Trendy

APPSEC: Osobní zařízení ve firemní síti představují bezpečnostní riziko

Nad pracovním zařízením má firemní IT oddělení kontrolu a ručí za jeho správné zabezpečení před kybernetickými útoky, to u osobního zařízení neplatí.

redakce23.8.2024

Umožňujete svým zaměstnancům nosit si do kanceláře vlastní zařízení a pracovat na nich? Nebo se z nich můžou připojovat vzdáleně do firemních interních sítí a přistupovat k citlivým datům? Pakliže nemáte nad těmito zařízeními kontrolu a neznáte úroveň jejich zabezpečení, koledujete si o problém. Soukromá zařízení mají zpravidla mnohem horší úroveň ochrany před kybernetickými útoky než pracovní, nad kterými má společnost kontrolu a jejichž zabezpečení přímo řeší IT oddělení nebo manažer odpovědný za správu a administraci veškerého IT vybavení ve firmě, upozorňuje bezpečnostní společnost APPSEC. Jaká jsou hlavní rizika spojená s používáním osobních zařízení pro pracovní účely?

Sdílení zařízení s dalšími uživateli

Osobní zařízení uživatel nepoužívá pouze k práci, ale má v něm i řadu soukromých dat a nezřídka ho poskytuje i rodinným příslušníkům, nebo s ním cestuje v době svého pracovního volna. Tím se zvyšuje riziko fyzické ztráty nebo krádeže, ale také průniku škodlivého softwaru. Osobní zařízení, na kterém uživatel pracuje s citlivými firemními daty, by proto mělo být chráněno před používáním dalšími osobami, nejlépe dvoufaktorovou autentizací. To znamená, že k přístupu do zařízení nestačí jen přihlašovací heslo, ale také druhá forma ověření identity uživatele prostřednictvím kódu zaslaného SMS zprávou, případně otiskem prstu nebo kódem zaslaným na pracovní e-mailovou adresu uživatele.

Silnější zabezpečení osobního zařízení je o to důležitější, že ve firmách je stále častěji využívané sdílení složek s dokumenty a citlivými daty, aby si jednotliví zaměstnanci nemuseli stahovat každý dokument do svého zařízení a po jeho úpravě ho zase posílat e-mailem kolegům nebo nadřízeným. Zařízení připojené ke sdíleným složkám a zároveň využívající otevřenou Wi-Fi síť je nejhorší možnou kombinací z hlediska bezpečnosti dat. Pokud tedy nějaký zaměstnanec používá pro práci osobní zařízení, a ještě k tomu vzdáleně, musí projít bezpečnostním školením, aby si byl vědom všech rizik s tím spojených. Bezpečnostní školení by se navíc měla opakovat minimálně jednou ročně, protože bezpečnostní hrozby se vyvíjí, stejně jako vektory útoku.

Slyšeli jste o kompromitující emanaci?

Bohužel, ani tato školení a používání vícefaktorové autentizace nestačí na největší bezpečnostní riziko současnosti. Slyšeli jste něco o „kompromitující emanaci“? V podstatě jde o odposlech zařízení v reálném čase. Tedy o techniku, která umožňuje využívat všechny druhy chytrých zařízení, jako jsou počítače, tablety, telefony, tiskárny, nástroje pro online schůzky a poplašné systémy, přestože jsou všechny tyto přístroje chráněny vícefaktorovou autentizací, bezpečnostními protokoly jako je WPA2 nebo jinými modely pro šifrování dat. Všechna elektronická zařízení vysílají elektromagnetické signály, které lze pomocí vhodného zařízení zachytit a převést na čitelné informace, pokud se fyzicky ocitnete blízko zdroje těchto signálů. 

Problém odposlechu spočívá v tom, že tato metoda umožňuje přístup k datům ještě před zašifrováním informací. To znamená, že k šifrování dochází poté, co byla data zadána například na počítači, tabletu nebo telefonu. Odcizením dat při jejich zadávání, kdy ještě neproběhlo šifrování, se jejich ochrana stává zbytečnou. Tato krádež dat v reálném čase může zahrnovat hesla, díky čemuž se situace stává ještě děsivější. Ve světě se už objevily případy, kdy byly odposlechy využívány k získávání dat od konkurence, s níž byl dotyčný v soutěži ve veřejném nebo soukromém výběrovém řízení. Nebo jiný příklad: vývojář z oddělení výzkumu a vývoje sedí se svým počítačem v kavárně nebo coworkingovém zařízení, kde jen o pár stolů dál sedí člověk z konkurenční společnosti. Taková situace by se snadno mohla stát nejhorší noční můrou firmy, protože narušitel by byl schopen odposlouchávat vývojářův počítač a tím případně získat informace o plánech firmy nebo heslo do firemní sítě. 

Prověřte všechna zařízení včetně osobních na bezpečnostní slabiny

Ve Švédsku se dokonce jednomu etickému hackerovi podařilo z věšáku na oblečení vyrobit anténu, k níž si v přepočtu za šest tisíc korun dokoupil legálně prodávané vybavení a z internetu si stáhl několik bezplatných programů. Jenom to mu stačilo k tomu, aby kompromitoval společnost, které pomáhal objevit její bezpečnostní slabiny. Představme si, co byl ale mohl udělat celý stát se zlými úmysly a neomezenými zdroji. Proto je třeba se dvakrát rozmyslet, než z osobního zařízení používaného pro pracovní účely nechtěně vytvoříte nejslabší článek firemní sítě, v podstatě dvířka pro všechny možné bezpečnostní hrozby. Vůbec nejlepší je používání osobních zařízení pro pracovní účely zakázat, ale to se snadno říká a hůře provádí, pakliže potřebujete, aby do firemní sítě přistupovali nejen zaměstnanci, ale také OSVČ a dodavatelé pracující na základě kontraktu.

V takovém případě se rozhodně vyplatí všechna koncová zařízení i samotnou firemní síť prověřit z hlediska připravenosti na různé druhy kybernetických útoků. Nejlepším způsobem, jak se to dá udělat, je využít etické hackery jako v případě švédského strůjce antény z věšáku. Etičtí hackeři dokáží firmu či jinou organizaci prověřit sofistikovanými penetračními testy, které simulují skutečný útok na firmu. Jedním z nejdůmyslnějších testů tohoto typu je Blackhat test od společnosti APPSEC. Jeho hlavním cílem je najít cestu do firemní sítě a využít vás, okrást nebo poškodit. Tedy samozřejmě pomyslně. Bezpečnostní týmy APPSEC totiž ví, jak útočníci přemýšlí a jaké používají techniky. Simulovaně tedy útočí na organizace a mapují jejich bezpečnostní slabiny. Testovaná firma se pak může soustředit na investice do zabezpečení konkrétní slabiny a ušetří za komplexní bezpečností řešení, které řeší vše a zároveň nic.

Zdroj: APPSEC