Desatero osobní IT bezpečnosti

My všichni používáme počítače a mobily. Práce bez nich je už nemyslitelná, ukládáme do nich cenná data a bezmezně jim důvěřujeme. Pořád je to ovšem jen technika, která může selhat. Nejvíc problémů si však přivoláváme sami svou neopatrností.

Dnes je celkem jedno, jestli jste stavební inženýr, ilustrátorka nebo řemeslník. Většině z nás pomáhají počítače nejenom v práci, ale i v soukromí. Píšeme na nich texty i emaily, editujeme a ukládáme dokumenty — smlouvy, faktury, ale také rodinné fotky.

Nyní zavřete oči a představte si jednu jedinou situaci…

Všechna vaše data jsou pryč!

Přišli jste o všechny rozpracované zakázky, adresář kontaktů je prázdný, v účetnictví nevidíte nezaplacené faktury, zmizely i emaily s poptávkami a svatební fotografie.

Hrůza, že? Může se to stát i vám. Nejen selháním techniky, ale i v důsledku vlastní chyby. Hrozí také zneužití dat třetí osobou — a nemusí to být hned cílený útok konkurence, stačí nepovedený žertík podnapilého kamaráda.

10 kroků k bezpečnému IT

Pokud jsem vás teď trochu vystrašil a získal si tím vaši pozornost, tím lépe. Nepřeháním. Uvedená rizika jsou reálná a běžně se setkávám s případy nešťastníků, jejichž počítače i data nenávratně odešly do křemíkového nebe.

Nezoufejte. Tento článek popisuje 10 kroků, jejichž splněním předejdete drtivé většině problémů s IT. Lektoroval jsem na 200 školení, takže dobře vím, která místa v obraně a prevenci lidé podceňují nejčastěji:

1. Bezpečná hesla
2. Dvojfázové přihlašování
3. Zamykání počítače a telefonu
4. Aplikace z pochybných zdrojů
5. Antivir či bezpečností balík
6. Zálohování
7. Šifrování dat
8. Přenositelnost dat
9. Aplikace „zdarma“
10. Zdravý rozum

1. Bezpečná hesla

Heslo by mělo být rozumně složité a unikátní. Máte-li jich více, uložte je do správce hesel.

Používejte rozumně silná hesla, která si dokážete zapamatovat, ale zároveň nejsou uhádnutelná tzv. slovníkovým útokem. Určitě nepoužívejte jako hesla jména vašich dětí, domácích mazlíčků, data narození apod. V žádném případě nepoužívejte hesla typu 123456, qwertz, mojeheslo atp. Ty útočník vyzkouší jako první.

Jak rychle zvolit správné heslo? Často se používají následující techniky:

• Asociace — Co se vám jako první vybaví, když si představíte danou službu s číslem? Klient, u kterého jsem školil, měl zpoždění. Čekal jsem před jeho kancelářemi na ulici U Uranie, byla obrovská zima a kolem projížděly tramvaje 12 a 24. Výsledkem může být heslo: zima12na24urale
• Říkadlo či věta — Zvolte si jako základ nějaké říkadlo nebo větu a z prvních písmen jednotlivých slov vytvořte heslo. Například z věty: V Alze nakupuji počítače a elektroniku, protože to mám za rohem, uděláte heslo vanpaeptmzr.

Pro každou službu používejte jiné heslo. Pokud se někdo dostane k jednomu z vašich hesel, hned bude zkoušet, jestli stejné heslo nepoužíváte i někde jinde. Heslo nikdy nikomu neříkejte a vždy jej zadávejte sami. A pokud ho po vás bude chtít váš ajťák bez udání závažného důvodu, tak si raději najděte jiného.

Hesla si určitě nepište na papírky, které pak nalepíte na monitor nebo pod klávesnici. A pokud máte hesel více, nepište si je ani do diáře nebo do nechráněného souboru na počítači. Hesla je lepší ukládat do správce hesel. Mezi nejpoužívanější patří LastPass, 1Password, KeePass nebo český StickyPassword. Jde o speciální aplikaci, která bude vaším trezorem pro hesla na počítači i v mobilu a odemyká se zadáním jednoho hlavního hesla. Generuje také mnohem silnější hesla než ta, která si dokážete zapamatovat, jak upozorňuje expert na bezpečnost Michal Špaček.

Ve správci hesel LastPass mám uloženo přes 270 unikátních hesel

2. Dvojfázové přihlašování

Dvojfázové přihlašování vás ochrání v případě, že dojde k prozrazení vašeho hesla.

