Boris Mutina: Ak si nie ste istý dôveryhodnosťou správy, požiadajte kolegov o kontrolu

Keď ľavá ruka nevie, čo robí pravá, nastávajú problémy.

Každodenná výmena informácií medzi zamestnancami je nespochybniteľným predpokladom pre správne fungovanie firmy. Ak ich však nejaká pandémia zrazu vyženie z pracovísk domov, je treba začať hľadať riešenia ako zaistiť bezpečnú komunikáciu aj na diaľku. 

O tom, ako na to, nám porozprával Boris Mutina, analytik spoločnosti Excello a jeden z hlavných speakrov tohtoročnej konferencie QuBit v Prahe. V rozhovore sa dočítate:

  • aké princípy je treba dodržiavať pre bezpečnú komunikáciu v rámci firmy;
  • ako si z pohľadu bezpečnosti vedie tradičný e-mail v porovnaní s modernými komunikačnými nástrojmi;
  • čo je „najsilnejšou zbraňou“ proti phishingu a iným online podvodom;
  • alebo prečo sa dnes firmy zdráhajú investovať do kybernetickej bezpečnosti.

Čo je podľa Vás základom bezpečnej komunikácie a zdieľania informácií vo firme?

  • Myslím si, že na túto relatívne jednoduchú otázku neexistuje jednoduchá odpoveď. Nezáleží pritom, či hovoríme o internej alebo externej komunikácií. V každom prípade je potrebné overiť totožnosť všetkých strán zapojených do komunikácie a zabezpečiť komunikačný kanál tak, aby zodpovedal prenášanej informácií a požiadavkám na jej ochranu. V tomto smere by sme nemali zabudnúť na dodržiavanie princípov „security by default“ a „privacy by default“ a zodpovedajúce nastavenia v systéme aktualizovať tak, aby poskytovali zabezpečenie na najvyššej možnej úrovni, tzv. „state of the art“. Ak hovoríme o pravidlách komunikácie a zdieľania v rámci tímu, nič sa nemení na niekoľkých jasne definovaných princípoch, ktoré používame už dlhé roky – „need to know“ a „least privilege“. Je to teda o nastavení bezpečnostného konceptu v organizácii a jeho dodržiavaní.

Myslíte si, že je e-mail bezpečná forma komunikácie v porovnaní s modernými nástrojmi?

  • Aj e-mail dokáže byť bezpečný. Mnoho firiem si na ňom postavilo svoj biznis a nedokážu si predstaviť ako by bez neho fungovali. Na druhej strane, moderné komunikačné platformy ale prinášajú úľavu od zbytočnej mailovej komunikácie, pretože do mailboxu sa dostane len výsledná informácia a operatívne informácie sa tak môžu podávať aj formou interných komunikačných nástrojov. Ich implementácia do prostredia a používanie nemusí nijakým závažným spôsobom ovplyvniť bezpečnosť, ale ako som už spomenul, organizácie si musia nastaviť pravidlá čo sa môže a čo nemôže v rámci týchto platforiem využívať. Problémom nemusia byť ani aplikácie na bezpečnú komunikáciu, ak sme schopní ovládať ich konfiguráciu a dokážeme zabezpečiť prenášanú a uloženú informáciu. Avšak, v prípade voľne dostupných a možno aj populárnych aplikácií som trochu skeptický, pretože ešte stále považujem zašifrovaný e-mail za lepšiu alternatívu. Jedná sa o relatívne nové technológie, ktoré zaznamenali výrazný boom až v čase domácej izolácie. Je preto potrebné častejšie vyhodnocovať možné riziká a sledovať odporúčania výrobcov.

Niektorí zamestnanci však môžu na komunikáciu využiť aj sociálne siete. Je to dobrá prax?

  • Sociálne siete by som na komunikáciu vôbec nevyužíval. Dôvod je jednoduchý – v prípade e-mailu či komunikačných platforiem mám určitú kontrolu nad konfiguráciou a v určitom ohľade aj nad samotnou komunikáciou. Nekontrolovateľné komunikačné kanály však môžu byť zdrojom úniku informácií.

Ako sa firma dokáže brániť voči hrozbám ako je phishing?

