Odborné články banner

Odborné články

Šírime povedomie o informačnej bezpečnosti

Achillova päta

PETER DEKÝŠ, CISA, CISM, ČLÁNOK UVEREJNENÝ V ČASOPISE FORBES, SEPTEMBER 2013


“ahoj drahý...Mám nahrané niektoré súbory pre vaše prezeranie... nasledovat tento odkaz zobrazíte kliknutím sem. vdaka”, hovorí e-mail zasielaný do mojej schránky. Slabá gramatika autora a webová  linka ukazuje na nedôveryhodné miesto. Je to lacný phishing, na ktorý netreba reagovať. Verím, že tak nereagujú aj ďalší. Žiaľ z práve ukončeného zákazníckeho auditu dostávam trpký sumár: “Dve z dvoch podvodných žiadostí testerov o prístup ku kontám zákazníkov na predajnom portáli boli vybavené kladne. Testeri získali prístup k aktívnym účtom zákazníkov. Deviati z desiatich zamestnancov spustili aplikáciu zaslanú v e-maile a umožnili testerovi vzdialený prístup na svoj počítač. So získaným prístupom útočník skopíruje dokumenty uložené na počítači, získa prístup k dostupným údajom na sieťových úložiskách, ... . 19 z 20 zamestnancov, ktorým bol zaslaný phishingový e-mail, kliklo na podhodenú linku. Neopatrné kliknutie na linku v e-maile môže otvoriť komunikačný kanál do internej siete, útočník môže pracovnú stanicu infikovať, prevziať nad ňou kontrolu, … .”

Ako sa vysporiadať so zlými výsledkami? Na začiatok najlepšie pomôžu výsledky testovania z vlastného prostredia a zlepšenie povedomia o hrozbách a dôsledkoch nesprávneho konania. Výsledky z testovania sú dlhodobou témou firemných kávičiek, ak sa rozhodnete ich interne prezentovať zamestnancom. Pri budovaní povedomia je dobré poučiť zamestnancov o nástrahách v internete, pri práci s e-mailami alebo webmi, ale aj pri používaní smartfónov a o tom ako sa správať zodpovedne. Je dobré nezabudnúť aj na sociálne siete či domáce počítače, z ktorých sa pristupuje k firemným e-mailom alebo aplikáciám.

Ak vás napadá otázka, či správanie zamestnancov môže byť Achillova päta vášho podnikania, potom zvážte, ako chránite zákaznícke osobné údaje, dáta o vašom podnikaní, či dobré meno firmy. Premyslite si, či ste si ich ochranu niekedy preverili a koľko vás môže stáť ich zverejnenie alebo poškodenie.

 

Peter Dekýš, CISA, CISM
autor pracuje ako konzultant bezpečnosti IS a riaditeľ ESET Services, spoločnosti ESET, spol. s r.o.