Kapitola 8 – Zabezpečení počítače
V kybernetickém světě veškeré dění probíhá mnohem rychleji než v běžném lidském životě. Zabezpečení počítačů musí být založeno tedy na stejně rychlých technických prostředcích. Bránit musíme také krádeži nebo neoprávněnému přístupu.
1. Úvod
V reálném světě je veškeré dění relativně pomalé a lidé jsou na tuto rychlost zvyklí. Počítače ale dokáží provádět miliardy operací za sekundu a jsou navíc propojeny do sítě, která umožňuje přenášet informace na vzdálenosti stovek kilometrů ve zlomcích sekundy. To, co v reálném světě trvá nezanedbatelnou dobu, může ve světě počítačů, na Internetu, trvat pouhý okamžik. Toho lze využít k efektivnější práci, ale samozřejmě také zneužít.
Ochrana proti zneužití v kybersvětě tedy musí být také založena na technických prostředcích, které jsou stejně rychlé a umí tak držet krok. Je ale také potřeba myslet na ochranu proti zneužití zařízení v reálném světě, a to obranou proti krádeži nebo neoprávněnému přístupu.
2. Fyzický přístup k zařízení
Když se bavíme o zabezpečení zařízení, jako jsou pracovní stanice, notebooky nebo chytré telefony, je nutnou podmínkou omezení fyzického přístupu k nim. Zabrání se tak zneužití zařízení, jeho krádeži a také není možné z něj odebrat nebo k němu naopak přidat nějaké součásti.
Proto je potřeba mít svá zařízení neustále pod dohledem, a pokud to není možné, znemožnit k nim přístup. Nejčastěji uzamčením místnosti, kde se pracovní stanice nachází, nebo uložením notebooku do uzamykatelné skříně nebo stolu. Při cestování nebo na konferencích je důležité nenechávat zařízení volně odložené, ale nosit je s sebou, případně použít například bezpečnostní rámy, do kterých lze notebook vložit a lankem uzamknout ke stolu.
Kromě fyzické manipulace se zařízením má volně dostupné zařízení také nevýhodu, že s ním může kdokoliv pracovat. Většina uživatelů při opuštění zařízení totiž zůstane přihlášena, takže každý kolemjdoucí může zařízení použít, něco do něj nahrát nebo smazat. Pokud je uživatel navíc ještě přihlášen do nějaké agendy, například informačního systému, emailové schránky, získá kolemjdoucí přístup i do těchto systémů.
Při odchodu z kanceláře je tedy více než vhodné zařízení vypnout a při kratších nepřítomnostech, jako je uvaření si čaje nebo přestávka na oběd, uzamknout obrazovku, aby ani kolegové ve stejné místnosti neměli možnost pracovat s vaším zařízením.
3. Zařízení připojené do sítě
V dnešní době jsou téměř všechna zařízení připojena k Internetu, aby mohla komunikovat – posílat a přijímat emaily, navštěvovat webové stránky, stahovat soubory apod. To ovšem znamená, že k zařízení není nutné přijít jen osobně, ale je za určitých okolností dostupné vzdáleně díky svému připojení k Internetu.
Pokud by byl svět ideální, nemohlo by se připojeným zařízením nic stát, protože by byla vždy v perfektním technickém stavu (a v ideálním světě by mimochodem nebyli ani kyberpodvodníci). Ve skutečnosti je potřeba počítat s tím, že svět ideální není, a podle toho se o svá zařízení správně starat a také je správně používat. Jedině tak lze bezpečně přežít ve světě Internetu.
4. Automatické aktualizace operačního systému
Operační systém (Windows, Linux, MacOS apod.) musí obsahovat každé zařízení, jinak by nebylo možné mít uživatelské účty, spouštět aplikace a vůbec zařízení používat. Z praktického pohledu není operační systém nic jiného než hodně velká a složitá aplikace. Vzhledem k velké složitosti a tomu, že ji vyrábějí (programují) lidé, vzniká velké množství chyb, o kterých nikdo neví. Časem je však může někdo objevit, například výrobce během dalšího vývoje, uživatelé během používání nebo také kyberpodvodníci, kteří je chtějí využít pro sebe. Většinu chyb naštěstí nelze zneužít, ale občas se objeví nějaká obzvlášť závažná, kterou například lze zneužít pro ovládnutí vašeho zařízení na dálku.
