Kyberzločinci môžu vašu firmu pripraviť o milióny. Ako im v tom zabrániť?

Sieťová bezpečnosť – OBSAH

1. Sieťová bezpečnosť – prečo nie je dobré ju podceňovať?
2. Odkiaľ na vás môžu kyberzločinci útočiť?
3. Aké metódy útočníci používajú?
4. Ako ochrániť firemnú sieť?
5. Do čoho investovať?
6. Základné pravidlá bezpečného správania na internete
7. Čo robiť, ak ste boli napadnutí?

Sieťová bezpečnosť – prečo nie je dobré ju podceňovať?

Predstavme si situáciu v malej firme. Do jednej bezdrôtovej siete je pripojených niekoľko počítačov, niektoré sú málo zabezpečené. Na WiFi router sa potom pripájajú zamestnanci aj zo svojich mobilov a niekedy možno aj ich rodinní príslušníci. Už tento stav predstavuje pre nedostatočne zabezpečenú sieť veľké riziko, pretože záškodnícky softvér sa do nej môže dostať veľmi ľahko, napríklad cez zavírusený mobil dieťaťa niektorého zo zamestnancov.

Samotný telefón tínedžera žiadneho útočníka nezaujíma, tínedžer totiž nemá peniaze ani údaje, za ktoré by bol ochotný zaplatiť. Útočníci cielia na počítače, v ktorých nájdu niečo, čo môžu zneužiť alebo čím môžu používateľa vydierať. Ide o množstvo citlivých alebo cenných dokumentov, prístupy do bankovníctva, heslá k všemožným internetovým službám a podobne. Pokiaľ sa im to podarí, môžu od vás chcieť stovky, tisíce alebo aj státisíce len za to, že vám údaje vrátia.

Dobré zabezpečenie firemnej, ale aj domácej siete je preto úplne kľúčové. Cesta záškodníckeho softvéru až k riaditeľovmu počítaču totiž nemusí byť vôbec kľukatá. Náš modelový tínedžer sťahuje, čo nemá, a pritom si telefón nakazí záškodníckym softvérom. Ten nakazí zle zabezpečený domáci WiFi router, z ktorého sa potom môže ľahko dostať do notebooku, ktorý si zamestnanec nakoniec odnesie do práce. A pokiaľ je vaša firemná sieť slabo zabezpečená, pohroma je na svete.

Odkiaľ na vás môžu kyberzločinci útočiť?

Existuje celý rad útokov, ktoré nadobúdajú rôzne podoby. Úplne základné rozdelenie je možné urobiť podľa smeru, z ktorého útok prichádza. Na siete môžu záškodníci útočiť z troch strán:

1. Z fyzického okolia – niekto vezme svoj počítač a pripojí sa k vašej zle zabezpečenej bezdrôtovej sieti. Takýto „WiFi kliešť“ väčšinou nie je príliš nebezpečný, pretože jeho cieľom býva len pripojenie na internet, za ktorý nemusí platiť. Niekedy však môžu mať zavírusovaný počítač alebo na vašu sieť takto útočiť úmyselne. Nie je to však príliš častá metóda.
2. Útok zvonku – záškodníci sa môžu pokúsiť hľadať bezpečnostnú štrbinu bez toho, aby mali prístup do vašej siete. Tieto útoky nemajú príliš vysokú úspešnosť, ale s rozmachom IPv6 ich bude pribúdať. Spoločným menovateľom úspešných útokov je väčšinou starý neaktualizovaný router, prípadne lacný router, ktorý riadne aktualizácie vôbec nedostáva. Takýmto zariadeniam nie je vôbec vhodné bezpečnosť firemnej siete zverovať.
3. Útoky zvnútra siete – o týchto útokoch sme už písali vyššie a budeme sa o nich baviť aj vo zvyšnej časti článku. Ide totiž o najnebezpečnejšie a najpravdepodobnejšie riziko, akému môže vaša sieť čeliť. Útočníci sa do siete nedostanú zvonku, ale zvnútra. Tam ich „pozve“ neopatrný používateľ, ktorý nevedomky nechá nakaziť svoje zariadenie, z ktorého sa záškodnícky softvér ľahko dostane do nezabezpečeného routera, ako aj do ďalších zariadení pripojených k danej sieti.

Aké metódy útočníci používajú?