S dvojfázovým ověřováním jste se asi už setkali u internetového bankovnictví. Pro přihlášení nestačí pouze heslo, ale musíte vložit ještě kód, který vám banka zašle prostřednictvím SMS. Pouhá znalost vašeho hesla tak útočníkovi nestačí k tomu, aby vám vyluxoval účet. Tedy pokud vám neukradne i mobilní telefon.

Pro dvojfázové ověřování se nejčastěji používá SMS, mobilní aplikace, nebo speciální zařízení, jako je USB klíčenka či generátor přihlašovacích kódů. Dvojfázové ověření plně podporuje Gmail i Google Apps, Facebook, zmíněný LastPass i řada dalších webů.

Nepodceňujte důležitost této funkce, protože zjistit vaše heslo může být velmi jednoduché. Například při nedávné cestě vlakem přede mnou seděla slečna a zadávala do telefonu heslo na Seznam. Venku již byla tma a displej se odrážel v okně vlaku, takže přihlašovací jméno i heslo šlo docela dobře přečíst.

Google Authenticator umí generovat ověřovací kódy i pro jiné služby (zde LastPass)

3. Zamykání počítače a telefonu

Odemčený počítač či telefon je brána k datům. Pokud se od počítače vzdalujete, zamykejte ho a u telefonu nastavte zámek při zapnutí.

Nastavte si počítač tak, aby se po zapnutí nebo probuzení vždy ptal na heslo. Pokud se od počítače vzdalujete, zamykejte ho — u notebooku zavřením displeje, u stolního počítače s Windows kombinací kláves Win+L. Neriskujete tak, že vám zvědavý kolega v coworku přečte rozepsaný email, případně že vám dítě smaže nedopatřením data.

U telefonu a tabletu si nastavte zámek obrazovky. Číselný kód nebo heslo je lepší než gesto tažené prstem, které lze velmi jednoduše uhádnout díky mastné stopě na displeji.

Myslíte si, že přeháním? Kamarádka si ve vinárně odskočila na toaletu a nechala ležet odemknutý tablet na stole. Její soused si ho chtěl prohlédnout, zapnul jej, uviděl spuštěný Facebook a nenapadlo ho nic lepšího než naťukat status: Právě jsem se rozešla s přítelem a hledám nezávazný flirt. No a pak jí také změnil profilovou fotografii na první hanbatou, kterou našel na netu. Co následovalo si jistě dokážete představit…

4. Aplikace z pochybných zdrojů

Vývojáři aplikací v aktualizacích opravují funkční a bezpečnostní chyby. Udržujte proto software aktuální. A pozor na aplikace z pochybných zdrojů.

Pravidelně aktualizujte operační systém a aplikace. Neexistuje bezchybný program. Vývojáři své produkty postupně vylepšují a odstraňují bezpečnostní díry. Nepodceňujte to hlavně u operačního systému, antiviru a prohlížeče internetu.

Pozor také na nelegálně instalované aplikace, u kterých jsou aktualizace vypnuty. Jejich používání je nezákonné, ale také nebezpečné. Pokud instalujete aplikace z pochybných zdrojů (např. mimo oficiální Obchod Play pro Android), je zde nemalá šance, že zároveň s aplikací se vám do telefonu dostane i škodlivý kód či virus.

5. Antivir či bezpečnostní balík

Pokud nejste IT experti, neobejdete se na počítači bez nainstalovaného antiviru.

Nejpoužívanější bezpečnostní balíky jako Eset, Avast či AVG vás nechrání pouze proti virům, ale zastanou řadu dalších funkcí — firewall (ochrana PC před útokem po síti), varování před instalací nežádoucích aplikací či antispam.

K dispozici jsou i antiviry pro mobilní telefony, ale jejich hlavní výhoda je v doplňkových funkcích — např. lokalizace telefonu, případně jeho zablokování při ztrátě či odcizení.

Tuto reklamu doporučuji vypnout. Patička emailu dává příjemci falešný pocit bezpečí.

Jak ale upozorňuje bezpečnostní expert Michal Špaček, ani nejlepší antivir vás neochrání před útoky typu zero day. Ty zneužívají nově objevené mezery v prohlížeči a operačním systému někdy ještě týž den — nejčastěji přes Javu či Flash vložený útočníkem do webových stránek, případně přes napadený reklamní systém. Ochranou je v tomto případě spouštět Javu a Flash v prohlížeči na požádání a případně i blokovat reklamy.

6. Zálohování

Zálohování nás ochrání před ztrátou dat při poruše hardwaru či nechtěném smazání.

