Svatá trojice zabezpečení
Co považuji za základ bezpečnosti při práci s výpočetní technikou a často se s tím ve firmách nesetkávám? Dvoufaktorové ověřování, šifrování disku a absence administrátorských oprávnění. Aplikování této „trojky“ je z mého pohledu nezbytné minimum, aby člověk mohl klidně spát a klidně pracovat. A toto budiž ve stejné míře aplikováno jak na Windows počítače, tak na macOS stanice. Prozatím nechávám mimo svět mobilních zařízení (kapitola sama pro sebe) a Linux, v obecné rovině ale platí ta samá pravidla.
Real-world příklady:
Dvoufaktorové / vícefaktorové zabezpečení účtu
Nemít aktivní dvoufaktor/vícefaktor znamená, že útočníkovi stačí pro přístup k Vašemu emailu, OneDrive, Teams, SharePoint a jakýmkoliv jiným online službám navázaným na Vaši emailovou adresu znalost pouze hesla. Váš email je obecně známý údaj. Bývá uveden na webu, v komunikaci, vytištěný na dokumentech… Ten je prostě znám. A heslo, pokud není v dnešní době alespoň 12 znaků dlouhé a tvořeno náhodnými znaky, není zase tak složité v běžném provozu prolomit. A nejčastější heslo z provozu? Jméno dítěte a datum narození uživatele, nebo právě toho dítěte. Na prolomení takového hesla není třeba žádný počítačový výkon. A doplňující noticka, IT svět hledá aktivně cesty, jak se hesel jednou provždy zbavit úplně – hesla jsou považována za nejslabší část v řetězci zabezpečení.
Šifrování disku
Další oblastí „svaté trojice“ je šifrování disku. BitLocker ve světě Windows, FileVault ve světě macOS. Nemáte zašifrovaný disk a někdo Vám odcizí laptop? Plný přístup k datům! Vše co jste měli na počítači je nyní potenciálně k dispozici někomu jinému a není na to potřeba téměř žádná technika. Heslo do operačního systému? Za 30 sekund není. Data umně skryta v rámci disku? Vše plně k dispozici k nahlédnutí. Šifrujte, šifrujte, ŠIFRUJTE. Že Vám někdo ukradnul počítač ještě neznamená, že se jedná o útok na data. Ale šifrování je služba obecně dostupná a je škoda ji nemít aktivní. A platí to i pro desktop počítače. Kolik vykradených kanceláří jsem již zažil. Situace je to nepříjemná, ale ten pocit, že se útok omezí pouze na cenu hardware, ten je k nezaplacení. Důležitá zmínka, obnovovací klíče! Je třeba přesně vědět, kde je máte. Pokud se ztratí, je to jako byste byli bez dat. Respektive údajně americká NSA má k těmto šifrovacím službám zadní vrátka, ale tam zatím nemám interní kontakt 😊.
Administrátorská oprávnění na pracovní stanici
A poslední bod – admin práva na počítači. Je to proces. Sám jsem dříve vynakládal nemalé úsilí na svých působištích disponovat administrátorským oprávněním na své stanici. „Jsem přece admin, měl bych mít co možná největší oprávnění dělat změny.“ Do prvního cíleného útoku. Je to přece admin, bude mít oprávnění dělat systémové změny. Nemilá zkušenost. Stejně nepěkná, jako když uživatel kliknul na odkaz v emailu a bylo hotovo. Uživatel s lokálními admin právy, samozřejmě. Žádné kliknutí na okno při instalaci, žádné upozornění ESETem (jinak top strop antivirový program), rovnou plné ovládání počítače útočníkem a zašifrování dat jak na počítači uživatele, tak na síťových discích firmy. A klasické „pošlete 3 Bitcoiny na tuto adresu a (možná) vám data odšifrujeme“ – ransomware útok jako z učebnice. A můžeme volat na policii, můžeme posílat kryptoměny na všechny strany světa, můžeme provádět čistky systémů a nasazování záloh, ale musíte mi věřit. Je to, jako když Vám někdo vnikne do domu a Vy jen postupně nacházíte, kde bylo co ještě zcizeno, přeskládáno a znesvěceno.
A tedy dvoufaktor všude, kde to jde. Šifrování dat všude, kde to jde. A admin práva nikde, kde být nezbytně nemusí.