Nie je dôvod si myslieť, že kybernetických útokov bude ubúdať. Práve naopak. Na počítačové siete sa spolieha čoraz viac firiem a útočníci vymýšľajú stále sofistikovanejšie metódy, ako tieto siete zneužiť. Ak je počítač alebo WiFi router zavírusovaný, bežný používateľ nemusí nič spozorovať, pokiaľ si to útočník neželá. Ako sa ale stane, že sa záškodnícky softvér do počítačovej siete vôbec dostane a čo v nej môže napáchať?

Ako už bolo spomenuté vyššie, škodlivý softvér sa do vašej siete môže dostať cez zariadenia, ktoré sa k sieti pripájajú. Do nich sa môžu dostať napr. pomocou tzv. trójskeho koňa, čo je softvér, ktorý sa pri inštalácii javí ako neškodný, no v skutočnosti v sebe ukrýva škodlivý kód. Nemusí však ísť iba o programy, ktoré si do počítača vedome nainštalujete. Nebezpečné môžu byť aj e-mailové prílohy od neznámych odosielateľov, napadnuté internetové stránky alebo infikované USB disky.

A ako to vyzerá, keď sa útočníci úspešne zmocnia vášho WiFi routera? Získajú tak napríklad prístup do jeho nastavení, medzi ktoré patrí aj DNS server. Ten má na starosti preklad doménových mien na IP adresy. Pokiaľ teda do internetového prehliadača zadáte www.mojebankovníctvo.príklad, útočníci sú schopní vám zobraziť podvrhnutú stránku namiesto skutočného webu vašej banky. Do pripravených polí zadáte svoje prihlasovacie údaje, čím ich de facto pošlete útočníkom. Podobným spôsobom vás môžu presmerovať aj na internetové stránky, z ktorých si nevedomky stiahnete škodlivý softvér.

To bol iba jeden z hrozných príkladov toho, ako môžu útočníci zneužiť slabo zabezpečenú WiFi sieť. V nej sa môžu niektoré škodlivé programy dokonca šíriť z počítača na počítač (tzv. červy) a niesť so sebou škodlivý kód. V lepšom prípade to spomalí vašu sieť, v tom horšom spôsobí roznesenie škodlivých programov do ostatných pripojených počítačov. Medzi nimi môže byť napr. aj zákerný ransomware, ktorý dokáže neprelomiteľne zašifrovať vaše najcennejšie údaje.

Ako ochrániť firemnú sieť?

Už sme spomenuli vyššie, že ak máte malú firmu, určite by ste sa nemali spoliehať na najlacnejší WiFi router, ktorý v ponuke nájdete. Dostupné aktualizácie pre takéto zariadenia nemusia byť najkvalitnejšie a hlavne, môžu po pár rokoch skončiť. Ani kvalitné sieťové prvky vás ale nemusia ochrániť, pokiaľ nedbáte na ich správne nastavenie. Čo môžete ihneď urobiť pre to, aby bola vaša sieť bezpečnejšia?

• Silné heslo na WiFi – silné heslo k bezdrôtovej sieti je úplný základ. Malo by byť dostatočne dlhé a zložené z písmen, číslic a špeciálnych znakov. Hlavne nesmie byť ľahko uhádnuteľné. Použiť ako heslo napríklad názov firmy je určite zlý nápad.
• Zmena hesla do administrácie WiFi routera – nové WiFi routery majú zvyčajne určité predvolené prihlasovacie údaje, ktorými sa dostanete do ich administrácie. Môže ísť napr. o kombináciu mena „admin“ a hesla „admin“ alebo „1234“. Také heslo prelomí škodlivý program za milisekundy. Heslo preto ihneď po prvom spustení zmeňte a urobte ho pritom oveľa silnejšie.
• Pravidelne aktualizujte WiFi router – keby sa vo vašom WiFi routeri objavila bezpečnostná štrbina, útočníci by sa mohli do vašej siete dostať dokonca aj zvonku. Preto je nevyhnutné softvér routera pravidelne aktualizovať, pretože pokiaľ sa nejaká bezpečnostná štrbina objaví, zodpovedný výrobca ju v najbližšej aktualizácii opraví.
• Nepracujte s admin právami – úplne každý používateľ (neplatí výnimka ani pre riaditeľa) vo firemnej sieti musí pracovať pod účtom, ktorý nemá administrátorské práva. Ide o úplne základnú a nevyhnutnú podmienku pre fungovanie princípov IT bezpečnosti. Štandardný používateľ ani nesmie administrátorské heslo poznať, pretože to by viedlo k prelomeniu ochrany.
• Používajte aktualizovaný softvér – z pohľadu bezpečnosti je dôležité zabezpečiť používanie aktuálnych verzií jednotlivých aplikácií. Operačný systém Windows 10 sa už pravidelne aktualizuje úplne sám a bez zásahu používateľa. Rovnako je nevyhnutné pristúpiť aj k ďalším aplikáciám. Povestnú čiernu dieru predstavuje aplikácia Adobe Acrobat Reader na prezeranie PDF súborov. Tá má rôzne bezpečnostné aktualizácie každý týždeň a z pohľadu IT správcu ide vyslovene o problémovú aplikáciu. Našťastie moderné webové prehliadače vedia PDF súbory zobraziť v internom prehliadači, preto Adobe Acrobat Reader jednoducho okamžite odinštalujte.

