Některé bezpečnostní funkce se ve Windows 10 přesunuly na jiné místo, takže o nich nemají tušení ani uživatelé, kteří operační systém denně používají. Šifrování disku je podle odborníků pro firmy nezbytné i bez přísnější ochrany osobních údajů.

Nástup nového nařízení Evropské unie o ochraně osobních údajů, známé jako GDPR, znamená pro firmy citelné riziko pokut v případě, že nedokáží zajistit osobní údaje svých zákazníků, zaměstnanců nebo obchodních partnerů. To klade výrazně větší nároky na zajištění počítačů v podnicích. Problém to znamená hlavně pro malé a střední firmy nebo živnostníky, kteří, na rozdíl od velkých firem, nemají k dispozici specializovaná IT oddělení a práce najatých specialistů z venčí je pro ně velmi drahá.

Riziko v rámci praktického chodu firmy přinášejí například dvě běžné situace, které se pravidelně opakují a které znamenají potenciální nekontrolovaný přístup k citlivým datům – indexace souborů a zálohování dat. Za nezabezpečení dat přitom budou od 25. května 2018 hrozit pokuty až 20 milionů eur nebo 4 procent ročního obratu provinilé společnosti.

Indexace oslepí počítač

Jak rizika v těchto situacích ve firmách vznikají? Indexace souborů v operačním programu Windows 10 probíhá v počítači automaticky. Trvá řadu hodin a během ní nemohou uživatelé vyhledávat soubory v počítači a především v e-mailech spravovaných například programem Microsoft Outlook. Navíc pokud například podnikatelé s počítačem pracují vždy jen několik minut mezi jednotlivými schůzkami nebo jinou prací, může se indexace a s ní spojené nefunkční vyhledávání protáhnout až na několik dní.

U starších verzí Windows šlo nechat indexaci v módu Odhlášení uživatele, který byl jednoduše přístupný v nabídce Vypnout počítač a především chráněný přihlašovacím heslem, takže se počítač indexoval, ale zároveň se k jeho obsahu nikdo nepovolaný nedostal. Ve Windows 10 však nabídka Vypnout umožňuje počítač buď jen zcela vypnout nebo uložit do režimu spánku. V obou případech indexace neprobíhá a nefunkční vyhledávání tak výrazně omezuje práci s počítačem při jeho dalším zapnutí.

V mnoha malých firmách proto řeší urychlení indexace tak, že nechají zapnuté počítače běžet přes celou noc. V kancelářích, do kterých má přístup více zaměstnanců, tak má k citlivému obsahu počítačů, včetně osobních údajů, přístup množství lidí, za což budou s nástupem GDPR hrozit velké pokuty.

Podle odborníků mohou malým firmám pomoci funkce, o kterých většina z nich netuší. Nejdůležitější je Uzamknutí počítače. „Pokud počítač uzamknete, bezpečnost je reálně stejná, jako když je vypnutý – stejně je potřeba pro přihlášení zadat heslo. Pro účely GDPR je rozhodně bezpečnější mít aktualizovaný Windows 10 než jakýkoliv starší operační systém,“ říká Petr Klement, který zastřešuje marketing Microsoft365.

„Pokud by možnost odhlásit, nebo zamknout desktop chyběla, znamenalo by to podstatné ohrožení bezpečnosti firemních dat i bez ohledu jen na GDPR osobní údaje,“ potvrzuje odborník na IT bezpečnost z Počítačové školy Gopas Ondřej Ševeček. Problém přitom podle něj není, že by funkce Odhlášení nebo Uzamčení ve Windows 10 zcela chyběly. Jsou však jinde, než byli uživatelé předchozích verzí Windows zvyklí.

Nenápadný „človíček“

„V nabídce Start nalevo mám malou ikonku “človíčka” a když na ni kliknu, nabízí mi to Odhlásit, nebo Zamknout. Nebo pokud stisknu klasickou kombinaci CTRL-ALT-DEL dostanu stejné možnosti. Nebo když stisknu Win+L tak se mi desktop zamkne,“ radí Ondřej Ševeček.

Zdánlivá banalita je přitom neznámá pro mnoho uživatelů Windows. Ani uživatelé, kteří s Windows 10 denně pracují několik let, totiž netuší, že ikona „človíčka“ má nějaké funkce a umožňuje odhlášení nebo uzamknutí počítače, tak, jak to dříve nabízela ikona Vypnout.

