Bezpečně do roku 2023
Vkročte do nového roku bezpečně. Kyberbezpečnostní tým Masarykovy univerzity připravil desatero předsevzetí, která mohou každému pomoci lépe se o sebe v kyberprostoru postarat.
Útočníci v kyberprostoru neustále vymýšlí nové zákeřné způsoby, jak oklamat své oběti a nezřídka kdy míří místo technologií na člověka. Z mušky nespouští ani Masarykovu univerzitu – těsně před vánočními svátky proběhla již několikátá spear-phishingová vlna, která za sebou zanechala desítky kompromitovaných účtů. Jak se těmto nástrahám ubránit?
Tím se zabývají experti z Kyberbezpečnostního týmu Masarykovy univerzity (CSIRT-MU), kteří považují bezpečné kyberprostředí za nezbytné pro moderní vzdělávací instituci. Proto pro vás připravili několik základních doporučení, která se vyplatí znát. Jejich dodržování můžete pojmout například jako předsevzetí do roku 2023.
Desatero předsevzetí pro rok 2023
Kyberbezpečnost pro běžné uživatele není raketová věda. Pár kroků, které se příliš nemění, vám pomůže ochránit se před velkými nepříjemnostmi.
CSIRT-MU
Neotvírat
Nepůjčovat
Zamykat
Vytvořit si
Vyhýbat se
Používat
Pozornost se vyplácí
Nyní stručně nakoukneme pod pokličku útoků, kterých se naše desatero týká. Častou vlastností, na kterou útočníci spoléhají, je nepozornost uživatelů – podvést člověka pro ně bývá jednodušší než se o totéž pokoušet obcházením zabezpečení u technologií. V praxi tedy rozesílají podvodné e-maily, které vedou uživatele k přihlášení se do důležitých účtů. Přihlašovací brány jsou však falešné. Na Masarykově univerzitě jsme zaznamenali podvodné přihlašovací stránky například k IS MU i Portálu.
Nejen zfalšované přihlašovací brány, ale i samotné e-maily bývají propracované. Často se snaží vzbudit strach („Pokud se nepřihlásíte do 24 hodin, zaplatíte pokutu 10 000,-“), zvědavost („Pikantní záběry z vánočního večírku naleznete na této adrese.“) nebo například touhu po výdělku („Vyhráli jste 30 000,-, pro výběr výhry se přihlaste skrze tento odkaz.“). A právě proto je klíčové být pozorný a nenechat se podobnými technikami nachytat.
Doporučujeme vždy ověřovat, kdo je odesílatelem zprávy (tedy z jaké e-mailové adresy zpráva přišla), zvláště v případě peněžních částek. Také je na místě kontrolovat URL adresu stránek. V některých případech útočníci jen změní či přidají písmena nebo čísla ( www.portal.muni.cz -> www.portal.munii.cz –nenápadné, že?).
Kybernetická bezpečnost má spoustu přesahů i do běžného, fyzického světa, pravidlo pozornosti se tedy vyplatí i zde, a to pro často přehlížená zařízení z hlediska bezpečnosti – tablet, notebook či smartphone. Útočník dokáže překopírovat celý obsah hard disku za několik minut. Proto je důležité nikdy nenechávat svá zařízení odemčená bez dozoru. Pokud naopak potřebujete něco do zařízení přenést, nepoužívejte externí nosiče (flashdisk, CD-ROM…), u kterých si nejste jisti obsahem a původem – mohou obsahovat škodlivý software, který si přenesete do zařízení, aniž byste o tom věděli. I proto je klíčové mít instalovaný a aktualizovaný antivirový program. Také pozor při přihlašování se do účtů na veřejnosti, útočnici dokáží údaje jednoduše odkoukat.
Heslo jako klíč
Heslo odemyká všechna tajemství k účtům, které střeží, a proto se u nich na chvilku zastavíme. Heslem vždy prokazujete svou identitu a jakmile jej získá kdokoliv další, otevírá se mu přístup do vašich nejniternějších dat. V dnešní době dokáží internetoví boti a algoritmy zkoušet tisíce kombinací hesel za minutu, proto je silné heslo základ.
Umění tvořit bezpečná hesla nespočívá ve využití desítek speciálních znaků a symbolů, přesto na tento mýtus stále můžete v mnoha zdrojích narazit. Tajemství silných hesel tkví v kombinaci jednoduše zapamatovatelných slov. Taková hesla se nazývají frázová a prolomit by je trvalo několik miliónů let. Pro tvorbu postačí například scenerie cestou do práce nebo vzpomínka z dětství, a to v podobě tří až čtyř slov. Doporučujeme také přidat na náhodná místa zástupné znaky (mezera, čísla, interpunkce, symboly).
Příklady frázových hesel: HOOPskočilzajícpřes2pole, 3karatovýprstenodM., 10%šancevsázcesPetrem.
Tip: Denně se uživatel přihlašuje do mnoha účtů a obecně známým faktem je, že heslo by mělo být do každého účtu odlišné. Pro jednodušší manipulaci s účty proto CSIRT-MU doporučuje instalaci správce hesel Bitwarden (pro uživatele Apple zařízení Keychain), který funguje jako opravdu bezpečná truhlice všech účtů střežena jedním, opravdu silným heslem.