Povaha útoků na počítačové sítě se neustále mění a nedostatečná obezřetnost vás může stát pěkný balík peněz. Chránit by se měla všechna zařízení ve všech sítích. Ovšem zatímco zavirovaný domácí počítač s fotkami z dovolené opláčete a přeinstalujete, počítače ve firmách s hodnotnými daty se mohou v rukou kyberzločinců stát nebezpečnými zbraněmi proti vám samotným. Útočníci mohou tato data prodat nebo je zašifrovat a vás potom vydírat. Kde číhají hlavní rizika, jak svá data správně chránit a proč je nutné dbát na zabezpečení WiFi routeru?
Představme si situaci v malé firmě. Do jedné bezdrátové sítě je připojeno několik počítačů, některé málo zabezpečené. K WiFi routeru se pak připojují zaměstnanci také ze svých mobilů a někdy možná i jejich rodinní příslušníci. Už tento stav představuje pro nedostatečně zabezpečenou síť velké riziko, neboť záškodnický software se do ní může dostat velice snadno, například přes zavirovaný mobil dítěte některého ze zaměstnanců.
Samotný teenagerův telefon žádného útočníka nezajímá, teenager totiž nemá peníze ani data, za která by byl ochoten zaplatit. Útočníci cílí na počítače, v nichž najdou něco, co mohou zneužít nebo čím mohou uživatele vydírat. Jde o haldy citlivých či cenných dokumentů, přístupy do bankovnictví, hesla ke všemožným internetovým službám a podobně. Pokud se jim to podaří, mohou po vás chtít tisíce, statisíce nebo i miliony jen za to, že vám data vrátí.
Kdo jsou internetoví útočníci?
Dřív byla tvorba škodlivých programů především hobby zlomyslných počítačových nadšenců a někdy i zvídavých puberťáků. To se ale změnilo. Viry jsou nyní vysoce zisková záležitost, vytvářejí je vysokoškolsky vzdělaní experti a zisk z počítačové kriminality dnes překonává i obchod s drogami. Není radno proto spoléhat na štěstí, a už vůbec ne doufat, že vás útoky minou. Síťovou bezpečnost je potřeba aktivně řešit.
Dobré zabezpečení firemní, ale i domácí sítě je proto naprosto zásadní. Cesta záškodnického softwaru až k ředitelovu počítači totiž nemusí být vůbec klikatá. Náš modelový teenager stahuje, co nemá, a přitom si telefon nakazí záškodnickým softwarem. Ten nakazí špatně zabezpečený domácí WiFi router, ze kterého se potom může snadno dostat do notebooku, který si zaměstnanec nakonec odnese do práce. A pokud je vaše firemní síť špatně zabezpečená, pohroma je na světě.
Existuje celá řada útoků, které nabývají různých podob. Úplně základní rozdělení lze učinit podle směru, z něhož útok přichází. Na sítě mohou záškodníci útočit ze tří stran:
Není důvod si myslet, že kybernetických útoků bude ubývat. Právě naopak. Na počítačové sítě spoléhá čím dál více firem a útočníci vymýšlejí stále sofistikovanější metody, jak tyto sítě zneužít. Je-li počítač nebo WiFi router zavirován, běžný uživatel nemusí nic poznat, pokud si to útočník nepřeje. Jak se ale stane, že se záškodnický software do počítačové sítě vůbec dostane, a co v ní může napáchat?
Jak už bylo zmíněno výše, škodlivý software se do vaší sítě může dostat skrze zařízení, která se k síti připojují. Do nich se mohou dostat např. pomocí tzv. trojského koně, což je software, který se zdá při instalaci neškodný, ve skutečnosti v sobě ale ukrývá škodlivý kód. Nemusí však jít pouze o programy, které si do počítače vědomě nainstalujete. Nebezpečné mohou být také e-mailové přílohy od neznámých odesílatelů, napadené internetové stránky nebo infikované USB disky.
A jak to vypadá, když se útočníci úspěšně zmocní vašeho WiFi routeru? Získají například přístup k jeho nastavením, mezi která patří i DNS server. Ten má na starosti překlad doménových jmen na IP adresy. Pokud tedy do internetového prohlížeče zadáte www.mojebankovnictví.příklad, útočníci jsou schopni vám zobrazit podvrženou stránku místo skutečného webu vaší banky. Do připravených polí zadáte své přihlašovací údaje, čímž je de facto pošlete útočníkům. Podobným způsobem vás mohou přesměrovat také na internetové stránky, z nichž si nevědomky stáhnete škodlivý software.
