Phishing – najväčší postrach firiem

Mnoho firiem si myslí, že ak investujú obrovské sumy do kvalitnej bezpečnostnej infraštruktúry, tak sú v bezpečí. To je však omyl. Reťaz je vždy tak silná, ako jej najslabší článok. A týmto vedomím sa riadia aj útočníci.

Vo väčšine prípadov totiž nie je tým najslabším článkom softvér alebo hardvér, ale samotný človek. A preto je tak úspešný phishing, pri ktorom sa útočníci zamerajú na tie najslabšie články na rádových zamestnancov a špeciálne na klientov jednotlivých firiem.  Preto je pre každú firmu extrémne dôležité, aby o základných bezpečnostných pravidlách poučila pracovníkov na všetkých stupňoch – a to nie formou internetových školení a formálnych dotazníkov, ale spôsobom, pri ktorom budú nútení problematike venovať naozaj pozornosť. Otázkou však zostáva ako zvýšiť povedomie a obozretnosť u klientov? Klienti sú naučení na stabilnú a jasnú komunikáciu so svojou firmou až do miery, keď vznikne medzi klientom a firmou vznikne „virtuálna“ dôvera a klient stráca svoju obozretnosť. Firmy v súčastnosti na komunikáciu naviac využívajú všetky možné komunikačné kanály a aj pre klienta je veľmi ťažké rozlíšiť, či ide o pravú komunikáciu alebo phishingovú.

Zamestnanci najčastejšie spravia jednu zo základných chýb:

  1. Kliknú na link v dôveryhodne sa tváriacom maile, ktorý ich privedie na falošnú stránku, ktorá od nich bude požadovať niektoré citlivé informácie
  2. Za dôveryhodný automaticky a bez ďalšej verifikácie pokladajú email z dôveryhodnej adresy
  3. Nechajú do intranetu preniknúť škodlivý kód tak, že otvoria zavírenú prílohu
  4. Nechajú sa presvedčiť, aby zdieľali citlivé informácie na základe telefonického hovoru, v ktorom sa útočník predstaví ako dôveryhodná strana – napríklad predstaviteľ kooperujúceho oddelenia, správca siete alebo externý spolupracovník

Prax spoločností, zameraných na internetovú bezpečnosť ukazuje, že najefektívnejším nástrojom na vzdelávanie zamestnancov v tejto oblasti sú školenia, ktoré nemajú teoretickú povahu, ale rozoberajú sa na nich konkrétne príklady úspešných prienikov do infraštruktúry na základe phishingu, pretože názornejšie príklady sa ľahšie zapamätajú a zároveň častokrát vyvolajú diskusiu a vtiahnu  tak účastníkov do problematiky, tí ju takto začnú považovať za vlastnú. Tým to ale, samozrejme, nekončí. Významným sa ukazuje aj vzdelávanie klientov a širokej masy priateľov konkrétnej firmy. Či už je to priamo vzdelávaním cez samostatný komunikačný kanál, ojedinele sa používa na vzdelávanie newsletter alebo pomocou informovania na stránkach firmy.

Klienti aj zamestnanci si majú dávať pozor na nasledovné veci:

  • Neotvárať emaily od neznámych ľudí.
  • Skontroľujte si emailovu adresu, zistite, či je to pre Vás známa adresa odosieľateľa alebo je to neznáma adresa a meno v emaile je Vám známe.
  • Neotvárať pripojené dokumenty s podozrivým, neidentifikovateľným menom.
  • V prípade, že nečakáte na email od známej osoby, neotvárať emaily napísané chybnou slovenčinou a s podozrivým menom attachmentu.
  • Informujte klientov, ktoré dáta od nich vyžadujete v prípade komunikácie.

K ďalším dôležitým veciam, na ktoré by firmy mali dbať, patrí:

  • Používajte kvalitný anti-spamový filter
  • Dbajte na aktuálnosť všetkých systémov napojených na internet/intranet v celej firemnej hierarchii, vrátane posledných aktualizácií
  • Používajte kvalitný antivírusový systém a firewall, ktorý vás okamžite upozorní na podozrivé aktivity
  • Implementujte Advanced thread protection na ochranu pred skrytými vírusmi
  • Zostavte vnútrofiremné bezpečnostné pravidlá, vrátane povinnej obmeny hesiel v konkrétnom časovom intervale
  • Používajte webový filter, ktorý automaticky zablokuje podozrivé stránky
  • Šifrujte všetky citlivé informácie
  • Konvertujte HTML emaily na textové, alebo zablokujte možnosť používať HTML emaily
  • Vyžadujte povinné šifrovanie komunikácie so zamestnancami, pracujúcimi na diaľku

(mk)