Většina lidí už pravděpodobně porušila svá novoroční předsevzetí, ale tady je jedno, kterého se hodlám držet: resetovat svá hesla a přehodnotit strategii řešení správy hesel.
Zde je důvod. Pokud pracujete v informační bezpečnosti, už víte, jak závažné bylo narušení bezpečnosti LastPass, oznámené koncem prosince 2022. Alespoň podle portálu Wired byl hack LastPass „ve skutečnosti masivním a znepokojivým únikem dat, který odhalil šifrované trezory hesel – korunovační klenoty každého správce hesel – spolu s dalšími uživatelskými daty“.
Chcete dostávat do mailu týdenní přehled článků z CIO Business Worldu? Objednejte si náš mailový servis a žádná důležitá informace vám neuteče. Objednat si lze také newsletter To hlavní, páteční souhrn nejdůležitějších článků ze všech našich serverů. Newslettery si můžete objednat na této stránce.
Velkým problémem pro uživatele je, jak zdůrazňuje Wired, změna hlavního hesla LastPass, které chrání data trezoru, nebude schopna ochránit data, která již byla odcizena. A to je velký problém.
Během posledního desetiletí jsme se spoléhali na LastPass (nebo alternativy jako 1Password nebo Apple iCloud Keychain), abychom udrželi naše důležitá hesla dostupná – a co je důležitější – v bezpečí. Ulevilo se nám, že jsme mohli mít pohodlí automatizovaného řešení, které také mohlo chránit naše hesla v zašifrovaném formátu. Předpokládali jsme, že bezpečnostní opatření jsou spolehlivá. Ale s tímto nejnovějším narušením LastPass je čas přehodnotit strategii hesel.
Předsevzetí ohledně hesel
Je tu nový rok, tak proč nezačít znovu se zabezpečením hesel? Aktualizujte a obnovujte svá hesla bez ohledu na to, zda si myslíte, že jste byli kompromitováni, nebo je zde možnost, že budete kompromitováni. To je důležité, i když nepoužíváte správce hesel a místo toho se spoléháte na list papíru nebo desítky poznámek.
S tímto nejnovějším porušením a těmi dříve v roce 2022 je více než pravděpodobné, že vaši zaměstnanci budou mít alespoň jedno nebo více svých hesel vystavených ve volné přírodě. A je jedno, jestli ukážete prstem na LastPass nebo něco jiného. Pokud má někdo heslo, které je aktivní déle než rok, pravděpodobně vystavuje sebe i společnost riziku.
Je také čas přehodnotit používání správců hesel. Chcete vložit tolik důvěry všem svým heslům do rukou jednoho dodavatele? Asi před 5–7 lety mohla být doba, kdy bylo super pohodlné a bezpečnější používat správce hesel. Ale prolomení LastPass prokázalo, že i ty nejpohodlnější a nejbezpečnější „spolehlivé systémy“ mají chyby a mohou být také hacknuty.
Správa přístupu zaměstnanců
Když to vezmete o krok dále, dejte si záležet na průběžném školení zaměstnanců, které vašim týmům pomůže vyhnout se oklamání phishingovými a malwarovými taktikami. Chování uživatelů v organizacích se znovu a znovu ukázalo být významnou zranitelností organizací, která často vede k odhalení přihlašovacích údajů.
Nejméně dvě studie o narušení dat během roku 2022 zjistily, že chyby nebo omyly zaměstnanců způsobily 88 % nebo 95 % narušení dat. Vy si vyberte, kterému číslu věříte. V každém případě je to příliš vysoké procento, které nelze ignorovat, a pravděpodobně poroste, pokud organizace nepřehodnotí, jak poskytují a spravují přístup ke svým kritickým systémům. Příliš mnoho zaměstnanců má velice často přístup k věcem, které ve skutečnosti nepotřebují.
A co cloudové zabezpečení?
