Spousta lidí si mylně myslí, že se nemusejí o bezpečnost zajímat. Co víc, mají pocit, že je to něco obtěžujícího, s čímž by je neměl nikdo otravovat. Že by to měl někdo, třeba vývojáři a velké IT firmy jako Google, Microsoft a Apple, vyřešit za ně.

 

Tak to ale nefunguje, nejen v IT, ale i v životě. Výrobce nástroje Vám dá návod, jak bezpečnosti dosáhnout, zbytek je pak ale na Vás. Když si koupíte bezpečnostní dveře, dostanete návod či školení jak je správně zasadit, použít a jak se o ně starat.

Na podobném principu to funguje i v IT bezpečnosti. Koupíte si nějaký systém a od výrobce dostanete doporučení, jak jej správně nasadit, používat a jak se o něj starat.

 

Stejně jako u bezpečnostních dveří, pokud s nasazováním nemáte moc zkušeností a pustíte se do něj sami, nejspíše to nebude tak kvalitně provedené, jako když to udělá specializovaná firma, která má v této oblasti roky zkušeností.

Co se používání týče, také tu existují nějaké best practices – jednou za čas je potřeba provést údržbu (promazat dveře/optimalizovat databázi), je třeba se starat o klíč (hesla), tak abychom jej nikde neztratili a pokud vyměníme spolubydlící (kolegy/zaměstnance), je třeba změnit i klíče (hesla).

 

 

U dveří nám to přijde naprosto normální, protože za ta staletí, co jsou tu s námi, jsme si na to zvykli. Bohužel, IT je tu s námi chvíli a bezpečnost počítačů zatím zlidovět nestihla.

 

To je hlavní důvod, proč vznikl tento e-learningový kurz – má za cíl Vás nejen naučit základům IT bezpečnosti, ale především změnit Váš mindset (způsob myšlení) co se týče benevolence k dodržování základních zásad bezpečnosti.

 

Jak jsem zmínil, mnoho lidí si myslí, že o ně se přeci žádný hacker zajímat nebude. To je ale chyba! Můžete být velmi zajímaví z několika důvodů:

Výrobní haly, automotive, sklady, nemocnice, účetní firmy, logistika… Téměř každá firma je dnes prakticky závislá na počítačích a jejich systémech. V momentě, kdy dojde k infiltraci sítě a následně k jejímu výpadku, třeba v důsledku zašifrování dat ransomwarem, dochází k ochromení firmy.

 

 

Dále pak jde jen o to, jak bude výpadek dlouhý a tedy i jak bude drahý. Útok na nemocnici v Benešově byl vyčíslen na více než 59 000 000! Výpadek kvůli chybějícím zálohám a špatné segmentaci sítě postihl většinu oddělení a nemocnice byla z větší části mimo provoz zhruba tři týdny.

 

Pro menší firmy, které po útoku dotací nepodpoří kraj či vláda, může být taková situace likvidační. Každá firma by měla mít zpracovanou analýzu rizik, aby věděla, na kolik by podobný výpadek vyšel. A nejde jen o ztrátu finanční, jde i o ztrátu reputace. Například takový T-mobile měl během posledních pár let několik velkých databreachů, neboli úniků dat. 

Finanční pokutu firma této velikosti přežije, nicméně horší je pro ni ztráta reputace a důvěry zákazníků, především těch firemních.

 

Každý z nás jako malý obvykle způsobil nějakou menší škodu, jako je rozbité okno při fotbalu na dvorku či zlomená větev na sousedovo jabloni. Mezi extrémy pak patřily hořící stohy slámy či nabouraná auta. Dnes ale každý teenager se základní znalostí angličtiny a YouTube po ruce může způsobit opravdu velké škody. Na YouTube krom videí koťátek a videoklipů najdete mnoho návodů jak hackovat, včetně potřebných příkazů, které stačí jen postupně kopírovat pomocí CTRL+C a vkládat do linuxového hackovacího systému (nejčastěji Kali linux).

 

 

Britská vláda dokonce varuje rodiče a nabádá je, aby v případě, že uvidí své děti místo her používat linux a virtuální počítače, aby kontaktovali speciální policejní skupinu a provedli s teenagerem intervenci. Jde o preventivní opatření, protože škody napáchané hackingem mohou jít do milionů a mohou stát i lidské životy.

 

V rámci GDPR se uvádí povinnost informovat kontrolní orgán do 72 hodin od zjištění porušení zabezpečení osobních údajů. V České republice je tímto orgánem Úřad na ochranu osobních údajů. 

 

Na zajištění bezpečnosti se musejí podílet všichni – od koncových zaměstnanců, kteří se budou chovat obezřetně a dodržovat zásady probírané v tomto kurzu, přes administrátora, který zajistí správné bezpečnostní politiky a dohled nad bezpečností až po management, který všem uvedeným zajistí prostředky a prostředí, ve kterém bude možné bezpečnost dodržovat. Jenom tak, když se pokryje co nejvíce těchto vektorů, bude možné případné nežádoucí události minimalizovat.