2. OKRUH

Použití technických aktiv

Mezi technická aktiva patří veškeré IT a komunikační vybavení, které zaměstnanec dostává přiděleno k výkonu své činnosti. Zejména se jedná o notebooky, mobilní telefony, komunikační příslušenství a další technické vybavení.

Bezpečnostní opatření při používání technického vybavení:

a. svěřená technická aktiva používat k určeným účelům použití, dbát bezpečnostních pokynů výrobce a odpovědného zaměstnance, v prostředí NÚKIB zejména pracovníků OIT,

b. neporušovat integritu technických aktiv, do aktiv nezasahovat, nerozebírat je, nepřipojovat k nim neschválené technické prostředky anebo je jinak modifikovat,

c. neprovádět HW a SW zásahy do konfigurace technických aktiv,

d. neinstalovat SW, jehož použitím by došlo k porušení autorského práva, licenčních ujednáních, narušení nebo obejití bezpečnostních mechanismů a opatření implementovaných v NÚKIB, nástroje pro automatizovaný sběr dat, skenery zranitelností apod.,

e. nepoužívat SW a HW, který je v rozporu s opatřeními a doporučeními vydávanými NÚKIB, manipulaci s technickými aktivy, vyjma mobilních a přenosných paměťových zařízení, smí zaměstnanci provádět samostatně pouze po schválení pracovníky OIT (netýká se např. přesunu monitoru na pracovním stole, práce s notebookem, mobilním telefonem, mobilním VTC setem, či obdobným IT vybavením).

Nakládání s přihlašovacími údaji a mechanismy

Základním a bezpodmínečně nutným pravidlem pro zajištění bezpečnosti přístupových hesel a dalších autentizačních mechanismů je zachování jejich důvěrnosti. Za zajištění důvěrnosti hesel a dalších autentizačních mechanismů je odpovědný vždy sám zaměstnanec.

	V případě, že existuje podezření nebo pravděpodobnost, že účet nebo heslo byly kompromitovány, je nutné bezprostředně heslo změnit a situaci nahlásit manažeru kybernetické bezpečnosti a na Service Desk OIT (Podpora IT, sekce Mimořádná událost).

Základní pravidla pro zajištění důvěrnosti hesel a jiných autentizačních mechanismů: :

a. nesdělovat hesla a autentizační mechanismy jiným osobám – ústně, písemně, elektronicky – ani v prostředí NÚKIB, ani mimo pracoviště (platí i pro rodinné příslušníky), nikdo (včetně technické podpory) není oprávněn znát cizí heslo a ani nemá právo jej po zaměstnanci požadovat, výjimkou z výše uvedeného jsou jednorázová hesla zasílaná při resetu hesla,

b. nezaznamenávat hesla do poznámkových bloků, na různé papíry nebo elektronicky volně do souborů; v případě potřeby záznamu hesla je možné využít distribuovaný nebo interně doporučovaný SW pro správu hesel,

c. při tvorbě hesel dodržovat minimální požadavky na komplexitu a délku hesla,

d. používat pro různé účty nebo služby různá hesla – obecně platí, co účet, to vlastní heslo, v žádném případě nepoužívat stejná hesla v soukromém a pracovním prostředí,

e. HW tokeny a mobilní zařízení obsahující SW tokeny nenechávat bez dozoru a zamezit k nim přístup třetím osobám,

f. software určeného pro správu hesel dbát na uzamčení databáze při opuštění technického aktiva.

Pravidla pro tvorbu a nastavení hesel

Uživatelské heslo musí být vytvořeno tak, aby splňovalo minimální požadavky na složitost (komplexitu) hesel. Správné heslo musí být vytvořeno jako kryptograficky silné. Použití slabých hesel je rizikové. Slabá hesla lze snadno prolomit použitím snadno dostupných kryptografických mechanizmů a představují tedy bezpečnostní riziko.

Základní požadavky na minimální složitost hesel pro koncové uživatele:

a. minimální délka hesla 12 znaků,

b. heslo musí splnit alespoň tři z následujících bodů:

nejméně jedno velké písmeno (A-Z),
nejméně jedno malé písmeno (a-z),
nejméně jedna číslice (0-9),
nejméně jeden speciální znak odlišný od bodů a. – c.

Místo hesla je možné použít i passphrase. Passphrase (heslová fráze) je uživatelsky komfortnější na zapamatování a vytváří se lépe než klasická hesla.

Passphrase je tvořena několika po sobě následujícími slovy, která mohou, ale nemusí být oddělena mezerou, přičemž minimální počet slov ve frázi jsou 4 a minimální délka každého z nich je 4 znaky.

