Opomíjená rizika: #2 Zabezpečení areálu
Nemusíte být obávaným agentem Jejího veličenstva, abyste se dostali do mnoha organizací a do jejich sítě pustili škodlivý software.
Proč zabezpečení areálu představuje opomíjené riziko a jak velkou hrozbu pro organizace představuje?
Půjdu zadem
“Hlavní vchod nám již několik let hlídá bezpečnostní služba, umístili jsme zde rámy a vše snímají kamery. Ovšem přišli jsme na to,
že léta nepoužívaný zadní vchod není vůbec hlídaný. Navíc je tam rozbité sklo u dveří a díru zakrývá jen jakýsi papundekl.
Takže se kdokoliv mohl nepozorovaně dostat dovnitř. Panuje podezření, že tam přespávali bezdomovci. Přitom ve sklepě máme servery.”
svěřil se nám zástupce jedné významné organizace. Bez postřehnutí se tak kdokoliv mohl dostat k serverům a provést jakoukoliv akci,
třeba si odnést veškerá data nebo vyřadit důležitá zařízení z provozu.
Vstup volný
Nicméně pro výše popsaný případ by útočník potřeboval delší přípravu. Do většiny organizací se dá dostat snadnějším způsobem.
“Dobrý den, jsem z firmy XY a jdu za panem Novákem na IT. Máme domluvenou schůzku. Vím, kde to je. Stačí když mě pustíte.”
podobně jsem se představil na jednom větším úřadě. Myslíte si, že někdo kontroloval, zda opravdu máme domluvenou schůzku?
Zda skutečně jdu pouze na dané oddělení či pracuji v uvedené firmě? Vrátný se sice podíval na občanský průkaz,
ale nic dalšího nekontroloval a dostal jsem ihned vstupní kartu. Být útočníkem, mám napůl vyhráno.
Stačí tak málo
Jakmile vás někdo pustí do budovy organizace, zbývá velice málo, abyste do její sítě vypustili škodlivý kód. A záleží pouze na vás,
co to bude. Spyware, ransomware, něco na ovládnutí zařízení v IoT, co si vyberete? Většinou stačí někde pohodit flashku – ideálně s logem
dané organizace – nějaký zaměstnanec ji pravděpodobně zkusí dát do počítače. Případně můžete na flashku přidat lístek s nápisem “Odměny”,
abyste ještě více podpořili zvědavost jejího objevitele. Nebo zajděte přímo za nějakým zaměstnancem, že jste od dodavatele IT a potřebujete
aktualizovat nějaké věci na jeho počítači. Falešnou vizitku si dnes dokáže vyrobit každý. Jména vedoucích odborů se dají dohledat
na webových stránkách. Pro lepší uvedení do obrazu se můžete podívat LinkedIn či další sociální sítě pracovníků instituce.
Dodavatele IT pak jednoduše najdete v registru smluv. Není to zas tak těžké, že?
Lidé, nikoliv systémy, jsou nejslabším článkem kybernetické bezpečnosti. Pokud do své organizace pustíte kohokoliv bez jakékoliv bezpečnostní kontroly,
pak se k vám snadno dostane škodlivý software. Jste si i nyní jistí, že jste neopomenuli zabezpečit váš areál?
Mohlo by Vás zajímat:
