IT bezpečnost
IT bezpečnost při práci s informačními technologiemi
Osnova
• IT bezpečnost obecně
• Autentizace, autorizace
• Hesla, správa hesel
• Hrozby v rámci IT
bezpečnosti
Definice IT bezpečnosti
“IT bezpečnost je souhrn kyberbezpečnostních
strategií, které chrání před neautorizovaným
vniknutím do podnikových aktiv jakými jsou
počítače, sítě a data. IT bezpečnost spravuje
integritu a důvěrnost citlivých informací a chrání
je před sofistikovanými hackery (Cisco, 2020). “
Typy IT bezpečnosti
Síťová bezpečnost
– Ochrana podnikovésítě předvniknutím neautorizovanýchči nebezpečných uživatelů.
Internetovábezpečnost
– Ochrana informací, které jsou přijímány a odesílány přes webové prohlížeče (lze omezit i internetové stránky, aby jezaměstnanci nenavštěvovali).
Endpointbezpečnost
– Zabezpečeníkoncovýchbodů(PC, tablety, mobilní telefony, notebooky) pomocí hesel atd.
Cloudovábezpečnost
– Zabezpečenídat, informací a aplikací, které má organizace v cloudu.
Aplikační bezpečnost
– Zabezpečení aplikací a programů, snimž uživatelé pracují, tento typ zabezpečení se řeší již při vývoji aplikací, aby aplikace neměla slabá místa, nebo se alespoň dostatečně zminimalizoval jejichpočet. (Cisco, 2020)
Bezpečnost koncových zařízení
• Nejpodstatnější pro koncové uživatele je znát principy bezpečnosti koncových zařízení.
• Mezi nejdůležitější principy bezpečnosti koncových zařízení patří hesla a jejich správa, znalost podvodných taktik (phishing, spamming) a podvodných programů (malware, spyware).
• Informace a data firmy jsou velmi cenné aktivum, proto je
nutné zaměstnance podniku školit v rámci bezpečnosti, aby
nedošlo k úniku informací či infiltraci do podnikové sítě.
Autentizace a autorizace
• Pro jasnou komunikaci dalších témat je ještě podstatné si vyjasnit pojmy autentizace a autorizace.
• Autentizace= procesověřováníproklamované identity
• Autorizace= oficiální svolení k akci, udělenísvolení k provedení určité činnosti Příklad1:
• Pokud uživatel vkládá svoje přihlašovací údaje (login a heslo), provádí autentizaci, protože login a heslo by měl znát pouze on.
Příklad2:
• Pokud se uživatel snaží dostat k určitým informacím (např. citlivým, pacientská data), systém kontroluje, zda k tomuto přístupu má práva (tzn. zda je uživatel autorizovaný k danému kroku). Pokud není, přístup mu je odepřen.
Autentizace a autorizace
• V rámci autorizace lze různým uživatelům přiřadit různá práva v rámci přístupů k informacím.
• Toto přidělování práv má na starosti IT pracovník.
• Jaká práva lze dostat?
– Read – soubor si můžete pouze zobrazit, ale neupravíte jej.
– Write – můžete si soubor zobrazit a upravit jej.
– Modify – soubor lze zobrazit, upravit a smazat.
– Full access – se souborem lze dělat vše.
– Read and execute – soubor si lze zobrazit a pokud se jedná např . o
program, můžete jej spustit.
Dvoufázová autentizace
• Dvoufázová autentizace je autentizace, která využívá kombinaci dvou různých faktorů:
1) uživatel něcoví, 2) uživatel něcoje, 3) uživatel něcomá.
• Proces dvoufázového ověření začíná stejně jako ten pro jednoduchou autentizaci:
zadáním loginu a hesla (uživatel něco ví). Následuje druhý krok procesu, který se odvíjí od toho, jaký faktor ověření má uživatel zadaný -vložení USB klíče, či kódu ze SMS nebo aplikace (uživatel něco má), nebo vložení otisku prstu nebo např. skenu sítnice nebo krevního řečiště (uživatel něcoje).
• Přidaná hodnota je zvýšení bezpečí informací, které jsou touto autentizací chráněny. Login a heslo mohou být zcizeny, ale zcizit login, heslo a USB bezpečnostní klíč/telefon je daleko těžší, u skenu sítnice nebo krevního řečiště téměř nemožné.
Hesla, správa hesel
• Login a heslo spolu dohromady tvoří dvojici údajů pro autentizaci uživatele.
• Heslo by podle odborníků na bezpečnost mělo obsahovat alespoň:
– jedno velké písmeno, – jednu číslici,
– jeden speciální znak.
Aplikace pro správu hesel
• Aby se uživatel vyhnul tomu, že si píše hesla na papír, existuje aplikace na správu hesel.
Je to program (databáze hesel), kam uživatel vloží přihlašovací údaje a ty program zašifruje.
• V této aplikaci má uživatel uložené účty (např. název aplikace či webové stránky, ke které heslo patří), uživatelské jméno a heslo. Celá aplikace je chráněna heslem, které si uživatel zvolí. Aby byla ostatní hesla v bezpečí, je nutné, aby toto heslo bylo dostatečně silné.
• Pro zobrazení hesla si pak akorát uživatel vybere daný účet, k němuž heslo potřebuje, a heslo si zobrazí.
• Aplikace je bezpečná, protože téměř všechny firmy používají 256bitové AES šifrování, tudíž jsou hesla vbezpečí.
• Mezi nejznámější aplikace pro správu hesel patří KeePass, 1Password či Avast Passwords.
Aplikace pro správu hesel
Hesla, správa hesel
• Doporučení pro správu hesel:
1. Mít pro každý účet zvláštní heslo.
2. Za určitý časový úsek hesla měnit.
3. Využívat aplikaci pro správu hesel – pro každý účet lze uložit heslo (v zašifrované podobě).
4. Nezapisovat si hesla na kus papíru.
5. Omezit ukládání hesel aplikacemi.
6. Nesdílet heslo s jinou osobou.
Hrozby v rámci IT bezpečnosti
• Při práci s informačními technologiemi je nutné si dávat pozor, na jaké webové stránky navštěvujeme, jaký USB disk vkládáme do PC a komu sdělujeme naše přihlašovací údaje.
• Hrozby, se kterými se lze setkat při práci s
informačními technologiemi, se dělí na dvě
části – malware a sociální inženýrství.
Malware
• Malware je „software, který je nainstalován do PC uživatele bez jeho vědomí a svolení a provádí v něm nechtěné a často škodlivé činnosti (Ciampa a Revels, 2013). “
• Malware si může uživatel do počítače „dostat“
při návštěvě nebezpečných webových stránek
či vsunutím neověřeného USB disku.
Malware
• Mezi malware se počítá:
– virus – soubor či program, který se v PC sám replikuje a provádí nechtěné činnosti (např . maže soubory, vypíná bezpečnostní opatření počítače nebo zformátuje hard disk),
– červ – program, který vyhledává zranitelné části programu či OS, jakmile je najde, dostane se do počítače a přes síť rozesílá svoje kopie do ostatních PC,
– spyware – program, který sleduje, co uživatel dělá a sbírá
jeho informace. Lze takto získat hesla, platební údaje atd.
Malware
zdroj: Wikipedia, 2020
Social engineering
• Sociální inženýrství je „prostředek sběru informací potřebným k útoku na základě slabin jednotlivců (Ciampa a Revels, 2013). “
• Nejpodstatnějším prvkem sociálního
inženýrství je snaha přesvědčit osobu, na
kterou je útočeno, že útočník je věrohodná
osoba.
Social engineering
• Mezi sociální inženýrství se počítá:
– phishing – rozesílání e-mailu nebo zobrazování webových stránek, které předstírají, že je rozeslala/zobrazuje legitimní autorita (např . banka), aby zmátli uživatele a ten vložil soukromé údaje (např . číslo karty, exspirací a CVV kód).
– spamming – zasílání nevyžádaných e-mailů, které zahltí e-
mailovou schránku a její vlastník nemůže pořádně pracovat
(mezi obrovským objemem spamových e-mailů nemůže nalézt
pracovní e-maily, osobní zprávy atd.). Zároveň se přes tyto
pochybné e-maily může šířit malware.
Příklad phishingu
Literatura
• Ciampa, M. a Revels, M. (2013) Introduction to Healthcare Information Technology.
• Cisco (2020) What Is IT Security? Dostupné z:
https://www.cisco.com/c/en/us/products/security/what-is-it-security.html (Viděno: 12. říjen 2020).
• Phishing. In: Wikipedia: the free encyclopedia [online]. San Francisco (CA):
Wikimedia Foundation, 2001- [cit. 2020-10-14]. Dostupné z:
https://cs.wikipedia.org/wiki/Phishing
• WannaCry ransomware attack. In: Wikipedia: the free encyclopedia [online]. San Francisco (CA): Wikimedia Foundation, 2001- [cit. 2020-10-14]. Dostupné z:
https://en.wikipedia.org/wiki/WannaCry_ransomware_attack