Bezpečnost je trochu jako správná životospráva – všichni tak nějak vědí, co by měli dělat, ale trochu to bolí, tak často radši nedělají nic Jsou organizace, které na to mají celé lidi nebo oddělení, ale zajímá mě, jak to děláte v menších komerčních firmách nebo neziskovkách, kde to téma nejde ignorovat, nejde moc „outsourcovat“, ale zároveň na něj není mnoho času ani kvalifikace. Máte nějaké „rozumné minimum“, přes které nejede vlak?
My jsme to teď v organizaci řešili, dávám dohromady nějaký základní checklist a pravidelný proces. Co mě napadlo jako nepodkročitelné minimum:
Víme, jaká data máme a kde
Máme jasně určené, kdo za co odpovídá
Dodržujeme základní pravidla osobní bezpečnosti
Používáme generovaná hesla
Nerecyklujeme jedno heslo pro víc služeb
Kde to jde, používáme autentizaci druhým faktorem
Používáme správce hesel (v podstatě plyne z předchozích bodů)
A v rámci toho pravidelného procesu (například jednou čtvrtletně) přemýšlím nad věcmi jako:
Je náš seznam nástrojů / databází / disků aktuální?
Kdo všechno má k danému nástroji / databázi / disku přístup? Potřebují ho ještě?
Nemůžeme dotyčný nástroj / databázi / disk úplně smazat? Proč ne?
Máme v daném nástroji vygenerované nějaké API klíče? Potřebujeme je ještě? Není vhodná chvíle je přegenerovat?
Tohle všechno je samozřejmě hodně subjektivní a ad hoc, ale v menších organizacích to takhle určitě funguje, pokud vůbec nějaké uvažování o bezpečnosti mají. Jak to řešíte vy? Máte nějaký proces? Rigoróznější, víc ad hoc? Zajímá mě spíš celkový přístup k tématu bezpečnosti než konkrétní jednotlivosti (třeba generovaná vs. frázová hesla). Díky!
neodcházím od počítače, aniž bych ho neuspal a probuzení vyžaduje heslo – i když si jdu jen do kuchyňky pro čaj. Prostě si to zautomatizovat podobně jako, když sednu do auta a zapínám bezpečnostní pás
V rámci dlouhodobé bezpečnosti dat jsme si prošli degooglizací. Hodně jsme se toho báli, měli jsme tam léta e-mailů a dokumentů, ale s pomocí externích expertů to nebylo tak náročné a hladce jsme najeli na nové platformy (NextCloud, protonmail, nástroje od NoLogu…). Při této změně jsme oprášili procesy, co zmiňuješ, plus jsme si dali úklid hardware, které se za léta také nashromáždilo jako nefunkční, ale s daty uvnitř. Impulsem bylo, kromě dlouhodového vědomí, jak Google nakládá s daty, hlavně zpoplatnění jejich služeb i pro neziskovky.
V úterý jsme si udělali první bezpečnostní dýchánek, kde jsme prošli základy hygieny a narazili na jeden praktický tip – web Have I Been Pwned. Tam můžete zadat svůj mail a zjistit, jestli nebyl součástí nějakého známého bezpečnostního incidentu. Pokud tam zadáte nějaký déle existující používaný mail, skoro vždycky to něco najde, což je podle mě dobrý psychologický moment podporující zákaz sdílení hesel mezi službami
A kromě toho tam jde po ověření domény zapnout notifikace pro libovolný mail ve vaší doméně, takže když se objeví v nějakém známém leaku, přijde vám mail. To je super služba.
PS. Pro zájemce sdílím svou úterní prezentaci – je to čistě pracovní materiál a bez dodatečného kontextu není tak užitečná, ale třeba z ní můžete vybrakovat pár nápadů do svých procesů:
U nás ve firmě se osvědčilo mít dedikovaný Slack kanál, kde kdokoliv může poslat screenshot emailu/konverzace/SMS a ověřit si, zda se jedná o scam/phishing.
Podařilo se nám takhle předejít pár katastrofickým scenařům. Zároveň to skvěle zvyšuje povědomí o tomhle tématu. Některé emaily pobaví a naopak některé jsou k nerozeznání. Určitě doporučuji.
Cool! Zavedeme, díky za tip Jak moc jsou ty vzorky konverzací citlivé? Máte to třeba jako soukromý kanál? Nebo dovedeš si to třeba i představit jako veřejnou službu, třeba tady na fóru?
haveibeenpwned.com už je zajímavé jen pro individuální adresy - protože po překročení 10 adres z jedné domény už chtějí platit “Subscription free breaches and domains with up to 10 breached accounts can be searched for free or you can purchase a subscription below to query larger domains.”
Máme to jako veřejný kanál na firemním slacku. Všichni zaměstnanci k němu mají přistup a věřím že tam je víceméně celá firma.
Co se týká citlivosti, tak většinou ty maily neobsahují nic citlivého. Sem tam dorazí něco specifického s osobními údaji, zaměřeno na specifickou roli (typicky finance a invoices).
Jsou organizace, které na to mají celé lidi nebo oddělení, ale zajímá mě, jak to děláte v menších komerčních firmách nebo neziskovkách, kde to téma nejde ignorovat, nejde moc „outsourcovat“, ale zároveň na něj není mnoho času ani kvalifikace. Máte nějaké „rozumné minimum“, přes které nejede vlak?
“Subscription free breaches and domains with up to 10 breached accounts can be searched for free or you can purchase a subscription below to query larger domains.”