Bezpečnost je trochu jako správná životospráva – všichni tak nějak vědí, co by měli dělat, ale trochu to bolí, tak často radši nedělají nic Jsou organizace, které na to mají celé lidi nebo oddělení, ale zajímá mě, jak to děláte v menších komerčních firmách nebo neziskovkách, kde to téma nejde ignorovat, nejde moc „outsourcovat“, ale zároveň na něj není mnoho času ani kvalifikace. Máte nějaké „rozumné minimum“, přes které nejede vlak?
My jsme to teď v organizaci řešili, dávám dohromady nějaký základní checklist a pravidelný proces. Co mě napadlo jako nepodkročitelné minimum:
Víme, jaká data máme a kde
Máme jasně určené, kdo za co odpovídá
Dodržujeme základní pravidla osobní bezpečnosti
Používáme generovaná hesla
Nerecyklujeme jedno heslo pro víc služeb
Kde to jde, používáme autentizaci druhým faktorem
Používáme správce hesel (v podstatě plyne z předchozích bodů)
A v rámci toho pravidelného procesu (například jednou čtvrtletně) přemýšlím nad věcmi jako:
Je náš seznam nástrojů / databází / disků aktuální?
Kdo všechno má k danému nástroji / databázi / disku přístup? Potřebují ho ještě?
Nemůžeme dotyčný nástroj / databázi / disk úplně smazat? Proč ne?
Máme v daném nástroji vygenerované nějaké API klíče? Potřebujeme je ještě? Není vhodná chvíle je přegenerovat?
Tohle všechno je samozřejmě hodně subjektivní a ad hoc, ale v menších organizacích to takhle určitě funguje, pokud vůbec nějaké uvažování o bezpečnosti mají. Jak to řešíte vy? Máte nějaký proces? Rigoróznější, víc ad hoc? Zajímá mě spíš celkový přístup k tématu bezpečnosti než konkrétní jednotlivosti (třeba generovaná vs. frázová hesla). Díky!
neodcházím od počítače, aniž bych ho neuspal a probuzení vyžaduje heslo – i když si jdu jen do kuchyňky pro čaj. Prostě si to zautomatizovat podobně jako, když sednu do auta a zapínám bezpečnostní pás
V rámci dlouhodobé bezpečnosti dat jsme si prošli degooglizací. Hodně jsme se toho báli, měli jsme tam léta e-mailů a dokumentů, ale s pomocí externích expertů to nebylo tak náročné a hladce jsme najeli na nové platformy (NextCloud, protonmail, nástroje od NoLogu…). Při této změně jsme oprášili procesy, co zmiňuješ, plus jsme si dali úklid hardware, které se za léta také nashromáždilo jako nefunkční, ale s daty uvnitř. Impulsem bylo, kromě dlouhodového vědomí, jak Google nakládá s daty, hlavně zpoplatnění jejich služeb i pro neziskovky.
V úterý jsme si udělali první bezpečnostní dýchánek, kde jsme prošli základy hygieny a narazili na jeden praktický tip – web Have I Been Pwned. Tam můžete zadat svůj mail a zjistit, jestli nebyl součástí nějakého známého bezpečnostního incidentu. Pokud tam zadáte nějaký déle existující používaný mail, skoro vždycky to něco najde, což je podle mě dobrý psychologický moment podporující zákaz sdílení hesel mezi službami
A kromě toho tam jde po ověření domény zapnout notifikace pro libovolný mail ve vaší doméně, takže když se objeví v nějakém známém leaku, přijde vám mail. To je super služba.
PS. Pro zájemce sdílím svou úterní prezentaci – je to čistě pracovní materiál a bez dodatečného kontextu není tak užitečná, ale třeba z ní můžete vybrakovat pár nápadů do svých procesů:
U nás ve firmě se osvědčilo mít dedikovaný Slack kanál, kde kdokoliv může poslat screenshot emailu/konverzace/SMS a ověřit si, zda se jedná o scam/phishing.
