10 základných pravidiel IT bezpečnosti pre bežných používateľov

1. Buďte obozretní

Neverte nikomu a myslíme to doslova. Škodlivé odkazy môžu prísť od vašich priateľov, kolegov či kamarátov na sociálnych sieťach, ktorých účty boli kompromitované. Takisto ľudia, ktorých stretnete online, nemusia byť vždy tými, za koho sa vydávajú. Falošné profily na sociálnych sieťach sú populárnym nástrojom kyberzločincov. Buďte tak obozretní a vnímaví voči svojmu okoliu tak v online svete, ako ste aj v tom fyzickom.

2. Používajte antivírusový softvér

Antivírus by mal byť vždy aktívny a nastavený na pravidelnú aktualizáciu. Nastavte si ho tak, aby automaticky skenoval všetky sťahované súbory, prílohy e-mailov či pamäťové média, ako napríklad USB kľúče.

3. Nezanedbávajte aktualizácie

Pravidelne aktualizujte svoj operačný systém, prehliadač, antivírus a ďalšie programy. Kyberzločinci majú tendenciu využívať zraniteľné miesta v softvéri, aby prenikli do systému, preto sa vždy uistite, že používate najaktuálnejšiu verziu, ktorá vás ochráni pred nástrahami online sveta.

4. Používajte silné a unikátne heslo

Nikdy nepoužívajte rovnaké heslo pre viacero stránok a služieb. Vytvorte si silné, hackermi neodcudziteľné heslo pre každý online účet. Aby ste heslo nezabudli, použite pri jeho tvorbe frázu, text skladby, citát z filmu, detskú riekanku alebo niečo, čo si ľahko zapamätáte. Ak je však hesiel už príliš veľa, môže byť problematické zapamätať si ich. V takomto prípade odporúčame použiť manažér hesiel – softvér, ktorý vám bezpečné heslo vygeneruje, zapamätá si ho a dokonca ho aj do prihlasovacie formuláru napíše za vás. Vám bude stačiť zapamätať si len jedno heslo k samotnému manažérovi hesiel. Návod na používanie obľúbeného manažéra hesiel KeePass je dostupný na webovej stránke Vládnej jednotky CSIRT (https://www.csirt.gov.sk/informacna-bezpecnost/osvedcene-postupy/navody-a-odporucania/sprava-hesiel-8a7.html).

5. Pozor na sťahované súbory

Jednou z top priorít kyberzločincov je, aby ste si nevedome stiahli do svojho zariadenia malvér. Maskujú ho do programov a aplikácií, pričom po jeho stiahnutí sa snažia odcudziť informácie. Pozor! Malvér môže byť prezlečený za akúkoľvek aplikáciu, od populárnych hier, až po sledovanie dopravy alebo počasia. Nesťahujte súbory a aplikácie z nedôveryhodných zdrojov ako sú napr. warez fóra, torrenty alebo pirátske filesharingové stránky.

6. Dbajte na bezpečné online nákupy

Keď nakupujete online, zväčša poskytujete aj informácie o kreditnej karte alebo bankovom účte. Zadávajte tieto informácie len na stránkach, ktoré majú zabezpečené a šifrované pripojenie pomocou SSL certifikátu s rozšíreným overením (extended validation). Rozpoznáte ich jednoducho, ich adresa začína „https:“ („s“ znamená zabezpečená) a internetové prehliadače pre takéto certifikáty zobrazujú riadok URL na zeleno spolu s ikonou zámku. Nedajte kyberzločincom svojou neopatrnosťou šancu okradnúť vás o peniaze!

7. Používajte bezpečné wifi pripojenie

Uistite sa, že je vaša domáca wifi sieť chránená protokolom WPA2 s AES šifrovaním a že používate heslo, ktoré je kvalitné, dostatočne dlhé a menené aspoň raz za rok. Ak vašu wifi necháte otvorenú, je to pozvánka pre všetkých kyberzločincov, aby sa vám nabúrali do domácej siete. Tiež vám odporúčame, aby ste si zmenili pôvodný názov vašej siete, pretože továrenský názov vášho routera môže všetkým naokolo prezradiť jeho výrobcu a model – teda informácie, ktoré prípadnému útočníkovi veľmi uľahčia prípravu na útok. Na verejných miestach, ako sú hotely, kaviarne a letiská, si dávajte pozor a nepripájajte sa k sieti, ktorú nepoznáte. Ak sa k takejto sieti pripojíte, nezabudnite si čo najskôr aktivovať VPN.