To byl pouze jeden z hrůzných příkladů toho, jak mohou útočníci zneužít špatně zabezpečenou WiFi síť. V ní se mohou některé škodlivé programy dokonce šířit z počítače na počítač (tzv. červi) a nést s sebou škodlivý kód. V lepším případě to zpomalí vaši síť, v horším to způsobí roznesení škodlivých programů do ostatních připojených počítačů. Mezi nimi může být např. i zákeřný ransomware, který umí neprolomitelně zašifrovat vaše nejcennější data.
Už jsme zmínili výše, že pokud máte malou firmu, určitě byste neměli spoléhat na nejlevnější WiFi router, který v nabídce najdete. Dostupné aktualizace pro taková zařízení nemusí být nejkvalitnější a hlavně mohou po pár letech skončit. Ani kvalitní síťové prvky vás ale nemusí ochránit, pokud nedbáte na jejich správné nastavení. Co můžete ihned udělat pro to, aby byla vaše síť bezpečnější?
Pokud chcete udělat něco pro bezpečnost vaší firemní sítě, tak bude rozhodně nutná finanční spoluúčast. Samozřejmě včetně dodržení praktických tipů, které jsme zmínili v předchozí kapitole.
Vždy záleží na konkrétních podmínkách, ale v zásadě je dobré se v rámci firemní sítě držet produktů od jednoho výrobce. To s sebou totiž nese pohodlnější správu více prvků najednou nebo v podstatě stejné uživatelské rozhraní. Důležitým rozhodnutím je také fakt, zda si vystačíte s WiFi pokrytím nebo potřebujete připojit různá zařízení (například tiskárny, nebo NAS servery) i pomocí kabelu. Někteří výrobci totiž mají ve své nabídce jen WiFi prvky, což u moderní tiskárny není žádný problém, ale NAS server jako firemní úložiště souborů je zkrátka nutné připojit pomocí kabelu.
V tomto případě vám můžeme vřele doporučit tzv. WiFi Mesh systém. O co jde? Jednoduše řečeno v jednom balení dostanete tři satelity, které mezi sebou vzájemně komunikují a vždy vaše zařízení automaticky připojí k nejvhodnější jednotce, abyste pokaždé získali ten nejlepší signál. Čím více satelitů sada obsahuje, tím větší plochu pokryjete stabilním WiFi signálem. A v případě potřeby lze snadno kdykoli dokoupit další satelity.
Instalace Mesh sítě a všech jejích prvků je velmi jednoduchá. Satelity jsou už ve výchozím nastavení spárovány a stačí pouze hlavní satelit připojit kabelem k internetu a další satelity rozmístit po kancelářích. Následné nastavení sítě přesně na míru už vám zabere jen pár minut.
Celý Mesh WiFi systém ovládáte pomocí mobilní aplikace, v níž pohodlně nastavíte své soukromí a další parametry – přístup k WiFi pro návštěvu, blokování některých uživatelů nebo případně rodičovskou kontrolu, kterou lze v rámci firmy využít k zakázání přístupu zaměstnanců například na sociální sítě během pracovní doby.
I když se to může celé řadě uživatelů zdát staromódní, přesto kombinace WiFi a klasické kabelové LAN sítě stále ve firmách převažuje. LAN síť je důležitá z pohledu stability a především kvůli přenosovým rychlostem. Standardem je 1 GbE, ale nástup 10GbE technologie je zcela nezvratný. Zejména na těch místech, kde potřebujete rychle přenést ohromné množství dat. Například v rámci zálohování serverů nebo při práci s NAS serverem.
Nesmíme opomenout, že kabelová LAN síť je citelně bezpečnější než bezdrátová WiFi. Logicky je přeci jen složitější, aby si záškodník nepozorovaně připojil vlastní počítač do volné LAN zásuvky. I vůči tomu by však správně nastavená síť měla být imunní. Typicky jsou volné zásuvky deaktivované přímo na switchi a případně je nasazena také kontrola MAC adres, která do sítě připojí pouze předem schválená zařízení.
Typickou značkou, která nabízí komplexní sortiment, je americká Ubiquiti. V široké nabídce síťových produktů Ubiquiti naleznete špičkové vnitřní a venkovní přístupové body s podporou nejnovějších standardů. Také nechybí ani výkonné routery a switche pro vysokorychlostní přenos dat. To vše lze velmi jednoduše a efektivně spravovat pomocí jedné webové konzole. Takže například změnu přístupového hesla pro WiFi změníte během pár okamžiků klidně pro 40 přístupových bodů najednou. Stejně snadno lze automatizovat nahrávání aktualizací přímo pro jednotlivé prvky sítě.
