Nejlépe používat pouze psací pero, papír a veškerá svá data zamykat do trezoru, nebo nejlépe spálit. Tak by se s nadsázkou mohlo shrnout doporučení specialistů na internetovou bezpečnost. Jak se rozšiřuje dostupnost připojení k internetu a stoupá počet uživatelů, kteří jsou jen minimálně obeznámeni s riziky používání sítě sítí, stoupá také riziko, že vám „někdo vybílí účet“.
To tvrdí například nezávislý internetový publicista Daniel Dočekal. „Lidé vždycky kliknou na okénko YES nebo CONTINUE, i kdyby to měla být otázka, zda chcete vymazat harddisk, nebo převést peníze z účtu do Indonésie,“ uvedl Dočekal na konferenci Trendy v internetové bezpečnosti, kterou ve čtvrtek uspořádala společnost Internet Info. Podle něj žádná data na internetu nejsou stoprocentně bezpečná. „Nikdy ničemu nevěřit a hlavně myslet,“ nabádá Dočekal. Podle něj za působení virů na internetu jsou odpovědní tvůrci operačních systémů, kteří to v zájmu svobody uživatele umožnili.
Různé počítače na hry a na bankovnictví
Podle Jana Guzaniče z Cleverlance Enterprise Solutions se bude riziko útoků na internetu za účelem získání peněz zvyšovat. „Atraktivita útoků bude stoupat. V době krize bude spousta lidí z IT branže bez práce a bude se toho snažit využít,“ míní Guzanič. Tvrdí, že bude stoupat strukturální přetížení bezpečnostních správců sítí. „Znalosti pro řešení útoku jsou vždy jiné a nebudeme vědět, jak se na něj připravit,“ zdůraznil Guzanič. Podle něj je klíčová osvěta a vzdělávání uživatelů. „Nelze se připojovat na internetové bankovnictví z počítače, na kterém si děti hrají hry,“ dodal.
Novým trendem při internetových útocích je právě získávání přístupových hesel k internetovým hrám. Využití těchto hesel k přístupu k dovednostem a schopnostem u jednotlivých her se totiž dá reálně zpeněžit. Upozornil na to Filip Navrátil z ESET software, která se podílí na vývoji bezpečnostních řešení. „V minulém roce dominoval nárůst zcizení hesel k online hrám. Obecně se dá říci, že cílem útoků je jednoznačně získat peníze, útoky se již neprovádějí kvůli slávě a zviditelnění se.“
Do budoucna se dá očekávat hrozba útoku přes „díry“ v internetových prohlížečích, útoky na mobilní telefony. Ataky budou „neviditelné“, aby měl útočník více času nepozorovaně škodit a tedy zvyšovat svůj výnos ze své činnosti. Útoky se budou zvyšovat i přes sociální sítě jako je Facebook, LinkedIn apod. Přes ně lze velmi snadno získat hesla, které uživatel používá i pro jiné služby. „Slovníkový útok je velmi jednoduchý. Mnoho lidí používá jako heslo jméno své manželky, milenky, psa,“ řekl Navrátil.
Firemní notebook pro celou rodinu
Další kapitolou je rozšíření používání firemních notebooků. Šéfredaktor Root.cz Petr Krčmář uvedl, že 47 procent firem v ČR poskytuje služební notebooky svým zaměstnancům, přičemž obliba notebooků stále roste, loni byl jejich podíl na celkovém prodeji počítačů téměř dvoutřetinový. „S tím, jak obliba mobilního připojení roste, přibývá i nových bezpečnostních forem,“ zdůraznil Krčmář. Pro tento rok se odhaduje, že se na celém světě bude často připojovat k internetu na 850 milionů firemních mobilních zařízení.
Riziko tkví v tom, že co si zaměstnanec nedovolí udělat se svým stolním počítačem v práci, bezstarostně dělá doma nebo na cestách se svým notebookem, komunikátorem. V praxi to je například instalace nedovoleného hardwaru i softwaru, která znamená velké bezpečnostní riziko i pro firemní data. To si mnoho lidí vůbec neuvědomuje.
„Skrz jeden počítač, který je napojen na firemní síť, je možno řídit útok na další firemní počítače, servery. Přes botnety lze ovládat jakýkoliv firemní počítač, jak útočník chce,“ zdůraznil Krčmář. Botnet, zjednodušeně řečeno, umožňuje pomocí robota sledovat chování uživatele, co píše na klávesnici, kam kliká myší. V případě pokynu majitele splní robot zadaný úkol přes napadený počítač, kterému se říká zombie. (Více ZDE)
Firmy by tak měly jasně nastavit pravidla (i technicky), jakým způsobem používat firemní hardware, vzdělávat zaměstnance v oblasti rizik. Umožnit přístup pouze k online datům, které zaměstnanec opravdu potřebuje, šifrovat komunikaci (například pomocí virtuální privátní sítě VPN).
Cílené útoky na klienty banky
Nezávislý bezpečnostní konzultant Rastislav Turek zdůraznil, že útoky na účty elektronického bankovnictví v podobě phishingu a jeho nejmodernějších metod - Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), jsou často neodhalitelné a velmi těžko se jim běžný internetový uživatel brání. Opticky není schopen rozpoznat, že z jeho počítače byl útok proveden.
„Ochrana bank v Česku i na Slovensku je velmi slabá, téměř katastrofální. Obecně se to dá říci o celé Evropě. O něco lepší je situace v USA, kde jsou požadovány určité bezpečnostní standardy,“ řekl v rozhovoru pro Respekt.cz Turek. Podle něj je i velmi nesnadné žalovat banku, pokud z účtu zmizí peníze. „Důkazní břemeno je na vás, musíte dokázat, že jste to neudělali vy a to je často nemožné,“ dodal. Turek založil blog, na kterém se o možných rizicích i ochraně můžete dočíst více.
Banky podle Turka nemají přílišný zájem zvyšovat bezpečnostní standardy, protože to je velice drahé a mnohá opatření zatěžují klienty bank natolik, že zvýšené bezpečnostní standardy odmítají využívat. Odborníci radí využívat služby banky, která má nejvyšší standardy zabezpečení, používat e-banking jen v nejnutnějších případech a velké zůstatky peněz převést na účet, ke kterému není přístup přes internet. „Cestou do budoucna by mělo být zlepšení komunikace mezi bankou a klientem. Dnes jsou klienti na internetbankingu celkem opuštění,“ domnívá se Jiří Kašpar, který je vedoucím projektu PlugAndBank u xBanky.
Pokud jste v článku našli chybu, napište nám prosím na [email protected].