8. Nepodceňujte firewall

Kontrola vášho firewallu môže znieť ako veľmi komplikovaná záležitosť, ale v skutočnosti to tak nie je. Ak vlastníte zariadenie, ktoré beží na operačnom systéme  Windows, stačí do vyhľadávacieho okienka zadať “firewall” a kliknúť na výsledok (nachádza sa tiež v súbore „Ovládací panel“). Ak je firewall zapnutý a pripojený, tak by malo byť všetko v poriadku. Firewall totiž dokáže odrážať mnohé útoky kyberzločincov. Odporúčame vám, aby ste skontrolovali, či máte zapnutý aj sieťový firewall na vašom domácom routeri.

9. Majte povolenia pre mobilné aplikácie pod kontrolou

Mobilné aplikácie vás dnes bežne žiadajú, aby ste súhlasili s prístupom ku kontaktom alebo súborom na disku, ku kamere, mikrofónu či polohe. Niektoré z týchto aplikácií sú bez takéhoto súhlasu priam nepoužiteľné. Majte pod kontrolou povolenia, ktoré aplikáciám dávate!

10. Bojujte úspešne so spamom

Kyberzločinci často rozposielajú falošné e-mailové správy, ktoré napodobňujú e-mailové upozornenia, napríklad z online obchodu alebo banky. Cieľom je oklamať používateľa, ktorý tak nevedome klikne na infikovaný odkaz, čo má za následok ďalšie šírenie malvéru. Dbajte na  antispamové nastavenia a najmä nikdy neotvárajte súbory, ktoré poslal neznámy odosielateľ. Tiež nikdy neklikajte na odkazy v tele SPAM e-mailu, pretože vás takýto odkaz môže zaviesť na podvrhnutú web stránku, ktorá váš počítač infikuje škodlivým softvérom.

10 základných pravidiel IT bezpečnosti pre MSP

1. Prevencia je základ

Zabezpečiť podnikovú infraštruktúru pred budúcimi útokmi je menej nákladné, ako reakcia na už existujúci problém. Ak sa vaša organizácia ešte nestala objektom útoku, určite sa mu v budúcnosti nevyhne. Útočníci sa orientujú najmä na zraniteľnosti softvéru, ľahko prelomiteľné heslá a v prípade, že je infraštruktúra po technickej stránke zabezpečená dostatočne dobre aj na nevyškolených zamestnancov podniku, ktorí ľahko naletia na podvrhnuté phishingové e-maily a odovzdajú tak útočníkovi citlivé informácie. Predvídajte a nedajte útočníkom šancu!

2. Zálohujte dáta

Uistite sa, že dôležité súbory pravidelne zálohujete. Odporúča sa vytvoriť dve zálohované kópie: jednu uloženú na fyzicky vzdialenej lokalite alebo v cloude (v prípade, že zálohy zašifrujete je možné využiť aj verejné služby ako Dropbox, Google Disk, atď.) a druhú na fyzickom úložisku (prenosný pevný disk, laptop, atď.). V prípade náhodného odstránenia súboru, zlyhania disku alebo nákazy počítača ransomwarom tak predídete jeho úplnej strate. Pre súbory nastavte obmedzenia: zálohovaná kópia súboru by mala mať povolenia iba na čítanie, bez možnosti súbor meniť alebo mazať.

3. Chráňte sa proti malvéru

Malvér sa najčastejšie šíri emailom, ktorý sa tvári ako legitímny email od známeho odosielateľa a vyzýva k nejakej akcii, či už je to kliknutie na priložený link alebo stiahnutie škodlivej prílohy. Ostražitosť je prvým krokom, ako sa chrániť pred škodlivým softvérom, ale samotná opatrnosť niekedy nestačí. Dokonca aj sťahovanie z legitímnych stránok môže niekedy obsahovať škodlivý softvér, preto musia organizácie prijať ďalšie bezpečnostné opatrenia a zabezpečiť podnikovú sieť spoľahlivým antivírusovým riešením.