Uživatele počítačů můžeme rozdělit na dvě skupiny:

• Ti, kteří již někdy přišli o svá data.
• Ti, kteří zatím nepřišli o svá data.

Nejde pouze o to, že se technika může pokazit a vy přijdete o data. V mnoha případech je na vině uživatel, který buď data smaže nedopatřením sám, nebo to udělá někdo za něj.

Dobrou prevencí ztráty dat v důsledku poruchy pevného disku je tzv. RAID. Princip je jednoduchý. V počítači máte dva stejné pevné disky, jejichž obsah se automaticky duplikuje. Dojde-li k poruše jednoho disku, data zůstanou v bezpečí na druhém. Tato technika vás však neochrání před chybou uživatele.

Základem zálohování je pravidelné manuální kopírování dat na externí médium. Pouhá kopie v rámci jednoho zařízení nic neřeší, protože při odcizení počítače byste přišli i o zálohu. Manuální kopírování lze automatizovat pomocí vhodného programu, který se vám pravidelně připomene a umí i tzv. inkrementální zálohu nových a změněných souborů. Uživatelé Apple s Mac OS X mohou využívat systémovou službu Time Machine, která zálohuje nejen data, ale i všechny nainstalované aplikace včetně nastavení.

Dříve se na zálohování používala DVD. Dnes je však lepší externí pevný disk připojený k počítači přes USB (ideálně v nejrychlejší verzi USB 3.0), případně úložné zařízení NAS zapojené do domácí sítě. Jeho výhodou může být přístup zvenčí přes internet, funkce pro automatické zálohování atd. Obecně je však nejdůležitější mít externí zálohu uloženou na jiném místě než hlavní počítač, abyste v případě vloupání nepřišli o veškerá data.

Vsuvka: Cloudová revoluce

Novým typem bezpečného úložiště je cloud. Vaše data jsou v něm duplikována na mnoha serverech a jejich ztráta v důsledku selhání techniky je tak téměř vyloučena.

Zálohování do cloudu je relativní novinkou. Jedná se o systémy, které provozují aplikace a ukládají data v obrovských serverovnách. Uživatel si pouze kupuje přístup k určité kapacitě či výkonu. Cloudové úložiště se dá přirovnat k externímu disku, který je přístupný kdykoli odkudkoli přes internet. Například si vyfotíte mobilem fakturu a prakticky okamžitě ji máte k dispozici i na notebooku nebo tabletu.

Cloudová úložiště bývají kritizována, protože data nemáte přímo u sebe. Statisticky je ale pravděpodobnější, že o svá data přijdete, pokud jsou uložena jen na lokálním disku. Zkuste se ve svém okolí poptat, kdo ztratil data uložená lokálně a kdo v cloudu. V mém případě měl tento průzkum jasného vítěze — mnoho ku nule ve prospěch cloudu.

Dalším aspektem cloudu je právní ochrana dat. Všichni známe aféry, jak si tajné služby čtou naše data. Ano, provozovatel cloudu vydá data na soudní příkaz, ale to samé byste udělali vy při domovní prohlídce. Nicméně chcete-li mít data v cloudu pouze pro sebe, služby jako Wuala ukládají data již šifrovaná a provozovatel cloudu k nim nemá přístup.

Nejpoužívanější cloudy jsou Disk Google, DropBox a OneDrive. Výborná je i malá aplikace Mozy, která automaticky zálohuje data z pevného disku a šifrovaná je posílá do cloudu několikrát denně. Stále více uživatelů již neukládá data lokálně, ale mají všechny dokumenty v cloudu. Google Apps ani Microsoft Office 365 nevyžadují instalaci, protože běží přímo ve webovém prohlížeči.

Pozor ale na cloudové služby, které jsou zdarma. Např. Disk Google pro uživatele bezplatného Gmailu je mezi profíky na volné noze velmi populární, ale Google u něj neposkytuje žádnou technickou podporu. Jiná situace je u Google Apps, které jsou placenou obdobou gmailového účtu a kde již Google podporu (a další služby) poskytuje.

I když jsou data v cloudu v bezpečí, záloh není nikdy dost. Pro Gmail a Google Apps je k dispozici zdarma funkce Takeout, díky níž si můžete svá data (poštu, kontakty, kalendáře, dokumenty, fotky aj.) stáhnout na disk jako zálohu. Nevýhodou je, že to musíte dělat manuálně a vytváření archivu trvá až několik dní. To řeší komerční služba Backupify, která vám jednou denně udělá kompletní zálohu Google Apps do separátního cloudu.

