Teams, Zoom, Slack a ti další. Jak zajistit, aby komunikace napříč firmou byla opravdu bezpečná?

Před dvěma a půl lety pandemie naprosto změnila náš způsob práce. Spousta z nás nemohla dojíždět do práce ani navštěvovat své klienty a dodavatele. Z online pracovních nástrojů, které jsme do té doby používali jen sporadicky, se ze dne na den stala nutnost. Pamatujete ještě na svou první covidovou online schůzku s kolegy? Jaký to byl tenkrát pocit?

Dneska už je naštěstí home office jen příjemným pracovním benefitem, a ne lockdownovou nutností, virtuální setkávání nám ale už zůstala. I kvůli efektivnějšímu využití času.

Schválně, kdy jste se naposledy s někým potkali přes Teams, Zoom, Skype nebo WebEx?

Kdy je třeba mít se na pozoru?

Šikovné aplikace, které nám dávají tolik svobody, se ale mohou snadno proměnit v potenciální riziko. S pandemií jim celosvětově stoupl počet uživatelů, Zoomu třeba na 47 milionů. A to už je pro útočníky velmi lákavý počet. Do karet jim hraje zejména to, že aplikace mají mezi uživateli velkou důvěru, takže na nich neváhají sdílet značné množství osobních nebo citlivých firemních dat.

Největší riziko je tedy phishing, který otevře dveře třeba ransomware útoku nebo z důvěřivých zaměstnanců vyláká přihlašovací údaje k firemním účtům včetně těch bankovních.

Klasický scénář je následující: vašemu zaměstnanci přijde podvodný mail. Aby hacker vzbudil co největší důvěru a jeho mise byla úspěšná, zneužije některou z metod sociálního inženýrství. Získá tak například přístupy do Teamsů a začne kontaktům rozesílat škodlivé přílohy. Na podezřelé přílohy v mailu už máme radar skoro všichni, ale na Zoomu či jiné platformě ji většinou nečekáme. Takže tam škodlivé přílohy, i když jich přijde míň, mají daleko větší míru otevření.

I takhle může vypadat zpráva od útočníka. Nabourá se do účtu vašeho kolegy a pošle vám jeho jménem infikovanou přílohu. V mailu byste asi byli obezřetnější, že?

Komunikační platformy pod palbou

Třeba společnost Zoom byla pod palbou kritiky kvůli kyberbezpečnosti už vícekrát. V letech 2020 a 2021 dala několikrát k dispozici aktualizaci s chybou, která umožňovala hackerům snáze se dostat do vašeho počítače.

Stejně známý je i případ, kdy hackeři v roce 2021 distribuovali malware přes MS Teams.

7 pravidel, jak to dělat bezpečněji

1) Implementace penetračního testování: Pokud je zavedení komunikační platformy velký krok na všech úrovních firmy a týká se stovek zaměstnanců, doporučují odborníci na kyberbezpečnost provést po jejich naimplementování penetrační testování, které případné slabiny v zabezpečení spolehlivě odhalí.

2) Pravidelné aktualizace: Aplikace je samozřejmě potřeba udržovat aktualizované.

3) Používat VPN: Základním bezpečnostním minimem je, že se vaši zaměstnanci budou do firemní sítě připojovat pomocí VPN.

4) Robustnost firewallu: A samozřejmostí jsou i firewally dimenzované na větší počet přístupů zvenčí.

5) Nastavená bezpečnostní pravidla: Dobré je mít zabezpečenou nejen síť, ale i koncová zařízení jednotlivých zaměstnanců, ať už jsou to telefony, nebo třeba notebooky doma na home office. I zde se vám vyplatí nastavit celofiremní bezpečnostní pravidla a hlídat jejich dodržování. S tím pomůže Mobile Device Management.

6) Používání „Čekárny“: Hovory a videokonference, které míří mimo vaši firmu, máte samozřejmě pod kontrolou jen zčásti. Přístup na schůzku proto doporučujeme zabezpečit alespoň pomocí funkce „Čekárna“. Je součástí každé zmiňované aplikace a s její pomocí sami pustíte na schůzku pouze osoby, o nichž víte, že jste je pozvali.

7) Bezpečný emailový klient: A tolik oblíbené pozvánky v e-mailu, kdy pro připojení se ke schůzce uživateli stačí kliknout na připojený odkaz, jsou samozřejmě bezpečné jenom natolik, nakolik je zabezpečený váš mailový klient.

Office od O2. Teams můžete pořídit třeba v rámci balíčku Office 365 od O2. Pomůžeme vám s nastavením, které je pro zabezpečení klíčové, a případné bezpečnostní mezery odhalíme a odstraníme.  

Co si z článku odnést:

• V e-mailech už škodlivou přílohu čekáme a dáváme si na ně pozor, ale v chatu v Zoomu na ni podle výzkumů klikneme mnohem snáz.
• VPN, zabezpečená síť i koncová zařízení jsou první kolo ochrany.
• Pokud se přes platformy spojujete s lidmi mimo firmu, zvýšená opatrnost, třeba ve formě funkce „Čekárna“, je namístě.

Michaela Látalová
Marketingový specialista pro B2B Míša se v O2 stará o to, aby české firmy měly vždycky dost informací o trendech v cyberscurity a ICT. Plní blog články, natáčí podcasty a firmy zásobí e-mailingy se žhavými novinkami.