Každá instituce by měla dodržovat bezpečnostní pravidla své počítačové infrastruktury počínaje zabezpečením serverů a konče dostatečně silným heslem k počítači u všech svých zaměstnanců. Jenže kdo by měl tyto standardy alespoň obecně nastavit?
Reagujte na nesmysly a hoaxy na Facebooku, radí NÚKIB nejen úřadům
V případě českého státu a jeho institucí se nabízí především Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) a jeho složky – třeba Národní centrum kybernetické bezpečnosti (NCKB), které jen letos vydalo několik nových doporučení.
NCKB vydává zpravidla několik doporučení ročně
K těm odvážnějším patřil třeba červnový postup, jak by měly státní instituce komunikovat s veřejností. NCKB tehdy úřady vybízelo například k tomu, aby se, pokud se jich to týká, zapojily do vysvětlování nejrůznějších dezinformací a hoaxů na sociálních sítích.
Zkopírují karty a vloupají se do firmy. Jak vypadá extrémní bezpečnostní analýza
Jak totiž praví klasik, mnohé konflikty zítřka se uskuteční bez jediného výstřelu, neboť žijeme v informačním věku a protivníka je možné rozložit i zevnitř třeba právě skrze masivní šíření dezinformací a ovlivňováním veřejného mínění.
Na konferenci CyberCon, kterou NÚKIB pořádá každý podzim v Brně, se už tradičně objevují citace vrchního velitele ozbrojených sil (CyberCon 2018)
Expertem je na to třeba Rusko, které s využitím nových zbraní hybridní války inovovalo svoji strategickou doktrínu už v roce 2013.
Předpokladem každé úspěšné hybridní války je přitom to, že protivník ani neví, že probíhá, a tak nemůže dost přesvědčivě ukázat na konkrétního agresora a sjednotit v obraně vlastní společnost.
NÚKIB radí správcům počítačových sítí, jak zabezpečit svoji instituci
Naprostým základem bezpečnosti každého vyspělého státu je ale onen zabezpečený počítač z úvodu článku – ať už to bude pracovní stanice ministra, anebo hučící server kdesi na poště. Pojďme se tedy podívat na poslední doporučení NCKB, které úřad publikoval krátce před začátkem letních prázdnin.
Český CyberCon 2018: Kybernetická gramotnost je tragická. Jsme roky pozadu
Pod relativně strohým názvem Bezpečnostní doporučení NÚKIB pro administrátory 3.0 (PDF) se skrývá seznam všech obvyklých pouček, které by měly být v roce 2019 v kritické infrastruktuře státu naprostou samozřejmostí.
Karta, kterou si můžete stáhnout a vytisknout, je rozdělená na tři části:
- Infrastruktura,
- Stanice & servery,
- Uživatelé,
takže pokrývá kompletní vertikální počítačovou bezpečnost nějakého modelového úřadu, ale konec konců jakékoliv instituce – třeba i větší firmy, v jejímž open-spacu právě sedíte. Doporučení státních bezpečnostních expertů tedy můžete porovnat s vlastní realitou.
V další kapitole si ve vybraných bodech vypíšeme, jak doporučuje NÚKIB zabezpečit síťovou infrastrukturu, čili první z pilířů kybernetické bezpečnosti v naší instituci.
Infrastruktura
Podívejme se nejprve na infrastrukturu. NÚKIB například doporučuje:
Členit počítačovou síť na menší celky a jasně oddělit kritické části od zbytku. K čemu je to dobré? Pokud útočník pronikne do jedné zóny, třeba zvenčí do podnikové Wi-Fi, nesmí se dostat dál! Nesmí prolomením jediné brány dobýt celý hrad.
Útočník pronikl do Wi-Fi sítě instituce zvenčí pomocí výkonné směrové antény. Pokud ale bude WLAN izolovaná od kritických částí sítě, nedostane se snad k ničemu důležitému.
Sledovat a uchovávat síťový provoz pomocí pokročilých technologií. Tím samozřejmě NÚKIB nemyslí to, že vám bude síťový správce Ing. Břicháček po večerech číst poštu a za zády kontrolovat, co vyťukáváte do prohlížeče. Budou to za něj provádět chytré programy na serverech, které budou samy analyzovat a detekovat hrozby v síti a pomocí heuristiky, strojového učení a dalších přístupů hlásit abnormální chování.
Stručně řečeno, pokud počítač referentky Bc. Křečkové odešle ve tři ráno 4 678 TCP/IP požadavků kamsi do Malajsie, u Ing. Břicháčka se rozbliká pomyslný červený majáček. Podobné pokročilé technologie dnes vyvíjí i české firmy. Třeba brněnský Greycortex, anebo Avast.
Pokročilá analýza pohybů v síti od Greycortexu
Nasadit anti-DDOS technologie, aby se weby úřadu nezhroutily jen proto, že na ně zaútočil kdejaký botnet z východu.
Nasadit aplikační firewall a šifrované spojení mezi poštovními servery, aby mohly s internetem komunikovat jen ty aplikace, u kterých to chcete, a aby jediný e-mail neopustil šifrovaný tunel. Byť by to byl třeba jen jídelní lístek z kantýny v přízemí.
Šifrovat, šifrovat, šifrovat a ještě jednou šifrovat. Bez komentáře.
