Přejít k obsahu | Přejít k hlavnímu menu

English

Individuální VIP školení

Kyberbezpečnost dnes není jen otázkou technologií. I ta nejlepší ochrana může selhat, pokud uživatelé nejsou obezřetní. Technická opatření nejsou všespásná – každý z nás musí pro svoji bezpečnost aktivně něco dělat. A u vysokého vedení to platí dvojnásob.

Vedení univerzity a další rozhodující pracovníci jsou stále častěji terčem útoků. Největší riziko nepředstavují jen viry, ale sociální inženýrství – zejména phishingové e-maily, které se snaží vylákat citlivé informace nebo přimět oběť k určitému jednání.

PREZENTACE

Myšlení rychlé a pomalé aneb proč útoky fungují

Útočníci spoléhají na to, že oběť často reaguje intuitivně (na autopilota). Vychází přitom z dnes již velmi známých principů fungování lidské mysli, které popsal a popularizoval Daniel Kahneman, známé jako myšlení rychlé a pomalé:

  • Systém 1: rychlý, intuitivní = autopilot – rozhodování probíhá na základě zkušeností a emocí. Je rychlé a nenáročné, ale zároveň snadno manipulovatelné a náchylné na kognitivní zkreslení. Právě na tento systém útočníci cílí – využívají časový tlak, strach nebo důvěryhodně vypadající podněty, aby oběť reagovala impulzivně.
  • Systém 2: pomalý, analytický – rozhodování je vědomé, vyžaduje soustředění a pečlivé zvažování informací. Tento systém je odolnější vůči manipulaci, protože dokáže kriticky analyzovat situaci a ověřovat fakta.

Obrana proti phishingu - vědomosti

  • Co je problém: Phishing, nejčastější forma sociálního inženýrství, která nutí oběť k akci. Spear phishing, cílený phishing na konkrétní osoby (často management).
  • Proč je to problém: Phishing na univerzitě řešíme denně. Oběti často nevědomky předají přihlašovací údaje (přijdou o přístup k účtu) nebo zaplatí falešné faktury. 
  • Čeho chceme dosáhnout: Vypnutí “autopilota” při rozhodování. Ověřování pravdivosti požadavků.
  • Jak toho chceme dosáhnout: Systematické budování návyku “vypnout autopilota” pomocí STOPky.

Modrý počítačový monitor s bílými zubatými koly na obrazovce.

Phishing na MU

Útočník si za méně než 200 Kč zakoupil doménu (munl.cz), která napodobuje legitimní doménu Masarykovy univerzity muni.cz. Podle veřejně dostupného návodu na internetu si na této doméně nastavil e-mailový server a rozeslal phishingové e-maily věrně imitující zprávu z INETu. V nich příjemce vyzýval ke kliknutí na podvodný odkaz, který vedl na falešnou přihlašovací stránku.

Tato stránka vizuálně přesně imitovala legitimní přihlašovací portál Jednotného přihlášení. Uživatelé, kteří používají vícefaktorovou autentizaci a spoléhají na metodu ověřovacího kódu (TOTP), v domnění, že se přihlašují na skutečný web univerzity, kód zadali – a tím ho odevzdali přímo útočníkovi. Ten následně získal přístup k jejich účtům a mohl je okamžitě zneužít.

Ponaučení: ani slabší způsoby vícefaktorového ověření vás neochrání. Nahraďte TOTP bezpečnostním klíčem.

Spear-phishing na MU

Co se stalo: Útočníci využili veřejná data k cílenému spear-phishingovému útoku. Zaměřili se na členské poplatky organizace, kde MU figuruje jako člen. Přibližně měsíc před termínem skutečné platby zahájili komunikaci se správnou kontaktní osobou na MU a pod záminkou administrativního vyřízení poplatku si s ní vyměnili několik e-mailů. Díky této konverzaci získali důvěru a podařilo se jim přesvědčit zaměstnance univerzity k proplacení falešné faktury ve výši několika tisíc Euro. Podvod byl odhalen až když dorazila skutečná faktura.

Podobné podvody jsou zaznamenávány již minimálně pět let. Stejný útočný vektor byl využit i proti jiným subjektům, například leteckým společnostem.

Ponaučení: manipulace oběti ("získali důvěru") a zneužití "autopilota" při rozhodování nelze řešit technickými opatřeními, ale budováním správných návyků.

Vybudujte si návyk...

Proč to funguje: STOPka vytváří krátkou pauzu, která aktivuje analytické myšlení (Systém 2) namísto rychlých instinktivních reakcí (Systém 1). Je to podobné, jako když zastavíte na křižovatce, rozhlédnete se a až poté jednáte.

Níže máte čtyři kroky pro bezpečné posouzení každé zprávy:

  • Stůj – zastav se před reakcí.
  • Testuj – zkontroluj adresu, odkazy, přílohy.
  • Ověřuj – při pochybnostech ověř jiným kanálem.
  • Pokračuj – nahlaš podvod nebo pokračuj v práci.

... a šup s tím před monitor

Abyste na toto opatření nezapomněli, připravili jsme pomůcku (připomínáček), kterou si můžete vytisknout a postavit před monitor. Můžete si do ní zároveň zaznačit, které dny jste STOPku zvládli alespoň jednou použít.

