Masívne používanie cloudových aplikácií so sebou prináša nové výzvy z hľadiska digitálnej bezpečnosti.
Čoraz viac ľudí používa tieto služby na prácu, ale aj súkromné účely. Nástrahám takzvaného hybridného spôsobu života sa venuje najnovšia správa spoločnosti ESET CYBERSECURITY TRENDS 2023: Securing our hybrid lives.
Rozmach aplikácií fungujúcich cez cloud, ako napríklad Microsoft Teams, Discord, Facebook, WhatsApp, LinkedIn, Tinder či hier ako Fortnite a VALORANT priniesol do našich životov nepredstaviteľné možnosti pre spoluprácu, kreativitu, nákup, predaj aj zábavu. Kým predošlé cloudové technológie oslobodili používateľov od obmedzení súvisiacich s nákladmi na hardvér a dlhých intervalov medzi aktualizáciami, dnešné cloudové prostredia prinášajú zásadné zmeny vedúce k hybridnému spôsobu života. Obrovské príležitosti a rastúca popularita však so sebou prinášajú aj nové bezpečnostné riziká.
Cloudové aplikácie na vzostupe
Pandémia COVID-19 vyústila do nového normálu fungovania firiem, vzdelávacích inštitúcií, ale aj každodenných aktivít. V súvislosti s tým výrazne vzrástlo používanie platforiem, ktoré umožňujú interakciu, zdieľanie súborov a prístupov či spoluprácu. Všetko, čo sa vo svete technológií teší popularite, však láka aj kybernetických útočníkov.
Najrýchlejšie rastúcou aplikáciou z portfólia spoločnosti Microsoft je služba Microsoft Teams. Počas pandémie sa počet jej používateľov zdvojnásobil a v roku 2022 sa vyšplhal na 270 miliónov. Microsoft Teams v obľúbenosti dokonca nedávno predbehol aj e-maily. Populárna platforma sa v súčasnosti okrem firemného prostredia využíva aj na vzdelávanie, ale čoraz častejšie aj na súkromné účely.
Aj keď je Microsoft Teams bezpečnejšia alternatíva ako e-maily, ani tejto platforme sa nevyhýbajú bezpečnostné incidenty. V roku 2021 bola napríklad odhalená zraniteľnosť, ktorá umožňovala kradnúť obsah. V tomto roku zas experti odhalili v Microsoft Teams bezpečnostnú chybu, ktorá by v prípade skompromitovania zariadenia dokázala narobiť veľké škody. Aplikácia ukladala prístupové tokeny v textových súboroch priamo na disku. Tieto odhalenia dokazujú, že cloudové aplikácie potrebujú špeciálnu vrstvu ochrany.
Riziká miešania pracovného a osobného života
Mnohé služby prvotne určené na súkromnú komunikáciu, ako napríklad WhatsApp, Facebook či Telegram využívajú používatelia čoraz častejšie aj na pracovné účely. Tento trend je viditeľný dokonca aj na zoznamovacích aplikáciách. Aj keď tieto aplikácie neumožňujú komerčné aktivity, mnohí pracovníci na voľnej nohe či majitelia menších firiem si zakladajú profily s cieľom oslovenia zákazníkov.
Stieranie hraníc medzi osobným a biznis svetom môže vyústiť do mnohých problémov. Napríklad ak niekto naletí na phishingový podvod na WhatsAppe, môže si stiahnuť malvér, ktorý kradne osobné aj firemné dáta. Podvodníci na zoznamkách zas môžu zneužiť niekoho zámer o predaj produktov na získanie citlivých informácií o jeho firme.
Spoločnosť Meta nedávno prepustila alebo potrestala viac ako dvadsiatku zamestnancov, ktorí mali zneužiť interné systémy na krádež účtov používateľov a pýtať si za ich vrátenie tisícky dolárov. Podobné problémy sa môžu vyskytnúť aj pri iných platformách. Aj keby bol cieľom takéhoto útoku osobný účet, v prípade, že ho obeť používala aj na komunikáciu s kolegami, zločinci by získali cenné údaje o pracovných záležitostiach.
Ako môžu prispieť firmy k bezpečnejšej hybridnej práci?
Ľudstvo prechádza zásadnými zmenami, ktoré sa dotýkajú spôsobu komunikácie, práce a života. Splývanie online a offline svetov vytvára nové riziká, ktorým by sa mali firmy vyhnúť nastavením jasných pravidiel:
- Poskytovať zamestnancom zariadenia na prácu. Okrem notebookov by mali zamestnancom poskytnúť aj smartfóny a poučiť ich o rizikách používania firemných zariadení na súkromné účely.
- Prestať poskytovať konfiguračné profily, ktoré si zamestnanci nainštalujú do svojich vlastných iOS zariadení, aby získali prístup k svojmu pracovnému e-mailu a ostatným pracovným platformám.
- Zaviesť politiku silných hesiel, ktorá zamestnancov odradí používať rovnaké heslá pre súkromné a pracovné účty.
- Vyžadovať viacfaktorovú autentifikáciu.
Zdroj: Eset