Právě zamčení neomezuje idexaci počítače. „Tímto způsobem bude uživatelský účet uzamčen před přístupem externího útočníka, ale zároveň bude schopen provádět akci indexování MS Outlook. Doporučujeme toto nastavení vynutit, například automatickým uzamykáním po době neaktivity na stanici,“ radí Matěj Zachar, šéf bezpečnosti ve společnosti Safetica Technologies.

Důležité přitom je, aby uživatel během indexace vypnul automatické přepnutí počítače do režimu spánku během nečinnosti. Indexace by se totiž zastavila a obnovila by se až po opětovném „probuzení“ počítače.

Ani odhlášení nebo zamknutí počítače nemusí nabízet nejvyšší míru zabezpečení dat. „Aby bylo zajištěné, že se nikdo k datům skutečně nedostane ani při zamknutí počítače, vypnutí či odhlášení uživatele, je nutné požívat ještě šifrování. V případě standardních zařízení s Windows je nejčastěji používáno šifrování celého disku, takzvané FDE,“ vysvětluje je Václav Zubr, bezpečnostní expert společnosti ESET.

To však není vždy jednoduché. „Zde je však vzhledem k výše zmiňovanému uzamknutí počítače trochu problém. Pokud uživatel používá FDE – například počítač zašifrovaný BitLockerem – a má aktuálně odemčený nějaký oddíl disku, standardní šifrovací AES klíč je uložený v RAM paměti. A odsud jej lze několika způsoby získat. Těmto vektorům útoku a s tím spojené ztrátě dat lze předcházet kupříkladu šifrováním obsahu, typicky jednotlivých složek nebo souborů. Toto však již BitLocker neumožňuje a je nutné použít software třetích stran,“ dodává Václav Zubr.

Jak zamknout obrazovku ve Windows 10

Velmi potřebná funkce, o níž však velká část uživatelů v malých firmách nemá tušení. Přitom stačí zmáčknout kombinaci kláves Win + L a váš počítač je zajištěný před nezvanými hosty. Pokud nevíte, která klávesa se nazývá Win, pak je to ta se symbolem „oken“ ztvárňující operační systém Windows. Obvykle se nachází v levém dolním rohu klávesnice, vlevo od mezerníku mezi klávesami Ctrl a Alt. Zamknout obrazovku nebo odhlásit uživatele je také možné po kliknutí na ikonu „človíčka“ v nabídce Start.

Počítače chrání, externí úložiště ne

Druhé velké riziko pro ochranu osobních údajů znamenají externí úložiště. Zálohováním se firmy brání ztrátě důležitých dat, ovšem zatímco vstup do počítače mají zajištěný heslem, vstup na externí disk nelze heslem jednoduše zajistit.

„Ideální řešení je zašifrovat externí disk. Na tuto aktivitu existuje několik různých nástrojů, v prostředí MS Windows nástroj BitLocker, který je ve většině běžně používaných edicí dostupný zdarma,“ upozorňuje Matěj Zachar.

„Tato šifrovací technologie umožňuje šifrovat výměnné disky pomocí hesla. Jednoduše vložíte disk nebo flashku a pravým tlačítkem v průzkumníkovi necháte zašifrovat. Otevřít takový disk je možné všude jinde, kde se zadá heslo. Tahle technologie šifruje celý disk. Na šifrování pevných disků operačního systému je možné využít BitLocker také, ‚heslo‘ se pak zadává při startu počítače, nebo je možné startovat i bez zadávání hesla pomocí modulu TPM, což je čipová karta na základní desce počítače. Šifrování disků BitLocker a BitLocker2Go je základní komponentou bezpečnosti už od Windows 7, bez které je počítač asi tak bezpečný, jako když si doma člověk nezamyká, takže zcela zásadní,“ upozorňuje Ondřej Ševeček na další důležitou funkci Windows, kterou však velká část malých firem nebo podnikatelů nepoužívá již proto, že ji nezná.

