Takřka každý pátý klikne na phishingový e-mail. I to ukazují testy této IT security firmy

Bezpečnost dokumentů není jen jejich bezpečné podepisování. Oblast IT bezpečnosti je mnohem rozsáhlejší, a tak jsme si pozvali na rozhovor specialisty z BOIT. Jak o sobě sami říkají, „najdeme u vás zranitelnosti dřív, než je zneužije někdo z temný strany Síly“. Pojďme na to!

Kdo by měl bezpečnost ve své firmě řešit?

Každý, kdo má firmu. Dneska je každá firma online – e-maily, web, cloud, účetnictví, sdílené dokumenty, práce na dálku… I když si to nechceme připustit, digitální stopu má dneska i zámečník. A tahle stopa se dá zneužít. Takže pokud nepodnikáte holýma rukama v jeskyni bez signálu, kyberbezpečnost se vás týká.

Jaká je nejčastější slabina?

Lidi. I když to zní ohraně, pořád to platí. Sebelepší technologie nepomůže, když někdo klikne na přílohu od „šéfa“ z neexistující domény. Phishing je pořád nejčastější cesta dovnitř. A druhá slabina? Ta věta „to se nám stát nemůže“. Nejčastěji přichází týden před průšvihem.

Co všechno do bezpečnosti vlastně patří?

Rozhodně to není jen antivir. Bezpečnost je o tom, kdo má kam přístup, jak se chrání data, jak se zálohují systémy, jak (ne)sdílíme hesla a co se děje, když nastane problém. Je to mix technologií, procesů a lidí. A všechno musí fungovat dohromady.

Doporučíte nějaký checklist, co všechno bych si měl projít nebo dát na seznam nějaké budoucí kontroly?

Určitě. Nemusíte být odborník, abyste si udělali základní inventuru. Zkuste si položit pár jednoduchých otázek:

  • Máme přehled o tom, kdo má přístupy k čemu?
  • Jsou hesla silná a někde bezpečně uložená (ne v Excelu)?
  • Máme zapnuté dvoufaktorové ověřování (2FA)?
  • Dělají se pravidelné zálohy? A víme, kde jsou?
  • Ví naši lidé, jak vypadá podvodný e-mail?
  • Víme, co dělat, když se něco pokazí?

Tohle je naprostý základ. Když nemáte ani ten, nic dalšího vás nespasí. Doporučujeme pravidelně si to projít – ideálně s někým, kdo vám pomůže identifikovat slabá místa.

Musíme na to mít vlastní tým?

Nemusíte. Ale někdo to řešit musí. Menší a střední firmy to často zvládnou s externím partnerem nebo konzultantem. Důležité je mít někoho, kdo tomu rozumí a věnuje se tomu dlouhodobě – ne jen „když hoří“.

Co by měla obsahovat bezpečnostní politika?

Hlavně smysl. Nechceme dokument, který má 40 stran a nikdo ho nečte. Potřebujeme jasně popsané základní scénáře:

  • Kdo má k čemu přístup
  • Jak se nastavují hesla
  • Co dělat při podezření na útok
  • Jak se školí lidi Ideálně stručně, pochopitelně a dostupně.

Ne „někde v šuplíku”. Kolik nás to bude stát? Méně než chyba. Nejde o to, koupit si zlatý firewall. Jde o to, zjistit, kde jsou největší díry, a ty zalepit. Spousta opatření nestojí skoro nic – jen trochu selského rozumu a času. A když už něco stojí, tak to většinou dává smysl ve srovnání s tím, co může stát průšvih.

OK, můžete alespoň nějak naznačit pro ty, co vůbec neví? Třeba hodinovou sazbou nebo ukázkou nějaké služby a její ceny?

Jasně. Naše celodenní školení vyjde na desítky tisíc korun, bez ohledu na to, kolik lidí proškolíme – kvalita má přednost před počtem. Menším firmám či jednotlivcům nabízíme i tematické webináře za zlomek ceny. Mimochodem jeden takový megawebinář právě chystáme a místa ještě jsou. Připojíte se odkudkoli a dozvíte se to nejdůležitější bez zbytečné omáčky.

Má smysl školit zaměstnance, když stejně kliknou?

Má. Ale musí to být chytře. Jednorázové školení s prezentací „co je phishing“ nikoho nespasí. Fungují pravidelné, praktické a trochu i zábavné formy – třeba simulované útoky. Nikdy nezabráníme všem klikům. Ale čím míň lidí klikne, tím líp spíte.

A co když už se něco stane?

Tak hlavně nepanikařit. První hodiny jsou klíčové. Když víte, kdo co dělá – a máte plán – zvládnete i nepříjemnosti bez větších ztrát. A pokud plán nemáte? Tak ho začněte tvořit. V klidu. Ne v den, kdy vám někdo zašifruje účetnictví.

Podělíte se o nějaké zajímavé chyby, co jste v minulosti našli?

Jasně, pojďme si to ukázat na datech. Za poslední dva roky jsme u nás v BOIT Cyber Security otestovali víc než 60 firem a institucí. Poslali jsme přes 18 000 phishingových e-mailů. Průměrně kliklo 18 % lidí. V některých sektorech ale klidně i 30 %.

Nejhůř dopadly školy a státní instituce, nejlíp na oko nemocnice – jenže tam maily často nikdo nečte. Když to přepočítáme, dostaneme se na až 50% úspěšnost. A co z toho plyne? Technologie často nejsou problém. Problém je, že lidi neví, co neví. A to se dá změnit tím co děláme my –⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠ školením, osvětou a hlavně tím, že se o tom vůbec začne mluvit.

digipodpis.cz