Zásady kybernetické bezpečnosti (nejen) pro neziskové organizace
Jako většina organizací, také ty neziskové často využívají informační technologie. Ty představují velkou pomoc, ale skýtají i některá rizika, o nichž je radno vědět.
Informační technologie se hojně využívají nejen pro správu a řízení vlastního chodu organizace či spolku, ale i coby nástroje pro oslovování veřejnosti. V mnoha ohledech jsou v neziskovém sektoru využívána podobným způsobem jako v tom ziskovém. Proto se lze v otázkách správného přístupu ke kybernetické bezpečnosti inspirovat i u komerčních subjektů, které většinou mají na řešení těchto otázek vlastní experty. S čím se nejčastěji potýkají?
Nedostatečná kvalita uživatelských hesel
Přestože se v tomto článku zabýváme informačními technologiemi, tak základním kamenem úrazu je chování uživatelů. Zejména to platí u hesel. Ideální heslo by totiž mělo mít nejméně 12 znaků a vyskytují se v něm malá i velká písmena, číslice a speciální znaky. Doporučována jsou frázová hesla, která mohou z fráze jednoduše vyrobit řetězec na první pohled nesouvisejících znaků. Ideální mohou být pro tento účel např. oblíbené filmové hlášky, životního motta, či úryvek textu písně. Nebo nějaké libovolné věty, které poslouží jako mnemotechnické pomůcky.
Takže např. „Božena Němcová se narodila v 19. století a napsala Babičku“ se transformuje v heslo „BNsnv19.sanB“. Tento přístup lze pochopitelně použít i reverzně, pokud si člověk nechá vygenerovat heslo počítačem a následně si mnemotechnickou pomůcku teprve vymyslí, což mimochodem může být aktivita nejen kratochvilná, ale i mentálnímu zdraví prospěšná.
Systémovým prvkem na ochranu uživatelských přístupů je pak dvoufaktorové ověřování, které známe např. z internetového bankovnictví.
Techniky sociálního inženýrství
Kdysi byl pojem sociálního inženýrství zmiňován zejména v kontextu sociálních věd a řízením či plánováním chování společnosti, nyní je častěji užíván právě v souvislosti bezpečnostních rizik. Sociální inženýrství totiž zastřešuje manipulativní praktiky, jejichž cílem je vylákání informací a citlivých dat od druhých osob. Řadíme sem např. phishing (podvodná elektronická komunikace vyzývající uživatele např. k odtajnění přístupových údajů) a vishing (podvodná telefonická komunikace s tímtéž účelem).
Obranou proti těmto útokům je zostřená pozornost. Než tedy na podobné výzvy zareagujete, vždy je dobré se zamyslet, zdali není něco v nepořádku (adresa odesílatele může být jiná než obvykle, občas prozradí útočníky i jazyková neobratnost). Také je vhodné si ověřit, s kým přesně komunikujete (to platí obzvláště u telefonních hovorů).
Podezřelé emaily a neznámé přílohy
„Neotvírej neznámé přílohy a radši ani maily od podezřele vypadajících emailových adres!“ Tohle je jedna z těch pouček, které každý zná, ale ne vždy je automaticky a stoprocentně aplikuje v praxi. Jelikož četnost emailové komunikace rapidně roste a denně zpracujeme desítky či (v horším případě dokonce) stovky zpráv, snižuje se naše obezřetnost.
Za nejrizikovější jsou považovány přílohy s koncovkou *.exe, které označují spustitelný soubor, pomocí něhož lze do počítače nainstalovat ohrožující program. Zcela bez rizika však nejsou ani klasické soubory tzv. kancelářského balíku (Word, Excel, PowerPoint apod.).
Neaktualizovaný antivirový program
Antivirový program funguje obvykle jako databáze aktuálně známých počítačových virů a škodlivého softwaru (malwaru), která umožňuje identifikaci a eliminaci potenciálních hrozeb. Z tohoto důvodu je nezbytné, aby „knihovna“ antivirového programu byla neustále aktualizovaná. Pokud aktualizovaná není, nemůže antivir fungovat optimálně.
Potěšující je, že na trhu jsou k dispozici i freewarové antivirové programy, takže není důvod tento bezpečnostní prvek opomíjet a vymlouvat se na úsporná opatření.
To je tak ve zkratce to nejdůležitější pro začátek. Příště si povíme další zásady a možná i něco více z praxe, neboť kybernetické útoky se bohužel nevyhýbají ani webům neziskových organizací a občanských iniciativ (byť nám se zatím vyhnuly a upřímně doufáme, že vám taky).