Dvanástoro bezpečného správania

Dvanástoro bezpečného správania

Informačné aktíva. Zdanlivo zložitý výraz, zjednodušene povedané, všetky dáta, ktoré majú pre človeka aktuálnu, potenciálnu alebo historickú hodnotu.

Keďže  zabezpečenie dát prostriedkami informačných technológií, bolo predmetom minulých úvah, týmto článkom nadviažem na Desatoro bezpečného počítača . Nie z pohľadu stroja a jeho zabezpečenia, ale z pohľadu človeka a jeho konania.

Akého správania by sa mal používateľ držať, ak chce nadobudnúť pocit, že spravil všetko pre elimináciu hrozieb, pôsobiacich na jeho informačné aktíva?

 

Základným cieľom nasledujúcich pravidiel je upraviť návyky používateľa a spôsob narábania s informačnými aktívami tak, aby boli minimalizované bezpečnostné riziká. Nie je to vôbec zložitá vec a niektoré z odporúčaní vám možno prídu až smiešne. To je však práve podstata –  vedomé kroky a opatrnosť…

 

Bezpečná manipulácia s autentizačnými prvkami

 

Zásada 1.: Nech je sila (hesla) s vami

Heslá sú najdôležitejším autentizačným prvkom používateľa. Zložitejšie kryptografické autentizačné prostriedky (napríklad certifikáty elektronického podpisu), nie sú bežnou praxou autentizácie v domácom použití IT. Používateľom teda jednoznačne odporúčam, aby sa riadili zásadami tvorby hesiel uvedených v článku Nech vás sila (hesla) sprevádza.

Zásada 2.: Identita nie je na požičiavanie…

Nezávisle od toho, či je počítač používaný na domáce, školské alebo firemné použitie,  je potrebné uchovávať heslá v tajnosti pred inými osobami. Nakoniec, utajenie je predsa hlavnou vlastnosťou a pridanou hodnotou hesla. Je absolútne nevhodné zapisovať si autentizačné údaje do emailu (-alebo iných aplikácii), zapisovať si ich  na papier a ponechať ich na mieste prístupnom inej osobe.

Nie je práve najšťastnejšie , keď používateľ dobrovoľne dovolí iným osobám, aby použili jeho virtuálnu identitu (tzn. prihlasovacie meno, prístupové oprávnenie do systému, certifikát, používateľský profil, používateľské konto, e-mailovú adresu). Nie je to vhodné ani jednorázovo, alebo na krátky čas, pod zámienkou zastupovania, testovania, opravy alebo úpravy systému alebo aplikácie.

Zrejme najdôležitejším odporúčaním v tejto kategórii je, že používateľ zásadne NESMIE vyhovieť akýmkoľvek výzvam neznámych osôb o zaslanie, prezradenie alebo zapožičanie osobných údajov a autentizačných prvkov (napr. hesla, PINu, certifikátu, tokenu, ale aj e-mailovej adresy, adresy bydliska atď.).

Zásada 3.: Ak nie ste doma, zamykajte…

Pri opustení pracoviska na dlhšiu dobu je vhodné naučiť sa úplne rutinným spôsobom „zamknúť“ pracovnú plochu počítača (použitím tzv. „opičieho trojhmatu“, teda kombinácie kláves „Ctrl-Alt-Del“ a následne kliknutím na tlačidlo „Lock Computer“, alebo použitím klávesy „Windows logo“ súčasne v kombinácii s klávesov „L“). Pri dlhodobom opustení počítača by už potom malo byť samozrejmosťou počítač vypnúť, alebo sa z počítača odhlásiť (vykonať logoff).

 

Manipulácia s IT prostriedkami

 

Zásada 4.: Meňte len to, čomu rozumiete…

Je chvályhodné, že informačná gramotnosť národa sa rok za rokom stupňuje. Ale rovnako, ako sa dnes už nepustíte do opravy auta, ktoré má pod kapotou zariadenia, ktoré bez znalosti správnych postupov a bez špeciálnych nástrojov neopraví ani automechanik, ani vy by ste nemali zasahovať do konfigurácie počítača, ak si nie ste plne vedomí toho, čo činíte.

