Informační bezpečnost

Bezpečnost dat je dnes záležitostí, kterou se musí zabývat každý, kdo používá dnešní výpočetní techniku. Od osobních počítačů, tabletů a chytrých telefonů až po nejrůznější zařízení denní potřeby (například ledničky), které jsou připojeny k internetu. Nesmíme také zapomenout na osobní automobily, které jsou v dnešní době doslova nacpané elektronikou a řídícími prvky. Pro začátek bude stačit, když se budete řídit jednoduchým desaterem:

  1. Vytvořte si silné a bezpečné heslo.
  2. Využívejte technické prostředky ochrany.
  3. Važte si svého soukromí.
  4. Myslete na všechna elektronická zařízení.
  5. Používejte selský rozum.
  6. Zálohujte.
  7. Berte svůj počítač jako sejf.
  8. Buďte obezřetní stejně na ulici ve velkoměstě.
  9. Odolávejte lákadlům.
  10. Vzdělávejte se, pomáhejte ostatním, informujte se.

První bod desatera slyšel asi každý, ať již ve škole, nebo od zaměstnavatele (pokud jste nedostali heslo přidělené). Málo kdo se jím však řídí. Podle webu splashdata.com byla v roce 2013 nejpoužívanějším heslem kombinace 123456, následovaná heslem password. Zamyslete se sami, jak silné máte heslo? 

Vytváření hesla není radno podceňovat

Základem bezpečnosti kdekoli na internetu nebo ve vašem informačním systému je silné heslo. Často mu ale při sestavování není věnována taková pozornost, jakou by si zasloužilo. Jméno partnera nebo oblíbeného klubu přiláká jenom hackera nebo vašeho závistivého souseda či kolegu.

V duchu si spočítejte, do kolika aplikací nebo internetových obchodů máte vytvořený přístup. A nyní si spočítejte, kolik máte hesel. Zatímco v prvním případě napočítáte bezpochyby přes deset přístupů, hesel pravděpodobně o dost méně. První chyba. Základní zásadou, jak si udržet své údaje daleko od spárů útočníka, je přiměřená variace hesel do různých aplikací.

Každý už pravděpodobně někdy slyšel, jak má bezpečné heslo vypadat – kombinace číslic, speciálních znaků, velkých a malých písmen, která vám dohromady vytvoří řadu minimálně 8 znaků. Nezapomeňte však, že mohou nastat situace, kdy se budete potřebovat ke svému emailu nebo k jinému účtu dostat v zahraničí a nebude mít k dispozici svůj počítač. Vyvarujte se používání znaků typických pro konkrétní jazyk (š, č, ř apod.), které by vás mohly dostat do nesnází. Podobně zrádná jsou také písmena Y nebo Z, která jsou na české a americké klávesnici přehozena.

Jak tedy teorii aplikovat do praxe? Téměř neprolomitelné heslo vám zajistí generátor hesla, ale kdo si má heslo typu „txzdkqnzkwh“ pamatovat? Lidé bez fotografické paměti potřebují jiné pomůcky, jak si své silné heslo zapamatovat. Vezměte si například jméno Karel, do něj vložíte číslice: Kar68el, přidáte grafický znak: Kar_68el a hotovo, máte vytvořené jednoduché, ale relativně bezpečné heslo. Zesílit ho můžete přidáním dalším různorodých znaků. Podobně heslo můžete vytvořit na základě nějaké říkanky nebo věty.

Ideální heslo je pestré, nesouvisí žádným způsobem s vaší osobou a používáte ho do minima aplikací. Absolutně bezpečné heslo neexistuje, ale přiblížit se k němu lze.

Důsledky zanedbání zájmu o ochranu dat a celkově o informační bezpečnost

Je to smutné konstatování, ale největším nepřítelem v informační bezpečnosti jsme sami sobě. Naše neznalost, nedbalost, bohorovnost, ignorantství... Záplava případů bezpečnostních incidentů, ke kterým vůbec nemuselo dojít, kdyby byla respektována ta nejzákladnější bezpečnostní pravidla, je toho jen důkazem.

Potvrzuje to třeba i zpráva „Verizon Data Breach Investigations Report“, která se věnuje průnikům do systémů a únikům dat. Ta konstatuje, že 96 procent útoků bylo provedeno „velmi jednoduše“. Jinými slovy: útočníci s nimi neměli prakticky žádnou práci, neb šlo o zneužití známých chyb, základních hesel nebo špatně nasazenou bezpečnost. Neméně zajímavé je i druhé ze zprávy plynoucí číslo: celkem 97 procentům útoků šlo stejně „velmi jednoduše“ zabránit, a to bez vynaložení většího úsilí nebo finančních výdajů. Jak vidno, i v informační bezpečnosti se dá s málem udělat nesmírně mnoho.

A jaká jsou třeba ona základní pravidla, která velkoryse ignorujeme? Třeba nutnost změny základního (defaultního) hesla.

