Keď sa povie „kybernetický útok“, veľa ľudí si predstaví niečo sofistikované, technicky zložité a takmer neodvratné. Realita je však často oveľa jednoduchšia. Väčšina incidentov nevznikne preto, že by útočníci boli výnimočne šikovní, ale preto, že firmy majú v IT infraštruktúre úplne základné slabiny. Tie sa časom nazbierajú a útočníkovi stačí využiť jednu z nich, aby sa dostal dovnútra.
Najčastejšie sa s tým stretávame u menších a stredných firiem, kde IT funguje „popri práci“ a bezpečnosť nemá vlastný proces ani pravidelnú kontrolu. Nie je to otázka nepozornosti. Skôr ide o to, že bez jasných pravidiel a pravidelnej správy sa bezpečnosť postupne rozpadne – aj vo firmách, ktoré sú inak dobre organizované.
V SophistIT riešime tieto situácie pri auditoch aj pri bežnej správe IT prostredia. Tu je sedem najčastejších zraniteľností, ktoré sa opakujú naprieč firmami, a zároveň praktické spôsoby, ako ich udržať pod kontrolou.
1) Slabé, opakované alebo zdieľané heslá
Jedna z najčastejších slabín je prekvapivo jednoduchá: heslá. Firmy stále používajú heslá, ktoré sú ľahko uhádnuteľné, opakujú rovnaké heslo do viacerých systémov alebo si prístupy zdieľajú medzi zamestnancami. Často ide o schránky typu info@, fakturacia@ alebo prístupy do interných aplikácií, ktoré využíva viac ľudí a nikto nevie presne povedať, kto sa do nich kedy prihlásil.
Problémom nie je len samotné heslo, ale aj následky. Ak útočník získa prístup do e-mailu, často sa vie cez neho dostať ďalej. Môže resetovať heslá do ďalších služieb, získať prístup k fakturácii, dokumentom alebo cloudovým účtom a postupne sa v prostredí „zabývať“. V praxi stačí jeden uniknutý účet a firma môže prísť o kontrolu nad oveľa väčšou časťou IT, než by si ktokoľvek myslel.
Najlepšia prevencia je kombinácia dobrej politiky hesiel, rozumných pravidiel a technických opatrení. Zmysel má používať správcu hesiel, ktorý odstráni potrebu heslá niekam zapisovať alebo opakovať. Rovnako dôležité je zaviesť viacfaktorové overovanie (MFA), ideálne všade, kde je to možné. MFA dnes patrí medzi najefektívnejšie a zároveň najjednoduchšie kroky, ktoré výrazne znižujú riziko neoprávneného prístupu.
2) Zálohy, ktoré existujú, ale nefungujú
Veľa firiem tvrdí, že zálohy má. A často je to pravda. Problém je, že zálohy bývajú nastavené tak, že „nejako bežia“, no nikto ich netestuje a nikto si nie je istý, či by sa z nich naozaj dalo obnoviť to, čo firma potrebuje.
Pri ransomvéri alebo zlyhaní servera sa potom ukáže realita: zálohy sú neúplné, príliš staré, poškodené alebo uložené na tom istom mieste ako pôvodné dáta. Výsledkom je výpadok na dni, niekedy aj týždne, a náklady, ktoré sa vedia veľmi rýchlo vyšplhať vyššie než celá investícia do prevencie.
Správne zálohovanie nie je len o tom, že sa niekam „kopírujú dáta“. Dôležité je, aby zálohy bežali automaticky, aby boli oddelené od hlavnej infraštruktúry a aby sa pravidelne testovala obnova. Firma musí vedieť, ako rýchlo dokáže fungovať po incidente a koľko dát si môže dovoliť stratiť. Ak toto nevie, v krízovej situácii zvyčajne rozhoduje chaoticky – a veľmi draho.
3) Nezabezpečené cloudové úložiská
Cloudové úložiská ako Google Drive, OneDrive alebo SharePoint sú dnes v firmách štandardom. Problém však nastáva vtedy, keď sa používajú bez pravidiel. Dokumenty sa posielajú cez odkazy, zdieľajú sa „pre istotu“, a časom vznikne chaos, kde nikto presne nevie, kto má k čomu prístup.
V mnohých firmách sa stáva, že citlivé dokumenty sú dostupné prakticky komukoľvek, kto má link. Nie vždy zámerne – často je to dôsledok rýchlej práce a snahy „neblokovať proces“. Lenže práve tento prístup postupne vytvorí prostredie, kde jeden omyl alebo jeden kompromitovaný účet dokáže spôsobiť únik zmlúv, osobných údajov, cenových ponúk či účtovníctva.
Riešenie je nastaviť cloud tak, aby bol pre ľudí jednoduchý, ale zároveň bezpečný. To znamená zaviesť prístupové práva podľa rolí a potrieb, obmedziť verejné zdieľanie citlivých dát a mať prehľad nad tým, kto má prístup k čomu. Dôležitou súčasťou je aj kontrola pri odchode zamestnanca alebo externistu – aby firma nezabudla „odstrihnúť“ prístupy, ktoré už nemajú existovať.
4) Zanedbané aktualizácie systémov a aplikácií
Aktualizácie sú pre veľa firiem nepríjemná téma. Často sa odkladajú, lebo „všetko funguje“ a nikto nechce riskovať, že update niečo pokazí. Lenže práve aktualizácie opravujú známe bezpečnostné chyby, ktoré útočníci aktívne vyhľadávajú.
