Vladimír Lazecký: 7 nejčastějších problémů v bezpečnosti kanceláře

Jak vnímá nejslabší místa zabezpečení advokátních kanceláří odborník na bezpečnost informací?
Vladimír Lazecký: 7 nejčastějších problémů v bezpečnosti kanceláře

Zásady bezpečného chování v informačních systémech (nejen na internetu) by měly patřit mezi elementární znalosti každého uživatele, ať je již domácím uživatelem, nebo právníkem. Právě právníci se však od běžných uživatelů liší zejména v tom, že pracují s velmi hodnotnými informacemi. Vnímání toho, co je z pohledu bezpečnosti normální „běžném“ světě je ve světě elektronickém ve velkém porušováno.  Je například zcela nemyslitelné, aby návrh zásadní smlouvy obsahující údaje o majetkových poměrech stran byl odeslán poštou v nezalepené obálce nebo formou korespondenčního lístku. Nebo archiv celé advokátní kanceláře byl umístěn v jiné budově s tím, že majitel kanceláře ani netuší, kdo všechno má k archivu přístup a nemá šanci ovlivnit, kdo si které listiny prohlíží. Přitom přesně tyto případy jsou každodenní praxí na internetu.

Je nemožné na složité problémy navrhovat jednoduchá a všestranná řešení. Stejně tak je nemožné v rozsahu tohoto článku nabídnout jednoduchý návod, jak se chovat bezpečně. Pokusíme se však ne odborným IT jazykem upozornit na několik problémů, o kterých je dobré vědět.

znacky-01

Největší hrozbou jsme si sami sobě – tím, že neznáme alespoň základní pravidla fungování internetu a základy bezpečnostního chování, zvyšujeme riziko toho, že se staneme obětí bezpečnostního incidentu. Ty největší incidenty byly způsobeny vždy souhrou více okolností, zásadním faktorem byla ale vždy – byť nevědomá, přesto – aktivní spolupráce uživatele (klik na odkaz v mailu, snadno prolomitelné heslo, instalace podezřelého software, absence bezpečnostních záplat software, nebo odeslání důvěrných materiálů otevřeným mailem…). Uvědomme si tuto skutečnost a věnujme alespoň několik minut týdně (dobře, měsíčně) vzděláváním se a vytvářením si bezpečnostních návyků

znacky-02

Co jednou na internet umístíme, nikdy se toho nezbavíme – v tomto internet nezná žádné limity. Jakmile mail, soubor, fotka opustí náš počítač a je odeslána, nebo umístěna na sociální síť, neexistuje spolehlivý způsob, jak ji z internetu vymazat. Přitom nerozvážně odeslaná informace nás může „doběhnout“ i za několik let. Na druhou stranu, sami o sobě svobodně rozhodujeme, které informace internetu poskytneme. Je dobré si také uvědomit, že spolu s mailem, souborem, které na internet umisťujeme, vznikají i takzvané elektronické stopy.

znacky-03

Mailová komunikace je korespondenční lístek – bez mailové komunikace si nelze v dnešní době představit práci s klienty. Je rychlá, efektivní a lze jí velmi snadno přenášet různé druhy souborů. Ale pozor, technologie přenosu elektronické pošty ve svém původním návrhu a tak, jak je dnes většinou používána, nebyla navržena pro bezpečný přenos informací. Konkrétní mail lze velmi snadno podvrhnout, zkopírovat apod. Zvláště doporučujeme si přečíst podmínky používání služby na veřejných free webových službách. Nezbytným řešením je mailovou komunikaci s klienty šifrovat, a to ještě ne jakýmkoli způsobem. U šifrování je podstatné, kdo vlastní šifrovací klíče a kdo má k nim přístup. Ty musí být jen a pouze pod kontrolou daného uživatele.

znacky-04

Nezabezpečená data na disku počítače – bezpečnostní otázka, zda má smysl šifrovat data na počítači má být postavena přesně naopak – existuje nějaký důvod, zda nešifrovat? A to nejen pro případ krádeže počítače (nikdy se mi to nestalo, proč být paranoidní…), ale třeba i pro případ technické závady na datovém nosiči, kdy servis provede výměnu nového za vadný. Co se děje následně s tím vadným? Víte, že se data dají s vysokou úspěšností získat i z vadného datového nosiče? Dnes je na trhu několik velmi efektivním technologií pro šifrování dat, vždy se ale stejně jako u mailu ptejte, kdo má přístup k šifrovacím klíčům? Je to jen uživatel? Kde jsou klíče uloženy?