O praktickom zabezpečení firemnej siete sa viac dočítate v našom článku Ako na zabezpečenie WiFi routera.

Do čoho investovať?

Pokiaľ chcete urobiť niečo pre bezpečnosť vašej firemnej siete, tak bude rozhodne nevyhnutná finančná spoluúčasť. Samozrejme vrátane dodržania praktických tipov, ktoré sme spomenuli v predchádzajúcej kapitole.

Vždy záleží na konkrétnych podmienkach, ale v zásade je dobré sa v rámci firemnej siete držať produktov od jedného výrobcu. To so sebou totiž nesie pohodlnejšiu správu viacerých prvkov naraz alebo v podstate rovnaké používateľské rozhranie. Dôležitým rozhodnutím je aj fakt, či si vystačíte s WiFi pokrytím alebo potrebujete pripojiť rôzne zariadenia (napríklad tlačiarne, alebo NAS servery) aj pomocou kábla. Niektorí výrobcovia totiž majú vo svojej ponuke len WiFi prvky, čo pri modernej tlačiarni nie je žiadny problém, ale NAS server ako firemné úložisko súborov je jednoducho nevyhnutné pripojiť pomocou kábla.

Moderná firma iba s WiFi sieťou

V tomto prípade vám môžeme vrelo odporučiť tzv. WiFi Mesh systém. O čo ide? Jednoducho povedané v jednom balení dostanete tri satelity, ktoré medzi sebou vzájomne komunikujú a vždy vaše zariadenie automaticky pripoja k najvhodnejšej jednotke, aby ste zakaždým získali ten najlepší signál. Čím viac satelitov súprav obsahuje, tým väčšiu plochu pokryjete stabilným WiFi signálom. A v prípade potreby je možné ľahko kedykoľvek dokúpiť ďalšie satelity.

Inštalácia Mesh siete a všetkých jej prvkov je veľmi jednoduchá. Satelity sú už v predvolenom nastavení spárované a stačí iba hlavný satelit pripojiť káblom na internet a ďalšie satelity rozmiestniť po kanceláriách. Následné nastavenie siete presne na mieru už vám zaberie len pár minút.

Celý Mesh WiFi systém ovládate pomocou mobilnej aplikácie, v ktorej pohodlne nastavíte svoje súkromie a ďalšie parametre – prístup na WiFi pre návštevu, blokovanie niektorých používateľov alebo prípadne rodičovskú kontrolu, ktorú je možné v rámci firmy využiť na zakázanie prístupu zamestnancov napríklad na sociálne siete počas pracovnej doby.

Kombinácia WiFi + káblová LAN

Aj keď sa to môže celému radu používateľov zdať staromódne, napriek tomu kombinácia WiFi a klasickej káblovej LAN siete vo firmách stále prevažuje. LAN sieť je dôležitá z pohľadu stability a predovšetkým kvôli prenosovým rýchlostiam. Štandardom je 1 GbE, ale nástup 10 GbE technológie je úplne nezvratný. Najmä na tých miestach, kde potrebujete rýchlo preniesť ohromné množstvo údajov. Napríklad v rámci zálohovania serverov alebo pri práci s NAS serverom.

Nesmieme zabudnúť, že káblová LAN sieť je citeľne bezpečnejšia ako bezdrôtová WiFi. Logicky je predsa len zložitejšie, aby si záškodník nepozorovane pripojil vlastný počítač do voľnej LAN zásuvky. Aj voči tomu by však správne nastavená sieť mala byť imúnna. Typicky sú voľné zásuvky deaktivované priamo na switchi a prípadne je nasadená aj kontrola MAC adries, ktorá do siete pripojí iba vopred schválené zariadenia.

