7 největších rizik, která ohrožují firemní počítače po návratu zaměstnanců z home officu?

S větším rozvolňováním protiepidemických opatření a návratem lidí zpátky do kanceláří je dobré připomenout rizika ohrožující bezpečnost podnikových zařízení a počítačových sítí.

„Ačkoli jde o stále opakované chyby, před nimiž pravidelně varují počítačoví odborníci, lidé jsou nepoučitelní a ve snaze zjednodušit si práci často vážně ohrožují firemní systémy a data,“ varuje Josef Havel, senior security analyst z IT společnosti Integra Czech Republic.

Vybrali jsme sedm největších přestupků kybernetické bezpečnosti a seřadili jsme je podle závažnosti. Přehledná tabulka nabízí nejen vysvětlení, co nám hrozí nedodržením opatření ‒ ale i pohled na nejčastější motivy lidské neukázněnosti: často jde totiž o zdánlivou maličkost.

Počítačový expert Josef Havel výslovně varuje před používáním online služeb, za které nemusíte platit. „Když někdo nabízí službu ‚zdarma‘, většinou se snaží i tak na ní nějak vydělat. Měli bychom přemýšlet, jestli neplatíme svými daty nebo bezpečností,“ upozorňuje.

Co nesmímeCo by se mohlo státA proč to lidé dělají?
1používat firemní zařízení k soukromým účelůmSoukromé aktivity mohou ohrozit uložená firemní data. Často otevíráme různé „funny“ přílohy, navštěvujeme odkazy, které nám poslali kamarádi. Chceme spouštět i nefiremní SW, který používáme. A tak si můžeme do počítače zanést trojského koně, který bude posílat např. naše firemní data konkurenci.Lidé často řeší soukromé věci i v průběhu pracovního dne. Musíme přece reagovat ihned kamarádům na zaslaný vtip, situaci, nasdílet fotky z víkendu, protože jsme to večer doma nestihli…
2pracovat s firemními daty a systémy na soukromých počítačích (zejména CRM, email)Bezpečnosti soukromých zařízení (počítačů, mobiů, tabletů…) není prakticky nikdy věnována taková pozornost, jako firemním zařízením. Mohou být napadeny malwarem a odesílat data útočníkům, sbírat hesla, která zadáváme atd.Večer chceme doma něco pracovního dodělat, ale nechce se nám vytahovat z batohu notebook, když máme na stole svůj domácí počítač. Často lepší než firemní. Je pohodlnější mít vše v jednom zařízení. Na soukromém počítači ale většinou zůstanou firemní data i po odchodu zaměstnance z firmy.
3sdělovat naše přihlašovací údaje (zejména heslo) do firemních zařízení a systémů jiné osobě ve firmě i mimo niVše, co děláme po přihlášení do počítače nebo informačního systému, za to jsme zodpovědní. Přihlášením řekneme systému, že s ním pracujeme my. Nechceme přeci, aby někdo cizí posílal zprávy z našeho emailu a poškozoval nás tak.Potřebujeme něco od kolegyně z počítače nebo mailu, která je zrovna pryč. Zavoláme jí a ona nám řekne svoje heslo, abychom si potřebné mohli stáhnout. Když stejné heslo používá i jinde, dostaneme se i tam (soukromý mail, sociální sítě atp.).
4používat stejná hesla do firemních systémů, která používáme do aplikací mimo firmuČasto používáme stejná hesla na více místech. Hesla vkládáme do různých eshopů, aplikací apod. Heslo je sice schováno za hvězdičkami, ale to je jen proto, aby vedle nás stojící naše heslo neviděl. Na server se vždy odesílá tak, jak ho napíšeme. Není žádný problém pro provozovatele aplikací hesla sbírat a ukládat si je. Pokud máme stejné heslo i do jiných systémů, pro takového sběrače hesel pak není problém se přihlásit třeba i do našeho emailu.Je pohodlné používat a pamatovat si pouze jedno heslo, které používáme všude.
5vkládat nefiremní USB periferie (zejména flashdisky, přenosné pevné disky apod.) do firemních zařízeníNa flashce nebo přenosném disku nemusí být jen škodlivý software, který z něj můžeme ručně spustit. Taková záškodnická flashka se může zároveň chovat i jako klávesnice a záškodnický SW se může spustit sám, aniž bychom si něčeho všiml. Snadno pak může odeslat všechna naše hesla nebo data útočníkovi.Často ze zvědavosti lidé strčí do počítače flash disk, který se někde válí nebo ho našli. Pokud je na něm např. i soubor, který se jmenuje „odměny_zaměstnancům.xls“, rádi soubor otevřou i s útočným kódem hackera.
6instalovat a spouštět jakýkoliv software na firemních zařízeních, který nebyl oficiálně nainstalován a schválen vedením a IT oddělenímKaždý software, který na počítači nebo telefonu spouštíme, má vliv na práci a stabilitu systému. Software, který spouštíme, musí být důvěryhodný a nesmí odesílat z našeho systému jakékoliv informace. Navíc jednotnost používaného SW zjednodušuje i správu našich zařízení. Pokud máme s počítačem nějaký problém, kontaktujeme podporu, která díky tomu ví, co v systému je nainstalováno a jak je to nastaveno, takže dokáže problém rychleji a lépe vyřešit. Čím máme v počítači méně aplikací, tím rychleji systém pracuje a my se můžeme soustředit na to podstatné.Jsme zvyklí používat doma program, který známe a usnadní nám práci. Neřešíme, že ho firma nemá koupený, stáhneme si crack (často obsahující malware).
7používat neschválené služby 3. stran (freemaily, cloudy…)Pokud data nahráváme a zapisujeme do aplikací třetích stran,většinou nevíme, kdo má k datům přístup, kde jsou uložena, jak jsou zabezpečena a jaké podmínky jsme používáním aplikace odsouhlasili. Zvlášť nebezpečné je používání různých online konvertorů formátu pdf -> docx, jpg -> pdf apod., kde vůbec nevíme, kdo si naše dokumenty ukládá a prohlíží.Potřebujeme s kolegou pracovat na jednom dokumentu, ale nemáme k tomu žádný firemní SW, který to umí. Jednoduše nahrajeme data na svůj soukromý Google účet a pracujeme s nimi tam.

 

 

Autor článku

David Pícha

David Pícha

David je u nás zodpovědný za oddělení kybernetické bezpečnosti. Ve volném čase byste ho našli na fotbalovém hřišti, v indické restauraci nebo u grafu akcií a kryptoměn.

Request for sample report of test results

Žadost o vzorovou zprávu výsledků z testu