Newsletter

Dostávejte to nejzajímavější ze světa veřejné správy i v našich newsletterech.

* Kliknutím na „Odebírat“ souhlasíte s našimi zásadami o Ochraně osobních údajů a zasíláním pravidelných newsletterů. Odhlásit se můžete kdykoliv.

IT

Samospráva a IT: Bezpečnostním rizikem je práce na dálku i nedostatek odborníků

Řada institucí byla v posledních měsících terčem kybernetických útoků, samosprávu nevyjímaje. Jaké jsou nejčastější prohřešky a co můžeme udělat proto, abychom rizika negativních dopadů minimalizovali?
Spolu s experty ze společnosti ESET jsme pro vás shrnuli nejběžnější nedostatky a také doporučení, jak i s omezenými zdroji bezpečnost řešit. Bohužel neplatí, že malých úřadů se rizika netýkají, protože jsou moc malí.
„V praxi se setkávám s tím, že útoky jsou nejčastěji plošné. Setkává se s tím každý. Útočníci rozešlou svůj škodlivý kód e-mailem na tisíce adres a následně se snaží svou činnost nějak monetizovat. Nyní zpravidla odcizením hesel nebo připojením infikovaného počítače do botnetu. Podobně se útočí na služby vystavené do internetu. Kyberzločinci cílí automaticky na vše, co je dostupné a až poté, kdy je prvotní obrana prolomena, zjišťují, k jakým sítím, potažmo datům, získali přístup. Cílené útoky jsou méně časté, ale i s nimi se setkáváme,“ vysvětluje Václav Zubr, bezpečnostní expert firmy ESET.

Chybí především zkušení odborníci

Bezpečnostních expertů je na pracovním trhu nedostatek a zároveň je mnohdy velice obtížné je adekvátně mzdově ohodnotit. V důsledku proto chybí především odborní zaměstnanci, nebo jich pracuje v úřadech málo, mají příliš širokou pracovní náplň a na bezpečnost jim tak zbývá málo času.
„Mnoho úřadů, se kterými jsem spolupracoval, řadu systémů outsourcovalo  a vydali se cestou software-as-a-service. To může být skutečně velmi efektivní cesta zejména pro menší subjekty. V takovém případě by si lokální IT mělo nechat vždy zpracovávat adekvátní dokumentaci a hrát roli jakéhosi IT koordinátora.  Tento model je rozšířený zejména v zahraničí, řeší ostatně také personální problémy,“ dodává Zubr.
Na bezpečnost systémů je dobré pohlížet komplexně a už během výběrových řízení přesně vědět, jak do sebe budou jednotlivé prvky zapadat. Pomocnou ruku mohou podat specializované úřady jako je NÚKIB nebo dodavatelé bezpečnostních programů a dalších služeb.

Data je potřeba před útočníky schovat

Situace okolo koronaviru urychlila přesun zaměstnanců z kanceláří do domácností. Tím ale vznikl bezpečnostní problém, jak narychlo zpřístupnit citlivá data firem či úřadů pro práci na dálku.
Práce státních zaměstnanců na home office je možná díky cloudovým službám, vypublikování části systémů do internetu nebo využití VPN pro připojení zaměstnanců do interní sítě. A právě na všechny tyto vektory útoku se začali útočníci zaměřovat.
„Útočníci si dobře všimli, že nejen firmy využívají podobné technologie čím dál častěji,“ potvrzuje Zubr. „V minulém roce jsme jen v Česku detekovali miliony pokusů o prolomení RDP často využívaného pro práci na dálku. Úspěšné útoky končily ve většině případů zašifrováním dat. Takový incident je velice drahý, a pokud nemá dotčená instituce opravdu dobré zálohy, tak je velmi složité jej napravit.“
Odborníci doporučují pro připojení k veškerým sítím, ve kterých jsou uložená data občanů, využívat takzvanou VPN, neboli virtuální privátní síť. Jde o technologii, která šifruje komunikaci mezi konkrétním počítačem a sítí s důležitými daty nebo systémy.
„VPN by měla být standardem, bohužel není ani v soukromém sektoru, kde ji využívá sotva polovina firem. Důvodem bývá často obava z dalších investic, údržby ale také to, aby nová technologie úředníky nezdržovala,“ vyjmenovává Zubr. „Tyto obavy jsou zbytečné. Používání je rychlé a pohodlné. Rozhodně nejde ani o drahou novinku.“
Dodává, že přihlášení k VPN je vhodné doplnit o dvoufaktorové ověření. Běžným typem útoku totiž je prolamování přístupových hesel. Pokud útočník heslo prolomí, zabrání nelegitimní autentizaci druhý faktor přihlášení – zpravidla SMS kód nebo potvrzení v mobilní aplikaci. Veřejnost tento postup zná běžně z finančních online služeb.

Bezpečná zařízení dělají bezpečný úřad

Zajištění bezpečného přístupu má jeden zásadní limit – a tím je samotné zařízení. Experti varují, že pokud je počítač či chytrý telefon zaměstnance infikovaný, mohou data utíkat přímo z něj, i když ostatní zranitelné části sítě jsou dobře chráněné.
Řešením je nepodceňovat ochranu všech koncových bodů – hlavně zařízeních připojených k internetu. Důležité je myslet i na ochranu chytrých telefonů. Především v případech, kdy se přes ně lze dostat k citlivým datům úřadu. Zcela zásadní je využívat v nich bezpečnostní program, pravidelně je aktualizovat a mít nastavený takzvaný zámek obrazovky.
„Doporučil bych vybrat si spolehlivého výrobce bezpečnostních produktů, který nabízí i další nadstandardní služby. Základem by mělo být technické školení na zakoupený produkt a možnost odborné konzultace případných problémů nebo bezpečnostních incidentů. Úřady mohou zvolit také částečný outsourcing vybraného produktu a kontinuální dohled nechat na partnerovi nebo rovnou prodejci bezpečnostního řešení. Každý větší úřad by měl také zvážit provedení externího bezpečnostního auditu,“ uzavírá Zubr.
www.eset.com

Štítky
Nejčtenější kategorie
Chytré město
434
Energetika
492
IT
354
Dotace a Finance
1343
Odpady
246

Nezmeškejte žádné informace!

Přihlaste se k odběru newsletteru a buďte stále v obraze