Podařilo se nám takhle předejít pár katastrofickým scenařům. Zároveň to skvěle zvyšuje povědomí o tomhle tématu. Některé emaily pobaví a naopak některé jsou k nerozeznání. Určitě doporučuji.
Cool! Zavedeme, díky za tip Jak moc jsou ty vzorky konverzací citlivé? Máte to třeba jako soukromý kanál? Nebo dovedeš si to třeba i představit jako veřejnou službu, třeba tady na fóru?
haveibeenpwned.com už je zajímavé jen pro individuální adresy - protože po překročení 10 adres z jedné domény už chtějí platit “Subscription free breaches and domains with up to 10 breached accounts can be searched for free or you can purchase a subscription below to query larger domains.”
Máme to jako veřejný kanál na firemním slacku. Všichni zaměstnanci k němu mají přistup a věřím že tam je víceméně celá firma.
Co se týká citlivosti, tak většinou ty maily neobsahují nic citlivého. Sem tam dorazí něco specifického s osobními údaji, zaměřeno na specifickou roli (typicky finance a invoices).
Fyzická bezpečnost - Přístup na pracoviště - Mám bezpečné zámky? Dají se kopírovat klíče? Vím kolik kopií mám a kdo je má? Cizí osoby na pracovišti - např. pravidlo, že nikdy nebudou bez doprovodu zaměstnance (klasická situace, někdo skončí pohovor v místnosti, rozloučí se a nechá člověka odejít samotného skrz kancelář). Opouštění pracoviště - zamykání dveří, oken. Ochrana před živly atd. Co třeba fyzické dokumenty - smlouvy atd.? Mám je zálohované a jak, mám je uložené ve skříni s nějakou dodatečnou ochranou (zámek na skříni, na dveřích), velmi citlivé/důležité dokumenty např. uložené v bezpečnostní schránce (vodě/ohni vzdorné). Vše zdokumentované, zaměstnanci seznámení s procesem atd.
Incident proces - Jak se budu chovat, když se nějaký incident přece jenom stane? Komu to nahlásím, jak rychle, jakým způsobem. Musím to nahlásit partnerům, klientům atd., že mám potenciální únik? Mám incident report? Kdo ho udělá, kdo zkontroluje stav procesů proti incidentu, jestli je vše v pořádku nebo je možnost snížit riziko?
Zálohování - Cloud není všemocný. Mám zálohy, kolik a kde/jaké (kopie na flashce je hezká, ale co když mi ukradnout tašku s flashkou? Nebo mi shoří kancl?). Kontroluji jestli jsou zálohy v pořádku (jestli nezálohuji poškozená data nebo jestli zálohuji v pořádku a všechno?
Vybavení - Vedu evidenci, jaké zařízení mám, které jsou aktivní, které je potřeba vyřešit (např. vyčistit notebook po odchodu zaměstnance, skartovat disky/datová úložiště)? Aby se mi např. právě nestalo, že v krabici ve skříní hromadím notebooky a disky plné smluv a osobních údajů. Mám vzdálený přístup k vybavení a můžu je na dálku smazat (např. telefon na kterém je 2FA appka)?
Onboarding a offboarding - Mám proces, evidenci toho co každý dostal (věci, přístupy) a podle kterého můžu člověka offboardovat? Zajistím, aby v případě okamžitého propuštění neměl přístupy, aby nemohl poškodit nebo zkopírovat data atd.
Ohledně těch kompromitovaných emailů, Avast má stejnou službu, placená verze má aktivní monitoring. → https://www.avast.com/hackcheck
Jsou organizace, které na to mají celé lidi nebo oddělení, ale zajímá mě, jak to děláte v menších komerčních firmách nebo neziskovkách, kde to téma nejde ignorovat, nejde moc „outsourcovat“, ale zároveň na něj není mnoho času ani kvalifikace. Máte nějaké „rozumné minimum“, přes které nejede vlak?
“Subscription free breaches and domains with up to 10 breached accounts can be searched for free or you can purchase a subscription below to query larger domains.”