Typickou značkou, ktorá ponúka komplexný sortiment, je americká Ubiquiti. V širokej ponuke sieťových produktov Ubiquiti nájdete špičkové vnútorné a vonkajšie prístupové body s podporou najnovších štandardov. Tiež nechýbajú ani výkonné routery a switche pre vysokorýchlostný prenos dát. To všetko je možné veľmi jednoducho a efektívne spravovať pomocou jednej webovej konzoly. Takže napríklad zmenu prístupového hesla na WiFi zmeníte behom okamihu pokojne pre 40 prístupových bodov naraz. Rovnako ľahko je možné automatizovať nahrávanie aktualizácií priamo pre jednotlivé prvky siete.

Veľmi podobne funguje aj ďalší známy výrobca TP-LINK a jeho systém Omada. Opäť ide o ucelené produktové série, vhodné na akékoľvek firemné nasadenie. Vzhľadom na to, že jednotlivé sieťové prvky sú v rámci internej siete napojené na hlavný cloudový kontrolér, môžete vďaka zabezpečenému prepojeniu do cloudu na podnikovú sieť dohliadať odkiaľkoľvek na svete. Pokojne aj pomocou mobilnej aplikácie (je dostupná pre Android a iOS). Je možné spravovať jednotlivé prístupové body, ale aj cloudové kontroléry Omada bez nevyhnutnosti ďalších nákladov na nákup a inštaláciu ďalšieho hardvéru. A vďaka využitiu cloudu sa nemusíte starať ani o žiadny lokálny server, na ktorom by typická dohľadová služba siete bežala. Z pohľadu bezpečnosti potom oceníte fakt, že na cloude nie sú uložené žiadne konfiguračné údaje a ani cez neho nebeží žiadna firemná komunikácia.

Platforma TP-Link Omada SDN ponúka robustnú ochranu siete vrátane lepšieho súkromia používateľov. Medzi kľúčové prvky zabezpečenia patrí napríklad vlastná VPN, silný firewall, URL/IP/MAC filtrovanie, kontrola prístupu, pokročilé šifrovanie WPA3 alebo špeciálny portál na registráciu dočasného prístupu. Vždy tak je možné spätne dohľadať, čo ktoré zariadenie v sieti robilo.

Základné pravidlá bezpečného správania na internete

Akonáhle máte koncové zariadenie pripojené na sieť a následne na internet, je nevyhnutné riešiť zabezpečenie. Samotná ochrana pred rôznymi hackermi sa skladá z niekoľkých vrstiev, ktoré sa vzájomne podopierajú. Už sme spomenuli, že je nevyhnutné pracovať na PC výlučne s nižšími používateľskými právami, vďaka čomu odfiltrujete celý rad možných útokov. Napríklad keď nepozorne kliknete na podvrhnutý e-mail. Samozrejme je vhodné používať niektorý z platených antivírusových programov. Zdôrazňujeme, že platených. Ak za antivírus nechcete platiť, používajte vstavaný Microsoft Defender priamo vo Windows 10 a neinštalujte nič ďalšie – je to zbytočné.

V rámci platených antivírusových systémov sú veľmi dobré referencie na slovenský ESET. S jeho pomocou vás neprekvapia žiadne podozrivé stránky alebo súbory z nedôveryhodných zdrojov. Aj keď je vo firmách dobrým zvykom používateľa pravidelne školiť na prácu s technikou, napriek tomu len málo používateľov dokáže v každodennej záplave rôznych e-mailov odhaliť potenciálny problém.