Nyní máme na mysli základní hesla a nutnost jejich obměny po instalaci/nasazení systému. Organizace ElcomSoft udělala v této oblasti průzkum a její zjištění jsou přinejmenším tristní: 28 procent (!) uživatelů a administrátorů NIKDY nemění základní hesla. Dalších 22 procent je mění zřídkakdy (to už jsme dohromady na polovině uživatelů – srdce případného útočníka pochopitelně plesá). Čtvrtina pak uvedla, že hesla mění „občas“ – a zbytek „skoro vždy/vždy“. Takže: nezapomínejte měnit základní hesla! (Ale vždyť to přece každý ví...)

Situace přitom často připomíná uvažování vojáka, kterému řekli, že zítra půjde na zteč a že polovina útočících bitvu nepřežije. Nepřipustí si, že by právě on mohl být v oné obětované polovině a jen smutně pokrčí rameny: „Chudáci.“

Aneb považuje celou záležitost za problém těch druhých. Jinak si asi nelze vysvětlit, že plných 85 procent osob zodpovědných za zajištění bezpečnosti dat v malých a středních firmách považuje možnost nějakého bezpečnostního incidentu za „nepravděpodobnou“.

To je ovšem v ostrém kontrastu s konstatováním, kdy 61 procent osob ze stejné skupiny tvrdí, že případný únik dat by vážně poškodil postavení jejich organizace v očích zákazníků a partnerů a 38 procent z nich prohlašuje, že se sami dívají „skrze prsty“ na ty, kterým data unikla.

Jak poznat podvodný e-mail

Každý, kdo se, byť jen trochu zajímá, o bezpečnost svého počítače jistě ví, že si má dát pozor na podvodné e-maily. Někdy je velmi snadné jej poznat (a většina kvalitních spamfiltrů tyto maily automaticky nepustí do Vaší Doručené pošty), existuje však i několik případů, kde si na první pohled nejste jistí. Uvedeme jeden příklad, který se stal při společném projektu s kolegy z VUT v Brně :

Od: VUTBR.cz - Vysoké ucení Technické v Brne Web-admin [kvasov@post.nsu.ru]

Odesláno: 22. června 2014 17:40

Předmět: NALÉHAVÉ: Ověření Vaší Emailové Schránky

Pozor VUTBR.cz uživatel,

Toto je automatická zpráva z našich serverů; Pokud obdržíte tuto zprávu, znamená to, že vaše schránka byla zařazena do fronty pro deaktivaci. Vzhledem k nedávné Trojan.Flame.A útoky, budeme provádět údržbu na našich e-mailových účtů. Aby se zabránilo trvalé deaktivaci vašeho e-mailového účtu a umožnit větší úložnou kapacitu vašeho e-mailového účtu, můžete zadat požadované informace níže se v příštích 72 hodinách:

   Celé jméno:

   E-mail:

   Přihlašovací jméno:

   heslo:

   Potvrzení hesla:

   Oddělení:

Neschopnost vyřešit tento problém ve stanovené době povede k vaší e-mailový účet bude trvale vypnuta. Nicméně, Váš účet zůstane v platnosti poté, co jste úspěšně ověřen váš účet. Omlouváme se za případné nepříjemnosti a děkujeme za pochopení.

 Děkujeme vám za využití našich poštovních služeb.

S pozdravem,

© 2014 VUTBR.cz - Vysoké ucení Technické v Brne Web-admin

Mail na první pohled vypadá vcelku důvěryhodně, obzvláště, když obsahuje informaci o tom, že ke zmiňovanému útoku opravdu došlo (případ z dubna roku 2014). Na ten druhý (případně třetí) jde ovšem o jasný podvod, který z Vás chce dostat cenné informace, především uživatelské jméno a heslo. Tyto informace byste nikdy nikomu neměli posílat! Web administrator by si je navíc měl být schopen opatřit ve své databázi (pakliže k tomu má povolení).

Dalším výrazným znakem jsou typické gramatické chyby, špatné skloňování, například ve větě "Vzhledem k nedávné Trojan.Flame.A útoky, budeme provádět údržbu na našich e-mailových účtů." nebo "Nicméně, Váš účet zůstane v platnosti poté, co jste úspěšně ověřen váš účet." Dále velmi nevěrohodně působí podpis, nikdo z VUT by se přeci nepodepsal "Vysoké ucení Technické v Brne Web-admin". Název univerzity s takovými chybami by snad nikdo do svého podpisu nedal. Navíc chybí i osobní podpis.

Poslední indicií, dá se říct, že tou nejdůležitěší v tomto případě, je adresa odesílatele. E-mail kvasov@post.nsu.ru jistě není z mailového prostoru VUT v Brně. Tudíž jde o jasný podvod.

Jak se zachovat, pokud dostanete takovýto e-mail? Rozhodně neotevírejte žádné přílohy, pokud by byly přiloženy. Označte tento e-mail jako spam a přidejte odesílatele do seznamu blokovaných odesílatelů. Případně, dle pravidel Vaší organizace, jej nahlaste Vašemu správci sítě.