Výrobci operačních systémů na zjištěné chyby reagují vydáváním oprav ve formě aktualizací (update). V zájmu rychlé opravy chyby ve svých zařízeních je nezbytné tyto aktualizace instalovat co nejdříve – dnešní operační systémy už mají standardně možnost automatické aktualizace, kdy se jako uživatel o nic nestaráte a vaše zařízení samo v pravidelných intervalech zjišťuje, zda pro něj je připravena nějaká aktualizace, a pokud ano, automaticky ji stáhne a nainstaluje.
Každý operační systém jednou zastará, výrobcem už není dále podporován a přestane pro něj opravy vydávát. Termíny konce podpory oznamují výrobci operačních systémů v dostatečném předstihu. Pro nás to prakticky znamená, že pokud našemu operačnímu systému skončila podpora, musíme přejít na jiný, novější, podporovaný. V opačném případě se vystavujeme riziku, že kyberpodvodníci zneužijí chybu operačního systému, kterou již výrobce nikdy neopraví.
5. Automatické aktualizace používaných aplikací
Aplikace, které jsou v zařízení nainstalovány, trpí úplně stejnými problémy jako operační systémy a mohou obsahovat chyby, které je potřeba opravovat. Často používané další aplikace jsou například kancelářské balíčky, aplikace na správu pošty (např. Thunderbird, Outlook) a mnohé jiné specializované, např. účetnictví apod.
Většina soudobých aplikací je schopna se sama aktualizovat nebo alespoň upozorňovat na existenci nové verze. V takovém případě aktualizaci proveďte co nejdříve. Pro ostatní, zejména starší, aplikace je vhodné nové verze kontrolovat manuálně alespoň jednou za určitý čas.
6. Aplikace pro zabezpečení zařízení
Na zařízení lze také nainstalovat různé aplikace, které mají ve svém popisu práce starat se o bezpečnost zařízení a zamezit vzniku bezpečnostních problémů. Již několik let je standardem, že kvalitní výrobci slučují funkce všech svých bezpečnostních aplikací do jedné větší aplikace, které obvykle říkají zabezpečení koncových zařízení (Endpoint Security). Pojďme se podívat, v čem nám mohou pomoci.
Antivirový program
Při normální práci uživatelé běžně spouštějí aplikace, otevírají soubory z externích paměťových zařízení a otevírají obsah stažený z Internetu. Co když ale stažený soubor obsahuje nějakou závadnou aplikaci, která se jen tváří jako běžný dokument? Co když na připojeném flash disku jsou viry?
Před těmito hrozbami nás chrání antivirový program, což je speciální aplikace, která neustále běží na pozadí systému a kontroluje, k jakým souborům je přistupováno. Každý takový soubor pak pečlivě prozkoumá, zda neobsahuje nějaký virus, který by mohl vašemu zařízení uškodit, a pokud ano, nedovolí daný soubor otevřít.
Antivirový program vyhodnocuje každý soubor podle seznamu (databáze) známých škodlivých kódu, který několikrát denně aktualizuje z databází vydávaných výrobcem. Běžné antivirové programy umí také detekovat podezřelé chování počítače a tuto činnost zablokovat, i když škodlivý kód v seznamu nemá (tzv. heuristika).
Co je to virus?
Virus je program určený k poškození nebo vniknutí do počítačového systému. Je vytvořen kyberzločinci a jedná se o sadu příkazů, které se po spuštění vykonají. Zpravidla se tyto příkazy nevyskytují samostatně, ale jsou obsaženy v jiných spustitelných souborech. Může jít o velmi zákeřný virus, který může například smazat uložené soubory, nebo pouze o virus, který má za úkol obtěžovat uživatele. Například vyskakující okna s reklamou.