Předpokladem pro použití passphrase v prostředí NÚKIB je dodržení požadavků na komplexitu, viz body výše.

Pravidla a postupy pro bezpečné použití elektronické komunikace

Služby elektronické komunikace v prostředí NÚKIB (poštovní klienti, kalendáře, MS Teams, atd.) jsou primárně určeny k pracovní komunikaci v souvislosti s výkonem práce stanoveným v popisu pracovního místa a vzhledem k přiděleným úkolům. Využívání těchto služeb k soukromým a nepracovním aktivitám není uživatelům v prostředí NÚKIB povoleno. Zakázáno je zejména:

a. využívat pracovní elektronickou poštu a další komunikační služby k šíření poplašných zpráv (hoax), distribuci reklamních materiálů a hromadnou propagaci výrobků a služeb komerčních subjektů, rozesílání zpráv s obsahem, který je v rozporu s morálními, společenskými a etickými pravidly, zprávy propagující konkrétní politické subjekty nebo politicky činné osoby (domácí i zahraniční),

b. přesměrovávat pracovní poštu za účelem automatizovaného přeposílání na soukromé e mailové schránky,

c. využívat pracovních e-mailových účtů k registraci do veřejnoprávních a komerčních portálů za soukromými účely,

d. odesílat hromadné zprávy nepracovního charakteru, které obsahují výzvu k distribuci dalším uživatelům nebo mají charakter spamu,

e. ozesílat běžnou elektronickou poštou informace chráněné dle zákona o ochraně utajovaných informací.

Phishing, spear-phishing a vishing

E-mailové schránky uživatelů jsou stále častěji terčem kybernetických útoků. Uživatelům jsou zasílány falešné e-mailové zprávy s cílem oklamat uživatele a vylákat z něj citlivé informace jako jsou přístupová hesla k počítačovým účtům nebo internetovému bankovnictví. Hromadné rozesílání neadresných e-mailů označujeme jako phishing, sofistikovanější formu adresných e-mailů pak jako spear-phishing.

Spear-phishing je jedním z nejčastějších vektorů kybernetických útoků (způsob infiltrace cílového zařízení) a jím způsobené škody se ročně globálně pohybují v desítkách až stovkách miliard korun. Sofistikovanost útočníků se přitom zvyšuje, a pro uživatele je stále těžší rozpoznat falešné e-maily nebo zprávy na sociální síti. Ty se stávají stále přesvědčivějšími a aktuálnějšími (využívají například znalost místních procesů z dříve odchycené komunikace) a často obsahují přílohu se škodlivým kódem, kterou stačí otevřít, nebo odkaz na nakažené stránky, které stačí navštívit a informační systém oběti se dostane pod kontrolu hackerů.

Je potřeba maximální obezřetnost při otevírání všech příchozích e-mailů.

Vždy je potřeba prověřit příchozí zprávy, které jakýmkoli způsobem vzbuzují podezření, i když se tváří jako interní komunikace.

Bezpečnostní opatření při používání technického vybavení:

a. 111svěřená technická aktiva používat k určeným účelům použití, dbát bezpečnostních pokynů výrobce a odpovědného zaměstnance, v prostředí NÚKIB zejména pracovníků OIT,

b. 111 neporušovat integritu technických aktiv, do aktiv nezasahovat, nerozebírat je, nepřipojovat k nim neschválené technické prostředky anebo je jinak modifikovat,

c. 111 neprovádět HW a SW zásahy do konfigurace technických aktiv,

d. 111 neinstalovat SW, jehož použitím by došlo k porušení autorského práva, licenčních ujednáních, narušení nebo obejití bezpečnostních mechanismů a opatření implementovaných v NÚKIB, nástroje pro automatizovaný sběr dat, skenery zranitelností apod.,

f. podezřelý e-mail uživatel zašle (uložený jako přílohu) k prověření a další analýze na OIT na adresu spam@nukib.cz.

Obdobou phishingu je vishing, což je technika, kterou se snaží útočníci získat informace od svých obětí po telefonu. Jedním z hlavních znaků vishingu je, že se útočník po telefonu vydává za zaměstnance banky, soukromých společností působících v oblastech IT a kybernetické bezpečnosti nebo příslušníka policie. Žádný ze státních nebo soukromých subjektů není oprávněn po Vás po telefonu požadovat informace typu heslo nebo číslo platební karty a ani se tímto způsobem nechovají. Pro tyto situace platí obdobná pravidla jako pro phishing, tedy nesdělovat žádné informace, ukončit hovor a situaci nahlásit.

Bezpečný uživatel: 02

02