4. Migrácia na cloud – nie tak rýchlo!

Nízke náklady, jednoduchosť správy a dostupnosť mimo firmy sú najčastejšími dôvodmi, prečo sa organizácie rozhodnú pre presun svojej infraštruktúry na cloud. Ak však migrácia prebieha bez dlhodobejšieho konceptu a prihliadnutia na možné riziká, je veľmi pravdepodobné, že sa skončí neúspechom. Pri výbere neprihliadajte len na cenu, ale aj funkčnosť a spoľahlivosť systému, legislatívne požiadavky a technické zabezpečenie dát.

5. Používajte jedinečné heslá

Heslá sú primárnym kľúčom na odomknutie účtov. Rovnakým spôsobom, ako by bolo z bezpečnostného hľadiska neefektívne používať jeden univerzálny na všetky dvere, je aj používanie toho istého hesla na prístup do všetkých účtov. Našťastie existuje softvér na správu hesiel, ktorý vám s pamätaním si všetkých hesiel úspešne pomôže.

6. Vytvorte bezpečnostnú politiku a bezpečnostné smernice

Tieto pravidlá umožňujú organizácii nastaviť spôsoby ochrany informácií a iných aktív v súlade s podnikovými cieľmi, dobu uchovávania dokumentov, e-mailov a akejkoľvek komunikácie. E-mailové systémy môžu byť nakonfigurované tak, aby automaticky vyprázdnili správy po uplynutí určitého počtu dní v súlade s nastavenou politikou. Staršia komunikácia sa tak v prípade útoku nedostane do rúk útočníka. Správne nastavené interné procesy vám umožnia mať kontrolu nad tým, kto má k dokumentom prístup. Odporúčame zaviesť pravidlo „need to know“, ktoré umožní zamestnancovi prístup len k tým informáciám a aktívam, ktoré nevyhnutne potrebuje na vykonávanie svojej činnosti. V prípade ukončenia pracovného pomeru je potrebné  zabezpečiť, aby boli včas odobraté prístupové oprávnenia, aby boli navrátené všetky aktíva a informácie a aby bola zabezpečená kontinuita činností na danej pracovnej pozícii.

7. Vzdelávajte zamestnancov

Je nevyhnutné zabezpečiť, aby všetci zamestnanci, ktorí majú prístup k podnikovej sieti mali dostatočne vysoké povedomie o rizikách, hrozbách, možnostiach ochrany pred nimi a o bezpečnom používaní informačných a komunikačných technológií. Jedine pravidelnými školeniami je možné chrániť sa pred útokmi sociálnym inžinierstvom, ktorými kyberzločinci dokážu získať informácie aj bez prekonávania technických zraniteľností v systéme. Útočníci neustále pracujú na vylepšovaní techník útoku, preto je dôležité bezpečnostnú politiku priebežne aktualizovať a o zmenách informovať zamestnancov.

8. Používajte

Klasické overovanie pomocou mena a hesla je považované za nedostatočné a vhodné len v nenáročných prípadoch. Vyššie zabezpečenie sa dá dosiahnuť kombináciou s ďalšími faktormi, ako napríklad generovaním jednorázovych hesiel, využitím biometrických dát alebo hardvérovými tokenmi.

9. Používajte firewall

Prvou obrannou líniou v prípade kybernetického útoku je firewall, ktorý zabraňuje útoku na internú sieť. Okrem štandardnej brány firewall na perimetri siete odporúčame implementovať aj druhý firewall od iného výrobcu, ktorý poskytne zvýšenú ochranu. Je dôležité, aby zamestnanci, ktorí pracujú z domova, inštalovali firewall aj na svoju domácu sieť. Pre organizáciu je však problematické zabezpečiť kontrolu nad domácou sieťou. Lepším riešením je poskytnutie mobilného pripojenia a pripojenia sa cez VPN, samozrejme z firemného notebooku s inštalovanými bezpečnostnými nástrojmi.

10. Inštalujte overený antivírus na všetky zariadenia

Uistite sa, že každý počítač vašej firmy je vybavený antivírusovým softvérom a pravidelne sa aktualizuje. Všetci dodávatelia softvéru poskytujú opravy a aktualizácie svojich produktov na opravu problémov s bezpečnosťou a na zlepšenie funkčnosti. Nakonfigurujte softvér na automatickú inštaláciu aktualizácií.