Firewall
Díky počítačovým sítím a Internetu mohou spolu libovolná dvě zařízení komunikovat (zjednodušeně řešeno). Každá komunikace však může být potenciálně nebezpečná – může cílit na chyby v některých instalovaných aplikacích nebo na chyby operačního systému, případně i na nesprávně nastavené zařízení. Proto se i zde aplikuje pravidlo minimálního přístupu a komunikace je omezována jen na tu nezbytně nutnou.
Pro tyto potřeby existuje tzv. firewall, který není nic jiného než brána mezi zařízením a zbytkem světa. Komunikace procházející touto bránou je kontrolována a na základě pravidel, která si uživatel nastavil, je rozhodnuto, zda komunikace bude propuštěna či nikoli. Typicky je omezováno, kdo se může k zařízení připojit a něco požadovat, např. vzdálené přihlášení, stažení souboru apod. Moderní firewally umožňují také nastavit, které instalované aplikace smí komunikovat a jakým způsobem, takže lze zabránit nechtěné komunikaci těchto aplikací.
Bezpečná návstěva webu
Podle statistik je nejčastější činností uživatele procházení webu a webových stránek, proto součástí bezpečnostních aplikací bývá také komponenta, která aktivně zabraňuje návštěvě závadných webů (závadných z hlediska bezpečnosti, ne informací na nich uvedených) nebo na takových webech alespoň blokuje jejich závadné součásti. I když tedy uživatel nerozpozná, že například emailem dostal závadný odkaz, a stránku navštíví, může být ochráněn.
7. Oddělení administrátorských a uživatelských účtů
Pro práci s počítačem vždy potřebujeme uživatelský účet, kterému je přiřazen nějaký profil. Říká například, jak má vypadat pracovní plocha, a hlavně, jaká oprávnění uživatel má. Aplikace spuštěná uživatelem s obyčejným uživatelským účtem se nemůže dostat k souborům, které uživateli nepatří, a celkově má velmi omezené možnosti. Na rozdíl od toho administrátorský účet umožňuje zasahovat do nastavení operačního systému, má přístup ke všem souborům a jeho zneužití je tedy potenciálně velmi nebezpečné. Proto bychom se měli vyvarovat běžné práci pod administrátorským účtem a ten používat pouze omezenou, nezbytně nutnou, dobu pro nastavení systému.
8. Správce zařízení
Každé zařízení by mělo mít svého správce, který zařídí, že bezpečnostní doporučení budou splněna. S dostupnými návody by to jistě zvládnul každý uživatel, ale obvykle je odborníkem v jiných oblastech a nechce plýtvat svým časem na správu zařízení. V takovém případě je potřeba zajistit si spravování svých zařízení – u uživatelské podpory ve své organizaci, u správce IT svého oddělení, u znalého kolegy nebo u odborné firmy. Obdobně to funguje například u automobilů – také je jejich uživatelé svěřují servisům. Uživatel by měl, obdobně jako řidič, vědět, co pro své zařízení požaduje, a umět si péči zařídit.
9. Shrnutí
V této kapitole jsme se dozvěděli, že je potřeba se správně chovat k zařízení, které používáme pro přístup k Internetu. V první řadě je třeba neumožnit nikomu nepovolanému zařízení použít nebo s ním být o samotě – proto je důležitá fyzická bezpečnost zařízení a zamykání obrazovky při odchodu.
Pro dnešní zařízení je typické, že jsou připojena k Internetu a tedy je možné k nim přistupovat také vzdáleně. Proto je potřeba používat odpovídající technické prostředky – aplikaci pro zabezpečení koncových stanic, která obsahuje minimálně antivirový program a firewall. Nesmíme také zapomenout, že je potřeba aktualizovat operační systém zařízení i nainstalované aplikace včetně antivirového programu. Pro případ, že by přece jen došlo k úspěšnému napadení zařízení, je vhodné pracovat vždy pod uživatelským účtem, protože díky nižším přístupovým právům nebude škoda tak velká. Pokud se na správu svého zařízení necítíte dostatečně technicky zdatní nebo na to jen nemáte čas, zajistěte si kvalitního správce, který se o vaše zařízení postará.