bezpecnost-01

znacky-05

Otevírání přístupu k datům třetím stranám – zde nejde jen o ukládání dat na cloud v otevřené či pseudošifrované podobě (opět – ptejte se – kdo vše má klíč…), ale i ošetření situací, kdy dodavatel informačního systému má v rámci zajištění servisní podpory k dispozici vzdálený přístup do informačního systému. Je nezbytně nutné vědět, kdo z jeho zaměstnanců má přístup, jak přistupuje, jak se autentizuje a jaká má v systému oprávnění. Většinu systémů lze navíc i nastavit tak, že o těchto přístupech vznikají automaticky záznamy – auditní stopy. Archivujte si je.

znacky2-04

Podcenění bezpečnostních aspektů správy sítě – u menších kanceláří, pro které není výhodné zaměstnávat vlastního IT specialistu, je obvyklé, že starost o své počítače a informační systém svěřují externím správcům sítě. Mimo již výše uvedené zásady je nutné mít k dispozici platnou základní bezpečnostní dokumentaci k informačnímu systému. Zejména jde o administrátorská hesla (ověřeně platná) uložená v trezoru, kopie základních nastavení systémů. Umíte si představit situaci, kdy váš „ajťák“ odjede na dvoutýdenní dovolenou do Alp bez dostupnosti mobilního signálu a váš informační systém se zhroutí? V tomto případě je znalost administrátorských hesel doslova k nezaplacení.

znacky2-05

Nepůjčujte služební počítače rodinným příslušníkům – tato rada se možná zdá samozřejmá, ale její dodržování už tak běžné není. Nejen, že uživatel, ale i počítač v internetu za sebou zanechává elektronickou stopu (nikdy se jí nezbavíte), ale děti jsou velmi vynalézavé v instalaci a užívání software, který lze jednoduše stáhnout. Přitom absolutně nelze mít pod kontrolou, co tak nevinně vypadající hra skrytě v počítači provádí a k jakým datům přistupuje.

Jakákoli bezpečnost přináší snížení komfortu užívání a požadavky na vyšší uživatelskou kázeň. Na internetu je k dispozici mnoho velmi názorných a dobrých doporučení, jak se chovat bezpečně. Jako poslední přijměte toto doporučení – zachovejte zdravý rozum, ale buďte si vědomi toho, že pracujete s informacemi, které mohou mít vysokou hodnotu.

Děkujeme

Napsat komentář

Vladimír Lazecký

Host
Vladimír Lazecký, odborník na bezpečnost informací, zakladatel a ředitel VIAVIS a.s.

Kategorie

Vyzkoušejte si SingleCase

Vyzkoušejte si SingleCase

Využijte 30 dní zcela bez závazku.

Mohlo by vás také zajímat

SingleCase ♥ Datovka

Spojili jsme se se sdružením CZ.NIC a nově nabízíme přímé propojení s datovou schránkou. Podívejte se, jak to funguje.

Číst dále

Jana Sedláková: Faktury u nás v kanceláři děláme všichni

Jana Sedláková je naší klientkou od začátku roku 2016, kdy se svou advokátní kanceláří v Brně teprve začínala. Od té doby se ze SEDLAKOVA LEGAL stal jedenáctičlenný tým, který se nezastaví skoro před ničím. Nás v SingleCase zajímalo, jak náš software v kanceláři používají a hlavně jak evidují úkoly a vykazují odpracovaný čas.

Číst dále

Právo v síti - povinná literatura pro všechny, kteří se pohybují na internetu, a jejich právníky (recenze knihy)

Přiznáváme bez mučení, v SingleCase moc právnické literatury nečteme. Když už ale takovou knihu přečteme a je dobrá jako Právo v síti, rádi se podělíme o její recenzi.

Číst dále

Používáním tohoto webu souhlasíte s použitím cookies pro analýzy návštěvnosti, přizpůsobený obsah a reklamy. Více

Děkujeme