Stáhnout STOPku

Obrana proti phishingu - technologie

Možností, jak se účinně chránit před phishingem, je celá řada. Níže proto uvádíme několik těch nejdůležitějších:

  • Tři rychlé kroky, které zvládnete hned: personalizace zpráv v INETu, štítky ve vaší e-mailové schránce a doplněk do prohlížeče TrafficLight – nastavení zabere jen pár minut.
  • Dva nástroje, které se opravdu vyplatí: správce hesel a vícefaktorové ověření do IS MU nebo Jednotného přihlášení – úvodní nastavení vám zabere trochu času, ale výrazně zjednoduší práci a zvýší bezpečnost online.

Ikona počítačového monitoru s kódovým znakem a přidruženou ikonou akademické čapky, symbolizující online vzdělávání nebo programování.

Personalizovaná autentizační zpráva v INETu

V systému INET je možné nastavit si krátkou antiphishing zprávu, která se zobrazí v úvodu každého automaticky poslaného e-mailu (např. výplatní lístek, výzvy ke schválení výkazů či jiné typy schvalování/dokumentů apod.).
Návod naleznete zde.

Vizuální štítky v e-mailovém klientu

Nejen v Outlooku si můžete nastavit barevné štítky (kategorie), které se automaticky zobrazí u e-mailů z ověřených adres (např. @muni.cz). Díky tomu snadno poznáte legitimní zprávy – pokud se štítek nezobrazí, může jít o podvržený e-mail.
Návod naleznete zde.

TrafficLight rozšíření do prohlížeče

TrafficLight kontroluje, zda navštěvované stránky nejsou podvodné (např. se snaží získat přihlašovací údaje nebo jiné informace). Pozor, nejedná se o antivir, takže vás neochrání například před nebezpečnými přílohami.
Návod naleznete zde

Vícefaktorová autentizace

S bezpečnostním klíčem zabrání útočníkovi v přístupu i tehdy, pokud získá heslo. Postup pro nastavení MFA pro JP najdete zde.​
Předchozí Následující

Správce hesel

Vyplňuje údaje pouze na legitimních stránkách a pomáhá odhalit podvodné weby. Postup pro nastavení správce hesel najdete zde.​
Předchozí Následující

Vícefaktorovou autentizaci lze nastavit také v IS MU, a to buď ověřením přes: 

  1. Identitu občana bude po zadání UČO a hesla požadováno potvrzení přihlášení pomocí identifikačního prostředku, který tam máte aktivovaný. Zvolíte ho, naskenujete QR kód a v mobilu přihlášení potvrdíte.
  2. Ověřovací aplikaci zadáte při přihlášení i jednorázový šestimístný kód. Buďte však opatrní, na jaké webové stránce kód zadáváte – legitimní stránka bude mít vždy adresu islogin.cz.

Návody naleznete na webu IS MU.

Kyberbezpečnostní doporučení pro vedoucí

Bezpečnost začíná u vás.

Proto jsme sestavili seznam konkrétních opatření, které si můžete snadno zavést i sami. Nejspíš již nyní máte správce hesel a používáte vícefaktorovou autentizaci. Další opatření pak můžete zavést pomocí návodů, na které vedou jednotlivé odkazy. Kromě technických opatření je třeba myslet i na správné návyky. Ať už jde o používání principů STOPky, nebo pravidelné školení. 

Buďte vzorem a inspirujte ostatní.

Kyberbezpečnost je proces, který bude z podstaty vždy zahrnovat i lidi. Pokud nastane na vašem pracovišti incident, jste, coby vedoucí, přirozeně součástí jeho řešení. Toto platí i pro incidenty kyberbezpečnostní. Požadujte stejná opatření a návyky i po svých zaměstnancích. Pomozte nám a buďte ambasadory pro bezpečné kyberprostředí univerzity. 

Windows
macOS
Android
iOS
  • Budujte návyky pro bezpečný pohyb v online prostředí
    • Zpracovávejte e-maily i další komunikaci vědomě (pomůže např. náš nástroj STOPka).
    • Absolvujte každoročně kyberbezpečnostní školení (jde o 90 minut vašeho času ročně).
    • Vyměňte telefon a počítač alespoň jednou za pět let.
    • Hlaste i podezření na kyberbezpečnostní incident.
  • Připomeňte si povinnosti vedoucích
    • Seznamte se s a dodržujte Pravidla IT MU.
    • Jste spoluzodpovědný/á za dořešení incidentů zahrnující vaše zaměstnance či pracoviště.
    • Při řešení incidentů reagujte na pokyny Kyberbezpečnostního týmu MU bezodkladně.
    • Pokud se od vás bude očekávat rozhodnutí; nechte si vysvětlit podstatu problému, aby vaše rozhodnutí bylo opravdu informované.
S čím se obracet na Kyberbezpečnostní tým MU?

Kyberbezpečnostní tým MU (CSIRT-MU) koordinuje řešení bezpečnostních incidentů způsobených phishingem nebo malware, úniky dat či přihlašovacích údajů. Problémy technického charakteru (např. zapomenuté heslo či nefunkční VPN) řeší technická podpora.

Slovo závěrem

Doufáme, že vám naše školení pomůže zvýšit úroveň kyberbezpečnosti nejen u vás, ale i na vašem pracovišti. Pamatujte, že i malé změny mohou výrazně snížit rizika spojená s úspěšnými útoky a jen společně můžeme dělat univerzitu bezpečnější. Neváhejte se proto na nás v otázkách kyberbezpečnosti kdykoliv v budoucnu obrátit. Jsme tu pro vás,

Kyberbezpečnostní tým MU

Napište nám

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.

Další info