Organizace musí také lépe porozumět tomu, kdo má přístup k firemním aktivům v cloudu. Teoreticky by mělo být cloudové zabezpečení silnější, protože jej spravují některé z nejlepších podnikových organizací. K narušení však může dojít i v rámci těchto organizací, jako tomu bylo v květnu 2022 u AWS.
Ve vašem cloudovém prostředí by mělo být prioritou také monitorování přístupu. Správa oprávnění a úrovní oprávnění se může zkomplikovat s rotujícími dodavateli a problémy s poskytováním a potenciálně stovkami vrstev funkcí, z nichž každá má svou vlastní vrstvu oprávnění. Omezení přístupu je důležité nejen pro zvýšení bezpečnosti, ale také pro snížení nákladů. Proč platit za přístup lidem, kteří jej nepotřebují nebo by jej mít neměli?
Mezi mé společnosti v portfoliu patří podniková bezpečnostní společnost, která pomáhá přesně vylepšit způsob automatizace správy přístupu pro cloudová prostředí a aplikace SaaS. Jejich MO je o určení toho, kteří zaměstnanci nebo dodavatelé mají přístup ke kterým systémům a projektům; a umožnění jejich nepřetržitého poskytování a správy.
Řešení dokáže rychle omezovat zaměstnance, kteří již nejsou zaměstnanci, nebo dodavatele, kteří se již neúčastní projektu, což zlepšuje zabezpečení a snižuje náklady. To vše se děje při zajištění toho, že uživatelé mají pouze přístup, který potřebují ke své práci. Jsem přesvědčen, že úsilí v tomto směru bude stále běžnější.
Kromě omezení přístupu sníží omezení lidských chyb také příležitosti pro kybernetický útok na vaši organizaci. To vyžaduje neustálé školení o phishingu, cyklování hesel a chování při surfování po webu, mimo jiné. Přijetím těchto proaktivních opatření v rámci vaší organizace můžete snížit počet lidských chyb vedoucích k narušení kybernetické bezpečnosti.
Konsolidace řídí pokrok
I když se zdálo, že rok 2022 bude mít dost slabé výsledky, pokud jde o kola růstu a odchody firem zabývajících se kybernetickou bezpečností, pozdní nárůst investic ve čtvrtém čtvrtletí vedl podle výzkumu Momentum Cyber k lepšímu investičnímu scénáři, než se očekávalo.
V příštím roce by mohlo dojít ke konsolidaci firem v oblasti kybernetické bezpečnosti a správy dat. Jak se finanční trhy začnou zotavovat a větší společnosti získávají více důvěry, mohou být více nakloněny nákupu pokročilých technologií, které svět startupů poskytuje, pravděpodobně za nižší násobky, než jaké bylo možné dříve dosáhnout před několika měsíci. A s konsolidací trhu mohou CISO zaznamenat určitou úlevu, protože jednorázové vztahy se zkonsolidují do jednoho z větších poskytovatelů. To by bylo dobré pro svět startupů a ještě více pro bezpečnostní manažery, kteří chtějí snížit počet vztahů s dodavateli, které je třeba spravovat.
Příští rok vypadá slibně. Zaujetím proaktivního postoje k resetování hesel, přehodnocením strategií správy hesel, zlepšením znalostí zaměstnanců v oblasti kybernetické bezpečnosti a omezením toho, kdo má k čemu a kdy přístup – se možná budete moci lépe chránit před některými zločinnými útoky, které pro nás může mít připravené rok 2023.
CIO Business World si můžete objednat i jako klasický časopis (v tištěné i v digitální podobně) Věnujeme se nejnovějším technologiím a efektivnímu řízení podnikové informatiky. Přinášíme nové ekonomické trendy a analýzy a zejména praktické informace z oblasti podnikového IT se zaměřením na obchodní a podnikatelské přínosy informačních technologií. Nabízíme možná řešení problémů spojených s podnikovým IT v období omezených rozpočtů. Naší cílovou skupinou je vyšší management ze všech odvětví ekonomiky.