Zásada 5.: Preniesť – a zabudnúť…

Zrejme nie je nutné zdôrazňovať, že ponechávať prenosné zariadenia, (napr. notebook, mobilný telefón), alebo pamäťové médiá bez dozoru (v reštauračných zariadeniach, dopravných prostriedkoch, šatniach, rokovacích miestnostiach a kanceláriách) bez toho, aby mal používateľ prehľad o prípadnej neoprávnenej manipulácii s nimi, môže viesť skôr či neskôr len k tomu, že o ne prídete.

Odporúčanie chrániť prenosné média (napr. externé disky, pamäťové karty a USB „kľúče“) pred stratou je nosením dreva do lesa. Účinnejšie, ako výstraha pred možnou stratou pamäťového média, je naučiť sa, že citlivé údaje na prenosné média jednoducho nepatria. Alebo, ak už, tak v bezpečnej, zašifrovanej forme.

Zásada 6.: „Neviditeľné“ neznamená bezpečnejšie

Zriaďovanie bezdrôtovej siete v ktoromkoľvek z rádiofrekvenčných pásiem (t.j. WiFi, Bluetooth, RFID a iných) je vec veľmi citlivá na zabezpečenie. I drobná chyba v konfigurácii môže sprístupniť vaše informačné aktíva neoprávneným osobám. A medzi nimi sa nájde aj mnoho zlomyseľných ľudí.

Vytvorenie WiFi prístupového bodu, alebo konfigurácia WiFi smerovača nie je vec triviálna. Nie je hanbou požiadať o radu a pomoc kolegu, alebo známeho informatika.

Všeobecná rada: pre WiFi sieť nezabudnite na firewalling, šifrovanie komunikácie a dostatočne odolný autentizačný protokol. To najnevinnejšie, čo sa vám stane, ak tieto pravidlá nedodržíte je, že budete poskytovať internetové pripojenie celej ulici…

Zásada 7.: Šetrite naše lesy

Netlačte nič, čo nepotrebujete skutočne mať v papierovej forme. Zvyšujete tým pravdepodobnosť, že informácia sa dostane do nesprávnych rúk.

Ak vytlačíte nejaký dokument (- vo firmách najmä na spoločnej, zdieľanej sieťovej tlačiarni), vezmite ho odtiaľ ihneď ku sebe. Boli by ste prekvapení, koľko citlivých informácií a osobných údajov zostáva zabudnutých v podávačoch tlačiarní…

Zásada 8: Čistota pol života 

Dodržiavajte zásadu tzv. „čistého stola“. Tento jednoduchý výraz je zapamätateľný a toto opatrenie je veľmi účinné. „Čistý stôl“ znamená, že nie je vhodné voľne ponechávať (na písacích stoloch, na učiteľských katedrách, na stoloch v rokovacích miestnostiach a pracovniach po opustení stoličky) dokumentáciu, ktorá obsahuje citlivé informácie.

Ale  neznamená to, že papier len jednoducho pokrčíte a vyhodíte  do koša vedľa písacieho stola. Existuje totiž mimoriadne efektívna technika útoku na informačné aktíva, tzv. „Dumpster diving“,   čo znamená  prehrabávanie sa v odpadkoch. To, čo máte na stole, alebo v koši na papier,  mnohokrát obsahuje pre útočníka mimoriadne cenné informácie, ktoré môže použiť neskôr aj nepriamo.

Pravidlá komunikácie

 

Zásada 9.: Šifroval už Cézar…

Ak sa už nemôžete vyhnúť tomu, aby ste prostredníctvom sietí prenášali, alebo posielali citlivé informácie, tak sa ich snažte chrániť šifrovaním. Jestvuje niekoľko kvalitných, aj voľne šíriteľných  kryptografických prostriedkov, ktorých prelomenie nie je také jednoduché, ako tvrdia šíritelia konšpiračných teórií.“

Ak sa zdráhate nainštalovať si niektorý z kryptografických nástrojov, dobrou a ľahko zapamätateľnou pomocou je aj vedieť, že už i obyčajné zaheslovanie skomprimovaného balíka (zip, rar) výrazne zníži riziko úniku citlivých údajov.

Zásada 10.: Nepriateľ načúva… 

Uvedomili ste si niekedy, že pri zaujímavom rozhovore s  niekým známym prestávate vnímať okolie? Je síce pravdou že je neslušné počúvať cudzie rozhovory, ale pre zlomyseľných ľudí pravidlá slušnosti  nie sú obmedzujúcim faktorom. Komunikovať o citlivých informáciách na verejných miestach (napr. v reštauráciách, hromadných dopravných prostriedkoch, atď.), alebo pred nezainteresovanými osobami znamená, že tieto osoby si chtiac-nechtiac vypočujú obsah vášho rozhovoru. Ak tento rozhovor obsahuje dôverné informácie, tak ste ich práve týmto spôsobom, aj keď neúmyselne, odtajnili.

Rovnaké pravidlo platí aj pre telefonické hovory. Nesmiete nadobudnúť mylný pocit, že telefonický rozhovor je výhradne dvojstranný. Čo sa nemá dostať do uší neznámych a cudzích osôb, v žiadnom prípade nesmie byť vyslovené ani do mikrofónu.

Pokiaľ ide o virtuálny svet, neposielajte a nevkladajte osobné údaje, alebo akékoľvek citlivé informácie na nezašifrované a nezabezpečené internetové stránky. Preverujte si pravidelne  dôveryhodnosť stránok (kliknutím na ikonku zámku v okne prehliadača si overte platnosť certifikátu).

Zásada 11.: Balíky, ktoré ste si neobjednali, neotvárajte

Nespúšťajte, resp. neotvárajte neznáme prílohy a internetové odkazy obsiahnuté v tele nevyžiadaných e-mailov a v e-mailoch od neznámych odosielateľov.

Venujte zvýšenú pozornosť podozrivým e-mailom. Tieto môžu v prvej chvíli vyzerať, že pochádzajú z dôveryhodných zdrojov (napríklad z banky, alebo internetového obchodu), ale v konečnom dôsledku sa môže jednať o podhodenú stránku a tzv. phishingový útok. Názov phishing pochádza z anglického password phishing (v zjednodušenom preklade rybárčenie hesiel) a je jednou z najbežnejších techník sociálneho inžinierstva. Viac k tomu v tomto článku: URL.

Zásada 12.: Deratizácia vo  svete elektronickej pošty

Na háveď s názvom SPAM je najvhodnejšie reagovať tak, že si ho nebudete všímať a všetky maily, ktoré nesú známky SPAM-u, odfiltrujete. Väčšina mailových klientov filtrovanie obsahu umožňuje. SPAM je výraz pre hromadne rozosielaný nevyžiadaný e-mail, hlavne reklamného zamerania.

Zvláštnou kapitolou sú maily typu HOAX. Jedná sa o elektronickou poštou hromadne rozosielanú falošnú správu, v ktorej vás niekto nabáda preposlať obsah správy ďalej, za fiktívnym účelom spoločenského či finančného prospechu, alebo iba samotného šírenia poplašnej informácie. V texte sa zvyčajne vyskytuje výzva na rozoslanie mailu na čo najväčšie množstvo adries z vášho vlastného zoznamu. Na to je odporúčanie tiež len v oblasti subjektívnej: na HOAX nereagujte a nepodporujte rozosielanie neoverených hlúpostí. Ak si chcete overiť, či nejaká správa nie je HOAX-om, urobte tak  v priebežne aktualizovanom zozname HOAX-ových správ na stránke www.hoax.sk. Zbierka nezmyslov, citovaných v tomto zozname, je nekonečná.  V krajnom prípade opakovaného prijatia správy nesúcej známky HOAX-u od rovnakého odosielateľa, VAROVAŤ odosielateľa, že zaťažuje elektronickú poštu informačným smetím.

Záver

Myslite na to, že najväčšie riziko pre informačnú bezpečnosť predstavuje to, čo sa nachádza medzi klávesnicou počítača a vašou stoličkou. Technologické zabezpečenie je síce dôležité, ale najúčinnejšie bezpečnostné opatrenia spočívajú v zmene správania sa samotných používateľov.

Paradoxne tieto protiopatrenia sú tie najjednoduchšie a najlacnejšie.

 

Ivan Makatúra

 

 

Vyjadrite váš názor v komentároch