Kybernetická bezpečnost a útoky hackerů v nezisku
Jsme neziskovka, nás se kybernetická bezpečnost či útoky hackerů netýkají..
Co by si na nás, kdo vzal? Skoro nic nemáme, s ničím neobchodujeme. Používáme antivir a silné heslo. Je nás jen pár, všichni víme, co dělá ten druhý. Používáme jen ověřené aplikace.
Takhle často přemýšlí a argumentují lidé z malých neziskovek. Bohužel opak je pravdou. Kyberzločince zajímá každý uživatel internetu, protože každý má ve svém notebooku či telefonu něco, na čem mu záleží. Okresní nemocnice třeba data o svých pacientech, obchodní korporace databáze klientů, malý startup plány k převratné inovaci, člověk z malé neziskovky kromě pár emailů třeba jen fotky z povedené dovolené.
Každý prostě má něco, co pro něj má hodnotu a hacker to moc dobře ví.
Zkuste si představit, že jste ztratili notebook, nebo mobilní telefon. Opravdu to s vámi nic nedělá? Anebo už vás začíná svírat na hrudi a začínáte si uvědomovat o kolik důležitých věcí, dat, kontaktů a informací jste přišli?
Informace o napadení neziskových organizací jsou ve světě již od roku 2014. Od roku 2017 útoků na neziskové organizace stále přibývá. Ano hackeři se nejdříve zaměřili na velké, americké nevládní organizace, s velkými rozpočty a velkým množstvím dat, ale i díky strojovému učení a umělé inteligenci je dnes snazší (a rozumějte hlavně i levnější), napadnout v podstatě kohokoli. Napadení se už netýkají jen bohatých amerických organizací, útoky jsou prováděny všude na světe, Českou republiku nevyjímaje.
Aktuálním domácím příkladem je držitel značky spolehlivosti organizace PFERDA, z.ú., která působí v Královehradeckém kraji a pomáhá lidem s mentálním postižením a duševním onemocněním. Hackeři napadli server společnosti a smazali veškerá účetní data od roku 2018 a zašifrovali zálohy. Co chtějí jako výkupné? Maličkost „jen“ 4 bitcoiny (aktuálně cca 3 mil Kč)
Ale my fakt skoro nic nemáme…
Dobrá. Tak se pojďme na to vaše „nic“ podívat. Udělejte si chvilku času, alespoň čtvrt hodinku na jednoduchou analýzu. Vezměte si tužku a papír odpovězte na čtyři, zdánlivě jednoduché otázky.
Otázka číslo 1 – Jaká data ve své organizaci máte?
- O zaměstnancích
- O klientech
- O dárcích
- Účetní data
- Marketingová data a data obchodní povahy (ano i v nezisku máme data obchodní povahy, která můžou zajímat konkurenci – plány, rozpočty, projekty…)
- Co dalšího vás napadlo??
Otázka číslo 2 – Kde máte data uložena?
- Firemní server
- Cloud
- Notebook, telefon, tablet…
- Co dalšího vás napadlo? Je ten notebook či telefon striktně využíván pro práci, nebo je používán i pro soukromé účely. A jak víte, že ho doma v dnešní době nepoužívají děti k výuce?
Otázka číslo 3 – Kdo a jaký má přístup k vašim datům?
- Zaměstnanci
- Dobrovolníci
- Externí spolupracovníci
- Mají všichni nastaveno rozdílná práva k přístupu k datům, podle jejich práce a pracovního zařazení, nebo mají všichni přístup ke všemu?
- Co dalšího vás napadlo??
Otázka číslo 4 – Jak svá data chráníme?
- Používáte silná hesla
- Pravidelně aktualizujete SW i HW (ano i třeba „blbá“ tiskárna se díky přepojení do sítě a paměťové desce může stát epicentrem útoku)
- Používáte bezpečnostní prvky (např. VPN) pro připojení se do sítí
- Máte vypracované bezpečnostní směrnice a pravidelně je aktualizujete
- Pravidelně školíte své kolegy, zaměstnance i externisty v oblasti počítačové bezpečnosti a ochrany dat a ověřujete si, že rozumí tomu, co po nich žádáte
- Co dalšího vás napadlo?? Opět i tady vás určitě napadá spousta dalších možností.
Takto si sami můžete provést alespoň prvotní analýzu kybernetické bezpečnosti ve vaší organizaci. Věřím, že váš papír je teď popsaný a plný poznámek. A to je dobře, je to dobrý základ.
Analýza rizik
Analýza rizik je ale dle zákona o kybernetické bezpečnosti každodenní nepřetržitá činnost, která by měla být prováděna:
- 1 x ročně
- Při každé změně
- Při každé odhalené hrozbě
Jako dobrou pomůcku všem, kteří by měli zájem o provedení si auditu na trochu vyšší/hlubší úrovní (vč. např. nastavení stupnic hodnocení zranitelnosti či obecného nastavení parametrů) doporučuji k ruce návodnou vyhlášku č. 82/2018 Sb., o kybernetické bezpečnosti.
Pokud si sami netroufnete provést hlubší analýzu, obraťte se na specializované odborníky. Na ty se obraťte i v případě následné aplikace bezpečnostních (zejména HW) prvků.
Nezapomínejte ale na to, že nejslabším článkem je ČLOVĚK
Odborníci, kteří se kybernetické bezpečnosti věnují již roky říkají „je úplně jedno, jestli jde o zhrzeného zaměstnance, který přístup k vašim datům umožnil úmyslně, nebo šlo o někdo z týmu, kdo to provedl neúmyslně. Výsledek je totiž úplně stejný“.
Zkuste občas kouknout na stránky Národního úřadu pro kybernetickou a informační bezpečnost (NUKIB), krom výše uvedených zákonů tam najdete informace o aktuálních hrozbách, najdete tam ale i přehledné návody a různé podpůrné a vzdělávací materiály.
Kybernetické bezpečnosti se budeme více věnovat i v AVPO ČR, chystáme pro vás přednášky a workshopy a také dotazník, který se bude věnovat této problematice.
První z workshopů proběhne ve středu 31.3. od 9:30 hod. Přihlásit se na něj je možné ZDE
Ing. Hana Čepová, (web avpo/Linkedin) projektová manažerka AVPO ČR, která se mj. věnuje osvětě v oblasti kybernetické bezpečnosti neziskových organizací
Ilustrační foto: PIXABAY