Vypracovat tzv. Disaster Recovery Plan, když přece jen dojde k nejhoršímu, abyste věděli, komu máte zatelefonovat a jak postupovat, aby byla obnova co nejrychlejší a škody nejmenší. Nikdo si přece nepřeje, aby podobný útok odstavil třeba daňovou správu na příští půlrok, viďte.
Základní síťovou infrastrukturu bychom tedy měli, ale ještě je třeba zabezpečit samotné servery a pracovní stanice. Co doporučuje NÚKIB? To se dočtete v další kapitole.
Stanice & servery
Tak, síťovou infrastrukturu bychom měli zabezpečenou, ale pak tu máme i ty bílé a černé krabice: servery a pracovní stanice. Co s nimi? V tomto případě NÚKIB mimo jiné doporučuje:
Udržovat aktuální operační systém. Ne, Windows XP na úřední počítač financovaný z našich daní opravdu nepatří. Ne, nepatří. Ne, ani kdyby se jednalo o mašinu, která přece není připojená k síti. Ne, ne, ne a ještě jednou ne. Nikdy!
Starý počítač s Windows XP na jednom z českých výzkumných zdravotnických pracovišť. Není náhodou, že ransomwarová kampaň WannaCry před lety zasáhla právě podobné instituce třeba ve Velké Británii. Nedávno se s malwarem potýkala i česká nemocnice.
Udržovat aktuální software. Viz výše. Stejný princip, stejný problém.
Zajistit fyzickou bezpečnost IT techniky třeba přelepkami a plombami, které budou garantovat, že do počítače bez vašeho vědomi nikdo nezasáhl a že si Mgr. Preclík z personálního nevložil do pracovní stanice bez vašeho vědomí to své SSD se zlatou edicí Solitaire staženou z čínského torrentu.
Šifrovat disky a to zejména u přenosných počítačů.
Pokročilejší edice Windows nabízejí vlastní šifrování úložiště BitLocker
Kontrolovat přenosná média, protože přesně tímto způsobem se může dostat malware i na počítače, které nejsou připojené k síti a jsou tak zdánlivě zabezpečené.
Ověřovat identitu aplikací a souborů a povolit jen ty důvěryhodné včetně skriptů a DLL knihoven v případě Windows. Ne, Mgr. Preclík si opravdu nesmí stáhnout tu pochybnou DLL knihovnu z webu SexyDLLsForYourWindows.ng.
Omezovat softwarovou výbavu stanic jen na práci uživatelů. Pokud k výkonu nepotřebují Javu a Flash Player, proč je instalovat?
Používat centralizované systémy logování událostí na stanicích a serverech, takže když dojde k abnormální situaci na stanici referentky Křečkové, informace nezůstane na jejím počítači, ale opravdu se dostane k IT oddělení.
NSA zveřejnila program pro hackery Ghidra. Odhalíme s ním heslo do fiktivní jaderné elektrárny
Zvenčí se přihlašovat výhradně skrze VPN a patřičnou autentizaci.
Používat antivirus, TPM, Secure Boot, heslo do BIOS/UEFI a mnoho dalšího.
Tak, servery a stanice bychom ve zkratce měli, ale co jejich uživatelé? Na jejich zabezpečení se podíváme v poslední kapitole.
Uživatelé
Po infrastruktuře, serverech a pracovních stanicích nám už zbývají pouze uživatelé. Ti zpravidla způsobí nejvíce problémů, takže co s nimi? V tomto případě NÚKIB doporučuje například:
Vynucovat vícefaktorovou autentizaci, protože pokud má dnes tzv. dvoufaktor každá banka, Google, Microsoft, Portál občana a mnozí další, tak by jej měla mít široce implementovaný i státní správa.
Dvoufaktorvé přihlášení: Vedle jména a hesla mi ještě dorazí potvrzovací SMS s kódem.
Zavést centrální správu uživatelských účtů a oprávnění a jednotnou bezpečnostní politiku. Mgr. Křečkovi pochopitelně odeberte všechna práva k PC vyjma používání softwaru nutného k práci.
Oddělit administrátorské účty od běžných, takže síťový správce Ing, Břicháček nebude používat jeden a tentýž účet ke správě a zároveň k běžné práci.
John Rozparovač: Rozlouskneme heslo fiktivního ministerského náměstka
Nepoužívat sdílené účty, takže zapomeňte na praxi, že skupina ajťáků bude používat jeden společný účet brichacek_root ke konfiguraci nějakého systému – třeba poštovního serveru. Pokud jej spravuje více lidí, každý by měl mít také vlastní přístup.
Vynutit používání silných hesel, zamezit v používání slovníkových výrazů, opakovaných hesel a tak dále. Referentka Křečková prostě nemůže stále dokola používat heslo 12345678. Stejně tak ale pamatujte na to, že s rostoucí složitostí hesla hrozí i riziko, že si jej Křečková napíše na kus papírku, přišpendlí na nástěnku a veškerá snaha bude k ničemu.
Pozor, heslo ji32k7au4a83 není ani trochu bezpečné. Teď se tím baví internet
Pravidelně kontrolovat oprávnění, takže když už nějaké ty uživatelské účty vytvoříte, průběžně zjišťujte, jestli u nich bez vašeho vědomí nedošlo ke změně a někdo (nebo něco) nezvýšil privilegia naší referentce Křečkové, která se tak po otevření poštovní přílohy osobnirust.docx proměnila v hlavní administrátorku sítě.
Pokračování článku patří k prémiovému obsahu pro předplatitele
Chci Premium a Živě.cz bez reklam
Od 41 Kč měsíčně