Představte si, že se jednoho rána probudíte a zjistíte, že má někdo přístup k citlivým informacím vaší firmy. Tenhle scénář nechce zažít žádný manažer, ani kdokoliv jiný. Jak může k takové situaci dojít? Často je odpovědí jedno slovo: phishing.
Na úvod: Co to je phishing?
Pravděpodobně jste to už zažili. Přišel vám e-mail a vypadal, že jeho autorem je nějaká instituce, jíž jste zákazníky. Něco od vás chtěla. Ti šťastnější na první pohled “běžný” e-mail vyhodnotili jako podvodný a požadavek nesplnili. Ti málo všímaví či neinformovaní se nechali napálit a zadělali si na problém. Phishing je druh kybernetického útoku, kde se zločinci snaží podvodem získat citlivé informace, jako jsou přihlašovací údaje, čísla kreditních karet nebo jiná důležitá data.
Představte si to jako rybaření. Místo ryb se ale útočníci snaží „chytit“ vaše osobní informace. Ostatně termín „phishing“ je odvozen od slova „fishing“, což v angličtině znamená rybaření. Podobně jako rybář, který hází návnadu do vody a čeká, až ryba zakousne, kyberzločinci vysílají tisíce podvodných e-mailů s nadějí, že se alespoň někdo chytne. Za tímto účelem vytvoří něco, co vypadá jako legitimní e-mail nebo webová stránka, patřící například vaší bance, internetovému obchodu nebo sociální síti, a vypadá to tak přesvědčivě, že mnoho lidí naletí.
ZAJÍMAVOST: První známý phishingový útok se odehrál v roce 1995 a mířil na uživatele služby AOL. Útočníci se pokusili získat přihlašovací údaje uživatelů podvodnými e-maily, které vypadaly, jako by byly od nich.
Mějte se na pozoru také před tzv. spear phishingem. Jedná se o specializovanou, cílenější formu. Úútočníci se zaměřují na konkrétní osobu nebo organizaci a využívají personalizovaných zpráv, zahrnujících jméno oběti, její pracovní pozici nebo další informace, vzbuzující dojem legitimity.
Jak zjistíte, že se někdo dostal k citlivým datům
Vraťme se k příběhu z úvodu tohoto článku. Jak ten manažer poznal, že někdo získal citlivá data jeho společnosti? Jasně, asi mu to někdo řekl. Každopádně – zjistit, že se někdo dostal k citlivým údajům vaší firmy, může být výzvou. Kyberzločinci totiž často pracují tiše a diskrétně.
Že k porušení bezpečnosti dat došlo však napoví tyto znaky:
- Neočekávaná aktivita na účtech: např. neobvyklé či neznámé transakce, přihlášení ze vzdálených lokalit nebo změny v nastavení účtu, které jste neautorizovali
- Varování o bezpečnostních porušeních od třetích stran: mnoho moderních aplikací a služeb podezřelé aktivity monitoruje a upozorní vás
- Neobvyklý nárůst spamu nebo phishingových e-mailů: prozradit únik dat může i na první pohled větší množství “otravné” komunikace
- Pomalý nebo nestabilní systém: znakem, že někdo zneužívá vaše systémy, může být také podivně pomalá nebo nestabilní IT infrastruktura
- Neočekávané změny v souborech nebo databázích: pokud zjistíte, že soubory nebo databáze byly změněny, smazány nebo přesunuty bez vašeho vědomí, opět za tím může být porušení ochrany
- Narušení fyzické bezpečnosti: tady už jsme poněkud daleko, ale přece se to děje – ztráta nebo krádež počítačů, smartphonů nebo jiných zařízení obsahujících citlivé informace musí být doprovázena kroky, které znemožní jejich zneužití.
ZAJÍMAVOST: Podle zprávy z roku 2021 od společnosti Verizon byly nejčastějšími cíli phishingových útoků malé firmy (28 %), veřejný sektor (16 %) a zdravotnictví (15 %).
Ochrana dat aneb Základy kybernetické bezpečnosti pro každou firmu
Nejde jenom o phishing. Existuje celá řada útoků, které z běžného pracovního dne udělají noční můru (jejich výčet a vlastnosti jsme ostatně rozepsali tady). Manažeři středních i větších firem, kteří mají v kompetencích IT, potřebují svá aktiva chránit. Nemusí ale jít o žádnou raketovou vědu:
1. Vzdělávejte své zaměstnance
Základem ochrany firemních dat nejen před phishingovými, ale i jinými útoky, je vzdělání zaměstnanců. Vyplatí se vaše lidi např. seznámit, jak vypadají phishingové e-maily a webové stránky, a dát jim návod, jak na ně reagovat.
TIP: Posílit vaši obranu pomohou pravidelná školení. Využijte již připravených e-learningových kurzů na nejrůznější kyberbezpečnostní témata od našich specialistů. Rádi je přizpůsobíme na míru vaší společnosti a hned dvojitě vás potěšíme – jsou skutečně efektivní, a přitom nezatíží rozpočet.
2. Používejte moderní antivirový software
Dnešní antivirové programy jsou vybaveny schopností detekovat a blokovat phishingové pokusy v reálném čase. Jejich součástí bývá také třeba databáze hrozeb a ochrana proti škodlivým odkazům a přílohám. Je však důležité mít aktuální verze a ideálně je také průběžně kontrolovat.
3. Využívejte dvoufaktorové ověřování
Jednoduchý princip, který řada firem pro své systémy opomíjí. Dvoufaktorové ověřování (2FA) přitom může být účinnou obranou i právě proti phishingovým útokům. V případě, že by kyberzločinec získal heslo zaměstnance, stále bude pro přístup k účtu potřebovat druhý faktor – obvykle kód odeslaný na mobilní zařízení.
4. Vytvořte systém hlášení
Phishing je realita. Není na co čekat. E-mailové schránky ho jsou plné právě teď. Je proto důležité mít systém, kde vaši zaměstnanci mohou hlásit, co se děje. Právě včasná hlášení a odhalení nebezpečných taktik mohou být pro identifikaci a blokování nových pokusů klíčové.
5. Aktualizujte a zabezpečte svou IT infrastrukturu
Udržujte svůj software a hardware včetně operačních systémů a webových prohlížečů vždy aktualizované. Doopravdy na tom velmi záleží. Kyberzločinci k infiltraci do systémů často využívají zastaralý software. Používejte také silná a jedinečná hesla.
6. Zálohujte pravidelně svá data
Phishingové útoky mohou vést ke ztrátě nebo poškození dat. Pravidelné zálohování dat zajistí, že pokud k něčemu dojde, svá data obnovíte s minimálními ztrátami.
7. Spolupracujte s odborníky na kyberbezpečnost
Taktiky hackerů se neustále mění a vyvíjí. Pracovat s odborníky na kyberbezpečnost, kteří jsou na přední linii vývojových trendů, může být pro udržení bezpečnosti vaší firmy neocenitelné. Najděte si takové, kteří našemu řemeslu skutečně rozumí a za jejich prací stojí konkrétní reference.