Velmi podobně funguje i další známý výrobce TP-LINK a jeho systém Omada. Opět jde o ucelené produktové řady, vhodné pro jakékoli firemní nasazení. Vzhledem k tomu, že jednotlivé síťové prvky jsou v rámci interní sítě napojeny na hlavní cloudový kontrolér, můžete díky zabezpečenému propojení do cloudu na podnikovou síť dohlížet odkudkoliv na světě. Klidně i pomocí mobilní aplikace (je dostupná pro Android a iOS). Spravovat lze jednotlivé přístupové body, ale i cloudové kontroléry Omada bez nutnosti dalších nákladů na nákup a instalace dalšího hardwaru. A díky využití cloudu se nemusíte starat ani o žádný lokální server, na kterém by typická dohledová služba sítě běžela. Z pohledu bezpečnosti pak oceníte fakt, že na cloudu nejsou uložena žádná konfigurační data a ani přes něj neběží žádná firemní komunikace.
Platforma TP-Link Omada SDN nabízí robustní ochranu sítě včetně lepšího soukromí uživatelů. Mezi klíčové prvky zabezpečení patří například vlastní VPN, silný firewall, URL/IP/MAC filtrování, kontrola přístupu, pokročilé šifrování WPA3 nebo speciální portál pro registraci dočasného přístupu. Vždy tak lze zpětně dohledat, co které zařízení v síti dělalo.
Jakmile máte koncové zařízení připojené k síti a následně k internetu, je nutné řešit zabezpečení. Samotná ochrana proti různým hackerům se skládá z několika vrstev, které se vzájemně podpírají. Již jsme zmínili, že je nutné pracovat na PC výhradně s nižšími uživatelskými právy, díky čemuž odfiltrujete celou řadu možných útoků. Například když nepozorně kliknete na podvržený e-mail. Samozřejmě je vhodné používat některý z placených antivirových programů. Zdůrazňujeme, že placených. Pokud za antivir nechcete platit, používejte vestavěný Microsoft Defender přímo ve Windows 10 a neinstalujte nic dalšího – je to zbytečné.
V rámci placených antivirových systémů jsou velmi dobré reference na slovenský ESET. S jeho pomocí vás nepřekvapí žádné podezřelé stránky nebo soubory z nedůvěryhodných zdrojů. I když je ve firmách dobrým zvykem uživatele pravidelně školit na práci s technikou, přesto jen málo uživatelů dokáže v každodenní záplavě různých e-mailů odhalit potenciální problém.
Naše doporučení tedy zní jasně – na počítači s Windows 10 pracujte výhradně s nižšími uživatelskými právy, mějte nainstalovaný placený antivirový program, používejte aktualizovaný webový prohlížeč a samozřejmě pravidelně zálohujte klíčové soubory na externí disk, který není stabilně připojený k PC. To je kombinace, která vás poměrně dobře ochrání před nástrahami internetových zákoutí.
Pokud nedodržíte ani základní prvky internetové bezpečnosti, je jen otázkou času, kdy nastane den s velkým D. Tím myslíme situaci, kdy bude váš počítač zavirovaný. Co s tím? Pokud půjde jen o nějaký malware, tak to vlastně ani nemusí obyčejný uživatel poznat. Nicméně budou na něj vyskakovat různá reklamní okna, místo typické vyhledávací stránky seznam.cz se bude objevovat nějaká jiná. A samozřejmě se dostaví i postupné zpomalení celého PC.
IT profesionál takové PC rozpozná během pár okamžiků. Laik si musí pomoci například jednorázovou kontrolou pomocí nástroje ESET Online Scanner. Ten z prostředí webového prohlížeče proskenuje vaše PC. Pokud budou nalezeny problémy, aplikace se je pokusí odstranit. Pokud to nepůjde, nejpozději v tento moment volejte svého správce IT a počítač neprodleně odpojte od sítě.
Pokud však chytnete ransomware, můžeme vám garantovat, že to okamžitě pozná i naprostý počítačový neznalec. Všechny soubory na ploše a v dokumentech totiž najednou nepůjdou otevřít. Například místo oblíbené fotografie se objeví pouze výzva k zaplacení výpalného, v některých případech i s informací, kolik času uživateli na zaplacení zbývá. Po uplynutí doby se požadovaná částka navýší. Typicky hacker požaduje platbu v bitcoinech nebo jiné virtuální měně. Po zaplacení by následně mělo dojít k odšifrování dat nebo obnovení přístupu do infikovaného zařízení. V praxi však i po zaplacení zůstávají soubory zašifrované. Proto doporučujeme nic neplatit.
Co však s tím? Počítač napadený ransomwarem je nutné kompletně zformátovat a nainstalovat operační systém znovu. A pak záleží, jak starou máte zálohu na externím disku, protože zašifrovaná data jsou nenávratně pryč.
Kybernetická ochrana firemních zařízení a dat je v současné době tak komplexní záležitost, že na tohle zkrátka potřebujete IT specialistu. Bez jeho odborných znalostí vystavujete svoji firmu obrovskému bezpečnostnímu riziku.