Čo je
Bezpečnostné odporúčania: Siete a komunikácia / spolupráca
Tretí diel série bezpečnostných odporúčaní sme rozdelili na dve časti – prvá sa zaoberá správaním pri vzdialenom pripojení k vášmu kontu (z miesta mimo priestorov organizácie). Druhá časť je zameraná na správanie počas spolupráce, najmä pri práci s citlivými údajmi.
Sieť – vzdialené pripojenie
Prečo by sme mali riešiť problémy kybernetickej bezpečnosti v rámci vzdialeného pripojenia?
Každý deň pristupujeme prostredníctvom siete k rôznym službám a zariadeniam, preto je dôležité, aby sme mali poriadne zabezpečené sieťové prepojenia a správne nastavené prístupové práva. V opačnom prípade sa môže stať, že nám uniknú citlivé informácie (napr. v dôsledku odpočúvania).
Čo robiť:
1. Používajte zabezpečené vzdialené relácie.
- SSH namiesto Telnetu.
- Používajte šifrovanú komunikáciu, napríklad prostredníctvom protokolov SCP/SFTP/FTPS namiesto FTP/TFTP.
2. Využívajte zabezpečené vzdialené prihlásenie.
- Uprednostnite prihlasovanie prostredníctvom súkromných prístupových kľúčov namiesto hesiel. Dávajte pozor na to, aby boli bezpečne uložené a nikomu ich nedávajte (pokiaľ na to nie je dobrý dôvod, napr. zdieľaný vzdialený účet).
- Zvážte využívanie prístupového zoznamu IP na zvýšenie bezpečnosti (zoznamy zakázaných a/alebo povolených IP adries).
- Odporúča sa tiež pripájať počítač alebo laptop cez Ethernet kábel namiesto bezdrôtovej siete.
- Ak používate verejnú sieť Wi-Fi, dôrazne sa odporúča zapnúť dôveryhodnú službu VPN.
4. Na firemnom zdieľanom úložisku nastavte vhodné prístupové práva k svojim súborom.
- Dôležité je tiež oboznámiť sa s infraštruktúrou spoločnosti, jej primárnym účelom a s tým, kde by mali byť uložené určité typy informácií.
Komunikácia / Spolupráca
Aj keď nás podnikové prostredie chráni pred mnohými hrozbami, jednotliví pracovníci majú rozdielne prístupové práva k súborom. Okrem toho sa často stáva, že k firemným informáciám majú prístup aj osoby mimo spoločnosti, napríklad projektoví partneri. Zoznam nižšie uvádza aj niektoré príklady chýb známych spoločností, ktoré spôsobili vážne problémy.
Je potrebné, aby sme boli opatrní aj vo firemnom prostredí?
Každý z nás pracuje s dôvernými informáciami a ich ochrana je veľmi dôležitá. Je mnoho spôsobov, ako môže útočník získať prístup k citlivým informáciám. Ohroziť ich môžu neúmyselne aj zamestnanci.
Čo robiť:
1. Dávajte si pozor pri zdieľaní svojho nepublikovaného výskumu.
- Môže sa stať, že nevedomky zazdieľate veľa dôverných informácií (viac sa môžete dozvedieť od 20. minúty v prelinkovanom podcaste).
2. Pozorne si prečítajte všetky informácie, ktoré obdržíte cez email a dobre si rozmyslite, či kliknete na pripojený link (aby ste sa ochránili pred phishingom).
- Návrhy – na granty, publikácie a iné typy výskumnej spolupráce.
- Vyhľadajte si inštitúciu a osobu, ktorá vás kontaktovala. Taktiež si overte, či odkaz smeruje na správnu doménu (napr. prechodom myšou cez link).
3. Zdieľajte dokumenty v kolaboratívnom firemnom prostredí.
- Vždy posielajte odkazy na cloudovú infraštruktúru spoločnosti (napr. Google Drive alebo SharePoint).
- Vyhnite sa posielaniu príloh (súborov) prostredníctvom emailu, chatu alebo iných komunikačných služieb.
- Týmto spôsobom môžu k údajom pristupovať len oprávnení pracovníci. Počet oprávnených osôb možno kedykoľvek zmeniť.
- Keď odošlete súbor ako prílohu, zvyčajne stratíte kontrolu nad prístupom k súboru. V chatovej miestnosti, kde nemajú osoby nastavené prístupové práva k súborom, môže nastať situácia, že niekto pridá nového člena a ten získa prístup k vášmu súboru. Môže sa tiež stať, že pri odosielaní emailu uvediete nesprávnu adresu (napr. v dôsledku automatického dopĺňania).
4. Dbajte na ochranu zdieľaných dokumentov.
- Ak zdieľate projektové výsledky s partnerom projektu, nastavte pravidlá pre jeho účet alebo udržujte zoznam zdieľaných dokumentov. Takto zabránite úniku údajov zo systému v prípade, že ich zamestnanec odíde zo spoločnosti.
- Pri zdieľaní dokumentov na osobné účty projektových partnerov im nezabudnite po skončení spolupráce odobrať prístupové práva.
5. Nezdieľajte informácie o spoločnosti, ktoré nie sú zverejnené alebo schválené na zverejnenie.
- Patrí sem všetko, čo nie je zverejnené na webe alebo sociálnych sieťach, napr. chránené know-how z interných stretnutí a interné dokumenty.
- Pamätajte na to, že vaša organizácia pravdepodobne má nejaký druh NDA a radšej sa vyhýbajte uvádzaniu presných údajov.
- V prípade pochybností sa spýtajte svojho nadriadeného, či sú vybrané informácie vhodné na zverejnenie.
- Únik informácií by mohol dostať spoločnosť a partnerov projektu do vážnych problémov – napríklad poškodením reputácie spoločnosti, spôsobením finančnej ujmy alebo porušením zmluvy s partnermi (napr. kvôli uniknutým informáciám z interných stretnutí alebo interným dokumentom).