  • Na to neexistuje stopercentné riešenie, pretože úroveň útokov je veľmi variabilná. Ak sa ale bližšie pozrieme na e-mailovú komunikáciu, ktorá do organizácie prúdi, zistíme, že drvivú väčšinu tvorí nevyžiadaná pošta a rôzne iné hrozby. Základne opatrenia by preto určite mali spočívať v implementácii SPF záznamov a technológie DKIM. A keď už máme tieto veci zvládnuté, tak rovno nasaďme aj systém DMARC. Navyše, popri štandardoch a konfiguračných nastaveniach, ktoré zahŕňajú filtrovanie a označovanie e-mailov na základe rôznych kritérií, máme dnes k dispozícii aj nástroje, pomocou ktorých môžeme vzdelávať užívateľov a testovať úroveň ich znalostí. Ukazuje sa, že schopnosť užívateľov reagovať správne je založená na rozpoznaní elementárnych detailov, a to je v spojení s technológiami na filtrovanie komunikácie najsilnejšou zbraňou. Veľmi sa mi páči motto konzorcia Anti-Phishing Working Group – Stop. Think. Connect.

Čo v prípade sofistikovanejších útokov ako spear-phishing a BEC podvody?

  • Spear-phishing a všetky iné cielené hrozby vyžadujú ostražitosť, pretože pri nich môžu technické prostriedky zlyhať. Čím sú útoky sofistikovanejšie, tým je ťažšie ich odhaliť. Z bankového sektoru si môžeme zobrať príklad jednoduchého pravidla tzv. štyroch očí. Ide o to, že ak si nie sme istý správou, ktorú sme dostali, požiadame kolegu, aby sa na ňu pozrel jeho očami. Spravidla sa podarí nájsť ten drobný detail, chybičky v gramatike, iný font, chýbajúci obrázok alebo zvláštnu formuláciu vety, ktoré sú záchrannou brzdou pred značnou škodou. V prípade BEC určite odporúčam zaviesť iné procesy pre platby tak, aby k platbe vôbec nemohlo dôjsť. Prípadne, chrániť aj zmenu bankových údajov či akékoľvek pokusy o prevody overovať iným komunikačným kanálom, napríklad zavolaním na pôvodný kontaktný telefón.

Ako hodnotíte povedomie a záujem firiem na Slovensku a v Česku o takéto kyberbezpečnostné riešenia?

  • Záujem by aj bol, ale zdá sa, že skutočné riziká si uvedomuje len veľmi málo organizácií. Ak opomenieme technologické spoločnosti, aj inde môže mať top manažment vedomosti o kybernetickej bezpečnosti, ale ak to tak je, je to len vďaka ľuďom, ktorí vedia svojim lídrom vysvetliť jej význam. Bohužiaľ, dnes, v dobe, kedy sa začíname vyrovnávať s ekonomickými dopadmi krízy, sa ale kyberbezpečnosť pre väčšinu manažérov či špecialistov javí ako nákladná záležitosť. Jedným z dôvodov, prečo to tak je, môže byť príliš veľká komercializácia tejto oblasti, kedy každý z výrobcov chce predať svoj produkt bez ohľadu na to, či ho organizácia naozaj potrebuje. Ťažko sa potom predávajú riešenia, ktoré môžu lepšie napĺňať požiadavky a nie sú len vysávačom prostriedkov z organizácií. V rozpočte potom chýbajú peniaze, ktoré sa mohli použiť na iné, naozaj potrebné projekty. Ja si totiž myslím, že vo viacerých organizáciách došlo k nepochopeniu úloh, ktoré kyberbezpečnosť naozaj zastrešuje. Kyberbezpečnosť je podporná úloha na zabezpečenie cieľov organizácie a jej koncept či stratégia by mali byť v súlade s jej smerovaním.

QuBit Conference organizuje už siedmy rok odborné a networkingové akcie pre komunitu z oboru kybernetickej a informačnej bezpečnosti na Slovensku, v Čechách, Bulharsku a Srbsku. Najväčším benefitom sú výhradne odborné prednášky a vynikajúce sprievodné akcie.

Post Views: 2 322
author avatar
QuBit Academy

Už viac ako 4 roky poskytujeme vzdelávanie primárne v oblasti informačnej a kybernetickej bezpečnosti.

Vytvárame priestor pre komunitu profesionálov v oblasti kybernetickej bezpečnosti a od začiatku nám záleží na hodnotách ako nezávislosť, transparentnosť, profesionálnosť, ktoré sa nám darí napĺňať aj vďaka Vám.