Otázka informační bezpečnosti je v posledních letech snad tou nejvíce diskutovanou otázkou v oblasti IT. I přes rozšiřující se povědomí a pokročilé bezpečnostní nástroje přitom bezpečnostních incidentů rok od roku přibývá. Je to díky tomu, že prostředí i typy hrozeb se neustále mění. Na co byste si tedy měli dát pozor v letošním roce?

Sociální sítě
Hrozbou číslo jedna jsou sociální sítě. Varuje před nimi Evropská komise i prezident Obama, ti ale varují především občany coby běžné uživatele. Sociální sítě však mohoubýt bezpečnostní hrozbou i pro úřady a firmy. Zejména v posledních měsících se totiž množí nejrůznější podvodné skupiny, které v sobě skrývají, mimo jiné, i vnitřní odkazy na zavirované webové stránky. To se týká zejména u nás nyní velice populárního Facebooku. Navíc právě Facebook přímo vybízí k tomu, aby úředník či zaměstnanec napsal do svého tzv. statusu nějakou informaci, která je ryze interního charakteru, ale momentálně ho prostě trápí. Facebook, ale i některé další sociální sítě, tak představují pro úřady i firmy rostoucí bezpečnostní riziko a jako takové by měly být pro přístup z firemní sítě pokud možno blokovány. Firma či úřad tím navíc nesrovnatelně zvýší produktivitu práce zejména některých svých zaměstnanců.?

Slabá hesla obstojí hůř než loni
Bezpečnostním evergreenem jsou slabá hesla obsahující v tom nejhorším případě běžně používané slovo, jehož prolomení s využitím automatizovaných nástrojů obnáší jen několik jednotek sekund práce. Proti slabým heslům lze bojovat přitom hned několika způsoby. Jedním z nich je single-sign-on neboli zavedení jen jediného přihlášení – obvykle k počítači – s tím, že přihlášení do všech ostatních aplikací a informačních systémů již probíhá automaticky bez nutnosti asistence uživatele. Díky takovému systému přitom stačí,aby si uživatel pamatoval jen jedno jediné bezpečné heslo. Druhým, taktéž fungujícím přístupem je tvrdé vyžadování bezpečných hesel, tj. požadovat přítomnost aspoň jednoho čísla, aspoň jednoho interpunkčního znaménka a aspoň jednoho malého a velkého písmena – to vše při délce minimálně 8 znaků. V takovém případě je však vhodné dát uživatelům školení o tom, jak si takové heslo vytvořit a zapamatovat, abyste vysoce bezpečná hesla nenacházeli napsaná na papírcích nalepených na monitorech. Návod je přitom extrémně snadný. Pro heslo „Krvv8:30aov9h.“, jehož prolomení by trvalo i s tou nejvýkonnější technikou dneška desítky let stačí použít mnemotechnickou pomůcku: „Každé ráno vstávám v 8:30 a odcházím v 9 hodin.“

Cílené útoky hackerů
V České republice se v posledních měsících také rozmáhají cílené útoky hackerů. Ti útočí buď na objednávku, anebo čistě pro zábavu. Největším rizikům přitom čelí internetové stránky a aplikace. U nich se útočnícisnaží nalézt některou ze známých skulin a využít ji pro umístění vlastního textu na webové stránky. Tyto útoky přitom nejsou až tak rizikové jako další typ útoků zacílený již na konkrétní servery (např. Poštovní) a počítače uvnitř úřadů a firem. Hackeři přitom v těchto případech často využívají známých bezpečnostních děr v aplikacích a internetových prohlížečích i faktu, že firmy a úřady často neaktualizují své systémy. Jako základní ochrana přitom poslouží pravidelné stahování a instalace všech bezpečnostních záplat, využívání aktuálních verzí zejména internetových prohlížečů (například využívání Microsoft Internet Exploreru 6.0 je v současné době, kdy považováno za extrémní riziko i samotným Microsoftem). Dalším stupněm ochrany jsou pak samozřejmě antivirové a antispywarové program a IDS/IPS systémy neboli systémy pro detekci a prevenci před proniknutím do interních systémů firmy.

Spam a phishing v češtině
V roce 2010 také vzrostou v České republicerizika související se spamem a phishingovými útoky. Spam neboli nevyžádaná pošta se totiž začíná čím dál tím více lokalizovat. Zatímco dříve byly tyto zprávy psány téměř výlučně anglicky a obsahovaly povětšinou slova jako Viagra či Cialis, tak loňský i letošní rok už je ve znamení podstatně sofistikovanějších útoků. Vedle e-mailů přeložených automatickými překladači se totiž objevují i e-maily psané plynulou a správnou češtinou. Ty pak obsahují v přílohách škodlivý software anebo odkazují na infikované stránky. Samostatnou kapitolou je pak phishing neboli podvržení webových stránek, u kterého lze předpokládat, že by se mohl zaměřit zejména na datové schránky. Už v roce 2009 se totiž objevily stránky napodobující svými názvy a vzhledem oficiální web Datových schránek, které lákaly z uživatelů jejich přihlašovací údaje. Phishing se přitom může odehrávat jak s využitím podvržené e-mailové zprávy s odkazem na podvržený web a upozorněním například na nutnost změny přihlašovacích údajů, tak s využitím překlepů či podobných slov v názvu domény. Obranou proti spamu a phishingu přitom může být jak antivirové řešení, tak ostražitost na straně koncového uživatele. Ten by měl vždy kontrolovat, zda souhlasí adresa zadaná v prohlížeči s tou adresou, na kterou chtěl skutečně přistupovat, aměl by dbát zvýšené pozornosti v případě, kdy na dané stránce dojde k jakékoliv náhlé či nezvyklé změně.

Bezpečnostní hrozbou číslo jedna zůstává uživatel
Informační bezpečnost tedy bude důležitý tématem i v roce 2010. A i v letošním roce způsobí bezpečnostní incidenty českým firmám a úřadům škody v řádu desítek až stovek milionů korun. I při využití těch nejnovějších bezpečnostních nástrojů a opatření je ale nutné uvědomit si ten nejzásadnější fakt při řešení informační bezpečnosti – největší hrozbou je sám uživatel. Ten by tak měl mít přístup jen tam, kam nezbytně potřebuje, a měl by být pravidelně proškolován a informován o aktuálních bezpečnostních hrozbách.

Autor: Martin Zikmund