Ztrátu chráněného obsahu není třeba hlásit

Pro firmy je přitom právě v souvislosti s GDPR používání této technologie zásadní. „V případě šifrování Bitlockerem je zajištěno, aby se nikdo nedostal k vašim datům v případě ztráty disku. V rámci GDPR je to zásadní například v rámci povinnosti hlásit ztrátu potenciálních citlivých údajů na Úřad pro ochranu osobních údajů (ÚOOÚ). V případě ztráty počítače, který byl zašifrovaný pomocí Bitlockeru je potenciální možnost zneužití tak malá, že toto není potřeba hlásit na ÚOOÚ,“ říká Petr Klement.

Obtížnější už je chránit heslem jednotlivé adresáře v počítači. Jde o přístroje, k nimž má přístup více uživatelů, ale některá data jsou určena jen pro omezený okruh osob. „Šifrovat jednotlivé adresáře nejde moc jednoduše, je možné využít sice EFS, ale tato technologie se už roky nevyvíjí. Nebo je možné použít placené podnikové DLP (Data Leakage Prevention) řešení od Microsoftu nazvané AD RMS (on-premis) nebo Azure RMS (cloudová verze), které šifruje jednotlivé dokumenty Office a případně emaily v Exchange nebo Office365,“ radí Ondřej Ševeček.

K dispozici jsou i další řešení. „Pro zálohování dat v korporátním prostředí lze využít propracovaný software třetích stran, který umí nejen zálohovat, ale standardně i zálohovaná data šifrovat. Menší společnosti mohou využívat jednoduché zálohování na chytrá datová úložiště, takzvané NASy. Přičemž někteří výrobci těchto úložišť již dodávají jednoduchý zálohovací software, který data automaticky šifruje. Pokud je využíváno sdíleného prostředku pro ukládání dat ve firmách, neměli bychom zapomínat také na správné řízení přístupu k těmto datům, autentizaci uživatele a následnou autorizaci,“ konstatuje Václav Zubr.

Více čtěte ve SPECIÁLU: GDPR a jeho dopady na firmy

I v této oblasti však lze využít bezplatné technologie. „Pokud by se nejednalo přímo o požadavek a náklady na DLP, tak v podstatě stačí použít obvyklé NTFS zabezpečení sdílených adresářů, pokud jsou disky zašifrované BitLockerem, tak řízení přístupu pomocí NTFS oprávnění úplně stačí,“ dodává Ondřej Ševeček.

Neznalosti a strachu firem využívají predátoři

Neznalosti malých firem a živnostníků v oblasti možností zabezpečení obsahu počítačů či externích disků přitom podle odborníků často využívají dravé IT firmy. S hrozbou likvidačních pokut při porušení podmínek GDPR pak živnostníkům nabízejí často předražená řešení, která umí totéž, co funkce obsažené v operačním systému. Podle expertů by zlepšení situace prospěla větší osvěta ze strany Microsoftu, který by měl své zákazníky více informovat o tom, jak se s pomocí základního operačního systému připravit na nástup GDPR.
Dalibor Dostál

Jak se bránit napadení počítače

  • Vždy mějte aktualizovaný operační systém, antivirový program i ostatní aplikace na vašem počítači. Hackeři se nejčastěji zaměřují na starší či neaktualizované operační systémy, které nejsou dostatečně chráněny.
  • Pravidelně zálohujte svá data, ideálně mimo PC (do cloudového úložiště nebo na přenosný disk – a tento disk doporučujeme šifrovat a zajistit heslem)
  • Používejte tzv. silná hesla – ideálně heslo složené z velkých a malých písmen, číslice a speciálního znaku.
  • Nevypínejte bezpečnostní funkce integrované v systému
  • Neotvírejte přílohy emailů, pokud si nejste jisti obsahem či odesílatelem. Toto je stále jedna z nejčastějších příčin napadení počítače.
  • Nikdy nesdílejte hesla emailem, i pokud e-mail vypadá jako důvěryhodný.
  • Neklikejte na podezřelé odkazy v těle emailu – většina prohlížečů internetu vás upozorní na podezřelé webové stránky a tak je dobré se se doporučením řídit.
  • Dodržujte základní pravidla chování na internetu – v dnešní době sdílení informací na sociálních sítích je důležité se při sdílení informací chovat opatrně. Tzv. sociální inženýrství je další z metod hackerů, kterou využívají pro napadení počítače

Zdroj: BusinessInfo.cz – Microsoft