Hlavné hrozby pre používateľov

• Odkazy v e-mailoch – pred každým kliknutím na odkaz v prichádzajúcom e-maile sa zamyslite, či ide o štandardnú záležitosť (napríklad vám kolega posiela odkaz na nákup tovaru na alza.sk), alebo či ide o netypickú situáciu. V tom prípade e-mail rovno zmažte. Pokiaľ pôjde o niečo dôležité, iste sa vám odosielateľ ozve iným spôsobom.
• Prílohy v e-mailoch – ďalší typický spôsob zneužitia užívateľskej neznalosti. Pred tým, ako prílohu otvoríte, vždy si pozrite samotný e-mail. Poznáte odosielateľa? Má správny tvar adresy? Nie sú v e-maile zvláštne preklepy, ako keby správu prekladal automaticky Google?
• Zneužitie hesiel – málo bezpečné alebo opakovane použité heslo predstavuje jednu z najväčších hrozieb. Aj vo firemnom prostredí používajte správcu hesiel. Napríklad KeePass dokáže vygenerovať a spravovať ohromné množstvo prístupov. Pre každú registráciu tak jednoducho vytvoríte unikátne prístupové údaje. A keby došlo k úniku údajov, vaša identita zostane ochránená.
• Sledujte zabezpečenie webových stránok – všimnite si, že každá solídna webová stránka má v adresnom riadku zámok. To znamená, že je chránená certifikátom, na získanie ktorého sa musel majiteľ webovej stránky preukázať certifikačnej autorite. Zámok = bezpečný HTTPS protokol. Výhodou tohto protokolu HTTPS je jeho bezpečnosť. Údaje odosielané pomocou protokolu HTTPS sú zabezpečené protokolom Transport Layer Security (TLS), ktorý poskytuje tri kľúčové vrstvy ochrany: šifrovanie, autentizáciu a integritu údajov. Napríklad v internetovom bankovníctve už sa bez HTTPS nezaobíde žiadna banka. Zastaraný protokol HTTP je typicky nasadený na málo navštevovaných webových stránkach a súčasne je poznávacím znamením podvodných stránok, ktoré chcú získať používateľské údaje. Napríklad vám podsunú podvodnú prihlasovaciu stránku do e-mailu.

Naše odporúčanie teda znie jasne – na počítači s Windows 10 pracujte výlučne s nižšími používateľskými právami, majte nainštalovaný platený antivírusový program, používajte aktualizovaný webový prehliadač a samozrejme, pravidelne zálohujte kľúčové súbory na externý disk, ktorý nie je stabilne pripojený k PC. To je kombinácia, ktorá vás pomerne dobre ochráni pred nástrahami internetových zákutí.

Čo robiť, ak ste boli napadnutí?

Pokiaľ nedodržíte ani základné prvky internetovej bezpečnosti, je len otázkou času, kedy nastane deň s veľkým D. Tým máme na mysli takú situáciu, kedy bude váš počítač zavírusovaný. Čo s tým? Pokiaľ pôjde len o nejaký malware, tak to vlastne ani nemusí obyčajný používateľ spoznať. Avšak budú naň vyskakovať rôzne reklamné okná, namiesto typickej vyhľadávacej stránky zoznam.sk sa bude objavovať nejaká iná. A samozrejme sa dostaví aj postupné spomalenie celého PC.

IT profesionál taký PC rozpozná okamžite. Laik si musí pomôcť napríklad jednorazovou kontrolou pomocou nástroja ESET Online Scanner. Ten z prostredia webového prehliadača preskenuje váš PC. Ak nájde problémy, aplikácia sa ich pokúsi odstrániť. Pokiaľ to nepôjde, najneskôr v tento moment volajte svojho správcu IT a počítač bezodkladne odpojte od siete.

Pokiaľ však chytíte ransomware, môžeme vám garantovať, že to okamžite rozpozná aj úplný počítačový neznalec. Všetky súbory na ploche a v dokumentoch totiž zrazu nepôjdu otvoriť. Napríklad namiesto obľúbenej fotografie sa objaví iba výzva na zaplatenie výpalného, v niektorých prípadoch aj s informáciou, koľko času používateľovi na zaplatenie zostáva. Po uplynutí doby sa požadovaná čiastka navýši. Typicky hacker požaduje platbu v bitcoinoch alebo inej virtuálnej mene. Po zaplatení by následne malo dôjsť k odšifrovaniu údajov alebo obnoveniu prístupu do infikovaného zariadenia. V praxi však aj po zaplatení zostávajú súbory zašifrované. Preto odporúčame nič neplatiť.

Čo však s tým? Počítač napadnutý ransomwarom je potrebné kompletne naformátovať a nainštalovať operačný systém znova. A potom záleží, akú starú máte zálohu na externom disku, pretože zašifrované údaje sú nenávratne preč.

Kybernetická ochrana firemných zariadení a údajov je v súčasnej dobe taká komplexná záležitosť, že na toto jednoducho potrebujete IT špecialistu. Bez jeho odborných znalostí vystavujete svoju firmu obrovskému bezpečnostnému riziku.