti pro útočníky.
Pravidelně zálohujte data
- Pravidelně zálohujte
- Zálohu uchovávejte v bezpečné lokalitě, odděleně od originálu
- Zálohujte servery i koncové stanice vašich uživatelů
Udržujte software i hardware aktuální
- Používejte a udržujte ve firmě jen podporované a aktuální verze operačních systémů
- Nainstalujte všechny dostupné aktualizace softwaru a bezpečnostní záplaty na zařízení vlastněná společností i na všechna osobní zařízení používaná k práci
- Aktualizujte nejen operační systémy a aplikace, ale také opravný firmware, například u tiskáren, síťových prvků a podobně
- Snažte se udržovat přiměřeně starý hardware. S věkem nad 5 stoupá riziko selhání hardware, typicky disků.
- Také některý starší hardware nemusí podporovat nový aktuální firmware s opravami zranitelností
- Udržujte také aktuální přehled IT vybavení - hardware o software ve vaší firmě
Mějte pod kontrolou přístupy vašich zaměstnanců (access control)
- Přístupy jednotlivých lidí do firemních systémů a aplikací musíte mít pod kontrolou, na základě jejich oprávnění a pracovního zařazení
- Zejména důležité jsou přístupy ke kritickým a citlivým datům a informacím
- Musíte mít přehled o všech administrátorech a jejich oprávněních v systémech. Ostatní uživatelé by měli mít omezené možnosti
- Zaveďte postupů správy identity a přístupu
- Monitorujte kontrolujte činnosti administrátorů účtů - jak probíhá jejich vytváření, používání, i mazání
- Musíte mít pod kontrolou zejména odebírání oprávnění uživatelů pokud ve firmě končí
Nepouštějte do své sítě nikoho neznámého, mějte firemní síť pod kontrolou
- Omezte přístup do firemní sítě na zaměstnance a prověřené lidi
- Pro návštěvy používejte zcela oddělenou síť
- Využijte výhody RADIUS serveru
- Limitujte síťové protokoly, porty a služby, pokud je to možné
- Využijte systémy s IDS a IPS
- Zabezpečte konfigurace síťových zařízení, jako jsou brány firewall, směrovače a přepínače, firewall dobře nakonfigurujte
- Zabezpečte routery a zajistěte, aby nabízely šifrování WPA2 nebo WPA3.
- Využijte nástroje pro sledování, řízení, prevenci a nápravu bezpečného používání bezdrátových místních sítí (WLAN), přístupových bodů a bezdrátových klientských systémům, například pro připojení neznámých zařízení
- Ujistěte se, že routery, brány a firewally jsou správně nastaveny a nakonfigurovány tak, aby zabránily útoku
- Vytvořte pravidla kybernetické bezpečnosti mobilních zařízení, abyste zajistili, že osobní zařízení nebudou pro vaši organizaci vytvářet další rizika.
Zaveďte a dodržujte politiku hesel
- Zaveďte a vynucujte dodržování politiky hesel pro všechny zaměstnance v celém podniku
- Dbejte na bezpečnost, ale nedělejte to pro zaměstnance moc komplikované, budou to pak obcházet
Používejte šifrování a šifrovaný přístup tam kde nejvíce chrání
- Používejte VPN pro vzdálený přístup zaměstnanců
- Používejte šifrování pro přístup do firemní wifi, a počítačové sítě
- Používejte šifrovaný přenost pro správu a provoz aplikací, webových aplikací
- Používejte šifrování pro ochranu klíčových a citlivých dat a také vašich záloh
Používejte bezpečnostní software
- Nainstalujte bezpečnostní software, jako je antimalware a antivirus, k ochraně systémů před škodlivým softwarem, včetně virů, ransomwaru, spywaru, červů, rootkitů a trojských koní.
- Ujistěte se, že je software správně nakonfigurován a provádějte pravidelné kontroly, abyste dokázali určit neobvyklou aktivitu.
- Využívejte k detekci profesionální služby a software - dodavatelé mají zkušenosti s miliony útoků, určitě víc než vy osobně
Zajistěte ochranu a důvěryhodnost e-mailů
- Zajistěte ochranu jako je SPF, DKIM
- Snižte riziko rozesílání spammu od vašich lidí
- Zajistěte dobrou ochranu proti škodlivému software na úrovni e-mailového serveru
Zajistěte pravidelné vzdělávání a povědomí vašich lidí
- Soustřeďtě se na to, co vám dělá problémy
- Soustřeďte se na to kdo vám způsobují nejvíce problémů
- Zajistěte, aby vaši lidí měli dostatečné, ale pro ně srozumitelné informace o tom, co mohou svým jednáním způsobit
- Vzdělávání a informování zaměstnanců dělejte pravidelně
- Pořádejte pravidelná školení o kybernetické bezpečnosti, abyste své zaměstnance vzdělávali v oblasti
- Soustřeďte se na možné podvody, útoky a jejich dopady nejen na vaši firmu, ale i na soukromí zaměstnanců. Tak lépe pochopí závažnost. Typicky phishingové podvody a metody sociálního inženýrství.
- Uživatelé by se například měli zásadně vyhýbat klikání na odkazy a přílohy, které obdrží e-mailem.
- Zůstaňte v obraze o nových taktikách phishingu a malwaru.
Pravidelně testujte a reagujte na aktuální situaci
- Provádějte pravidelné testování havarijních situací, ať jste na ně připraveni - obnovy ze zálohy, penetrační testy
- Přizpůsobujte se aktuální situaci - metody útočníků, hrozby a zranitelnosti se v čase mění a vy musíte držet krok
Jak zavést kyberhygienu ve vaší firmě
Většinu problémů v oblasti kybernetické hygieny lze snadno napravit zavedením a udržováním výše uvedenými zásadamy a postupy, zejména pak školením, vzdělávání a zavedením těchto principů do vnitřních předpisů a směrnic vaší firmy. Musíte počítat s tím, že lidí se nepoučitelní a vše musíte neustále dokola opakovat. To je prostě realita. Zavedení principů do povědomí a do změny chování uživatelů vyžaduje čas, trpělivost, spolupráci managementu celé firmy.
Zahrňte do firemních procesů postupy kybernetické hygieny
Chcete-li zajistit, aby se základní návyky kybernetické hygieny staly přirozenou součástí kultury vaší společnosti, jde nad rámec toho, aby byly přirozenou součástí všech vašich interních zásad, které se dotýkají IT nebo se zabývají procesy souvisejícími s IT. Zde jsou typické položky procesů, které by měly být zahrnuty do zásad kybernetické hygieny:
- Změny hesel: Složitá hesla, která se pravidelně mění, mohou zabránit mnoha škodlivým aktivitám a chránit kybernetickou bezpečnost.
- Soustřeďte se na procesy přidělování, odebírání a změn přístupových oprávnění
Zahrňte vzdělávání a šíření povědomí do firemních školení
- Implementujte program kybernetické hygieny do firemních školicích procesů
- Organizace musí mít tyto specifické znalosti dostat do krve prostřednictvím programů politiky, plánování, školení a zvyšování povědomí.
- Žádná formální písemná forma vás sama o sobě nezachrání, musíte vše komunikovat s konkrétními lidmi a to pravidelně