Jak to dělám já? Používám systém Google Apps na vlastní doméně Minar.cz a všechna svá data ukládám do cloudu. Díky tomu k nim mám přístup ze všech zařízení s připojením na internet. Mimo signál využívám offline režim Disku Google. Např. tento článek píšu ve vlaku offline, změny se ukládají lokálně a po opětovném připojení dojde k synchronizaci s cloudem. Backupify mi automaticky zálohuje denně všechna data (jako prevenci před uživatelskou chybou) a jednou měsíčně pak data z cloudu zálohuji ručně pomocí Takeoutu.

7. Šifrování dat

Šifrování vaše data neochrání před ztrátou úložiště, ale zabrání jejich zneužití.

Pokud pracujete s citlivými informacemi klientů, zvažte šifrování datových úložišť (pevného disku počítače, mobilu a externích médií pro zálohy). Ani zloděj, který vám pak odcizí notebook a vymontuje pevný disk, se k datům nemá šanci dostat.

Jednoduché šifrování disku lze někdy zapnout na úrovni BIOSu. Bezpečnější jsou však specializované programy jako BitLocker v operačním systému Windows, případně najdete pěkný přehled na serveru LifeHacker. Dříve populární TrueCrypt si netroufám doporučit, protože jeho vývoj byl ukončen za velmi záhadných okolností.

8. Přenositelnost dat

Myslete na zadní vrátka. Když už někomu svěříte svá data, měli byste mít vždy možnost vzít si je zpět v čitelném formátu.

Termín data liberation (či přenositelnost dat) se primárně používá u cloudových služeb. Pokud cloudová služba respektuje tento princip, můžete si data kdykoliv stáhnout v univerzálním formátu a převést do jiného systému. Např. u Gmailu nebo Google Apps lze pomocí Takeoutu stáhnout celou poštovní schránku v univerzálním formátu MBOX a následně ji připojit do jiného poštovního klienta (např. Thunderbird).

Tato zásada platí nejen pro cloudové služby. Při výběru aplikací pro práci si vždy ověřte, jestli umožňují export dat pro případ, že byste se v budoucnu rozhodli pro jiné řešení.

Pomocí Google Takeout si můžete stáhnout svá data z Google cloudu

9. Programy „zdarma“

Programy zdarma většinou neobsahují veškerou funkčnost, nebo vás zdržují reklamou.

Anglické rčení zní „there's no such thing as a free lunch,“ anebo česky říkáme „zadarmo ani kuře nehrabe.“ Myslete na to, až budete vybírat aplikace pro práci. Ty bezplatné mohou mít několik úskalí. Jsou zdarma, ale:

• nezahrnují podporu (představte si situaci, že vám najednou nepůjde vystavit faktura a výrobce řekne, že u verze zdarma vám nepomůže)
• obsahují rušivou reklamu
• aplikace je záměrně ořezaná (např. antivir viry najde, ale odstraní je placená verze)
• instalace aplikace obsahuje adware (např. v podobě dotěrné lišty do webového prohlížeče, která nahradí výchozí Seznam či Google obskurním vyhledávačem)

Pamatujte také na image. Přece jen působí důvěryhodněji, když klientovi píšu z emailové adresy pavel@minar.cz nežli z bezplatné adresy pavlik.minar74@seznam.cz, no ne?

10. Zdravý rozum

Nejčastější příčinou ztráty dat není technická závada, ale chyba uživatele.

Pokud vám přijde z banky email, že máte ověřit své přístupové údaje, zkontrolujte, zda odkaz vede na pravý web banky a nezadávejte heslo jinde než tam. A pokud si nejste původem emailu jisti, raději zavolejte rovnou na uživatelskou podporu.

Častým problémem bývá také přehnaná důvěra a pohodlnost. Pokud si např. registrujete doménu, vždy dbejte na to, abyste byli uvedeni jako její vlastník s aktuálními kontaktními údaji. Několikrát jsem zažil situaci, kdy webmaster registroval domény klientů na sebe, nebo vlastník uvedl při registraci bezplatný email, ke kterému později ztratil přístup. Pozor také na různé pofidérní služby, které nabízejí analýzu zabezpečení a např. kontrolují sílu hesla. To je totiž nejjednodušší způsob, jak od důvěřivého uživatele získat heslo!

A konečně, pokud si nejste v IT něčím jisti, vždy se ptejte odborníků. Pokud máte podezření na zánět slepého střeva, také půjdete hned za lékařem. Stejně jako v péči o zdraví, i zde platí, že základem prevence je dodržování základní bezpečnostní hygieny. Dodržováním jednoduchých pravidel tak můžete předejít většině problémů.