Neaktualizovaný server, firewall, router alebo aplikácia sú pre útočníka jednoduchým cieľom. V niektorých prípadoch sa dokáže dostať do systému bez toho, aby niekto musel kliknúť na phishingový e-mail. Stačí, že firma má otvorenú zraniteľnosť, ktorá je verejne známa, a útočník využije automatizované skenovanie internetu či firemných systémov.
Najefektívnejšie je mať patching ako proces, nie ako náhodnú úlohu. Aktualizácie treba plánovať, centrálne spravovať a kontrolovať, či sa naozaj aplikovali. Rovnako dôležité je mať prehľad o zariadeniach a systémoch, ktoré sú zastarané alebo nepodporované, pretože tie predstavujú riziko, ktoré sa nedá vyriešiť len bežným updateom.
5) Slabá ochrana koncových zariadení
Dnes už nie je „server v serverovni“ jediným centrom firmy. V realite sú vstupnou bránou do firemných dát notebooky a počítače zamestnancov. Z nich sa ľudia prihlasujú do e-mailu, cloudu, CRM, účtovníctva aj interných systémov. Ak koncové zariadenie nie je chránené alebo je mimo kontroly, firma môže mať problém aj vtedy, keď má server relatívne v poriadku.
Slabá ochrana pracovných zariadení často znamená, že antivírus je zastaraný alebo chýba, disky nie sú šifrované a zariadenia nemajú jednotné bezpečnostné nastavenia. Pri strate notebooku, infekcii alebo neoprávnenom prístupe vie útočník získať prístup k firemnému prostrediu veľmi rýchlo.
Prevencia stojí na kombinácii kvalitnej ochrany koncových zariadení, šifrovania diskov a centrálnej správy. Výhodou je, že takéto nastavenie zároveň zjednodušuje správu IT a znižuje počet incidentov, ktoré firmu „brzdia“ počas bežnej prevádzky.
6) Nízke bezpečnostné povedomie zamestnancov
Aj keď firma nastaví technické opatrenia dobre, stále existuje jedno miesto, ktoré útočníci radi využívajú: človek. Phishingové útoky dnes nevyzerajú ako lacné podvody. Naopak, často sú veľmi presné a vyzerajú ako faktúry, kuriérske správy alebo komunikácia od kolegov či vedenia.
Zamestnanec, ktorý je pod stresom a rieši veľa vecí naraz, môže urobiť chybu aj bez toho, aby bol „nezodpovedný“. Stačí jedno kliknutie alebo zadanie prihlasovacích údajov na falošnej stránke a problém sa môže rozbehnúť naplno.
Najlepšia obrana je pravidelné vzdelávanie, ktoré je krátke, praktické a opakované. Firmy zároveň často získajú veľa aj zo simulovaných phishingových testov, ktoré odhalia, kde sú slabé miesta a ktoré typy útokov ľudia najčastejšie prehliadnu. Keď sa k tomu pridajú jasné pravidlá a jednoduché postupy, riziko sa dá výrazne znížiť.
7) Neexistujúci audit a chýbajúci prehľad
Mnohé firmy netušia, aké slabiny v IT prostredí reálne majú. Vedia, že majú počítače, cloud a e-mail – ale nevedia, kde sú najkritickejšie prístupy, ktoré účty sú rizikové, či sú zálohy funkčné a či sú dôležité systémy pod kontrolou.
Toto je problém najmä preto, že firma môže mať pocit, že je „v bezpečí“, no v skutočnosti len nevie, kde sú slabé miesta. A keď sa stane incident, rieši ho pod tlakom, bez dát a bez jasného plánu.
Bezpečnostný audit nie je o tom, aby niekto našiel sto problémov. Je o tom, aby firma získala prehľad a vedela, čo má najväčší dopad na biznis a čo treba riešiť ako prvé. Vo väčšine prípadov ide o praktické kroky, ktoré sa dajú spraviť postupne a bez chaosu.
Prečo sa oplatí mať IT bezpečnosť pod kontrolou
Kybernetický útok dnes neznamená len technický problém. Znamená výpadok práce, stratu dát, finančné škody, reputačné riziko a v niektorých prípadoch aj dopady na GDPR. Preto dáva zmysel riešiť bezpečnosť preventívne a systematicky, nie až vtedy, keď je neskoro.
SophistIT pomáha firmám získať kontrolu nad IT infraštruktúrou tak, aby bezpečnosť nebola náhodná, ale riadená. Či už ide o audit, nastavenie pravidiel, ochranu koncových zariadení, cloud alebo zálohovanie, cieľ je vždy rovnaký: aby firma fungovala bezpečne, stabilne a bez zbytočných rizík.
Máte istotu, že vaša firma nie je ľahký cieľ?
Väčšina firiem netuší, kde má v IT najväčšie slabiny — kým nie je neskoro.
Bezpečnostný audit od SophistIT vám ukáže, kde sú riziká, čo je skutočne kritické a čo treba riešiť ako prvé.
Objednajte si nezáväznú konzultáciu a zistite, v akom stave je bezpečnosť vašej firmy skôr, než ju otestuje útočník.
