© NCB Garant dokumentu: NKP Účinnost dokumentu od: 13. 11. 2015
NCB_OST_15_011_A Bezpečnost a důvěryhodnost internetu verze A Jen pro vnitřní potřebu NCB!
ŘÍZENÁ DOKUMENTACE Ostatní
NCB_OST_15_011
Bezpečnost a důvěryhodnost při používání internetu (studijní materiál pro zaměstnance NCB)
Verze dokumentu: A
Typ dokumentu: Systémový
Zpracoval (i)
doc. MUDr. Jozef Filka, Ph.D., Ing. Pavel Majer
Řízená kopie č.:
Není-li výtisk tohoto dokumentu na první straně opatřen originálem razítka a podpisem správce úložiště dokumentů, není řízeným dokumentem.
Razítko, podpis:
Strana 1 (celkem 13)
© NCB Garant dokumentu: NKP
NCB_OST_15_011_A Bezpečnost a důvěryhodnost internetu Jen pro vnitřní potřebu NCB!
Obsah: BEZPEČNOST A DŮVĚRYHODNOST V INTERNETU ............................................................................ 3 1.
PŘEHLED ZNÁMÝCH RIZIK ........................................................................................................................ 3 1.1 1.2 1.3
2.
DOSTUPNÉ ZPŮSOBY PREVENCE A OCHRANY .......................................................................................... 8 2.1
3.
NEBEZPEČÍ ÚTOKU Z VNĚJŠKU ........................................................................................................................ 3 NEDOSTATEČNĚ ZABEZPEČENÉ TECHNOLOGIE .................................................................................................... 6 NEZABEZPEČENÁ KOMUNIKACE ...................................................................................................................... 7
VHODNÝ UŽIVATELSKÝ PŘÍSTUP ...................................................................................................................... 8
PRAKTICKÁ DOPORUČENÍ ...................................................................................................................... 10 3.1 3.2
OBECNÉ ZÁSADY UŽÍVÁNÍ INTERNETU ............................................................................................................ 10 SPECIFICKÉ ZÁSADY POUŽÍVÁNÍ INTERNETU ..................................................................................................... 10
4.
DOKUMENTACE ...................................................................................................................................... 11
5.
SEZNAM ZMĚN A REVIZÍ ŘÍZENÉHO DOKUMENTU ................................................................................. 13
Není-li výtisk tohoto dokumentu na první straně opatřen originálem razítka a podpisem správce úložiště dokumentů, není řízeným dokumentem.
Strana 2 (celkem 13)
© NCB Garant dokumentu: NKP
NCB_OST_15_011_A Bezpečnost a důvěryhodnost internetu Jen pro vnitřní potřebu NCB!
Bezpečnost a důvěryhodnost v internetu Cílem e-kurzu je získání znalostí a dovedností, které jsou potřeba k tomu, aby zaměstnanci NCB disponovali základními předpoklady k chování, které bude v souladu s ochranou osobních dat, budou schopni rozpoznat pravdivost informací a zároveň dokážou ověřit autorství dat a dokumentů.
1. Přehled známých rizik Existence internetu je spojena s riziky, která vyplývají z toho, jak je internet rozšířený, jakou komunikaci umožňuje a jaké služby poskytuje, především pak v oblasti přenosu dat, kdy není přenášen pouze text, ale je možné přenášet i rozsáhlé dokumenty. V současnosti je snadné si představit, že jsou na internetu přístupné zdravotní karty pacientů, ale spolu s touhle představou je nutné mít na paměti, že přístup k těmto dokumentům musí být dostatečně chráněn.
Potenciální rizika, která mohou při práci s internetem nastat Jedná se o rizika spojená s nebezpečím útoku z vnějšku, riziko nevhodně zvolené technologie a riziko nezabezpečené komunikace.
1.1
Nebezpečí útoku z vnějšku
Všechna rizika spolu do jisté míry souvisí, protože například pokud je zvolená nevhodná technologie, například počítači chybí antivirový program, je ohrožený útoky z vnějšku více než počítač, který virovou ochranu má. Pro zjednodušení je vhodné rozdělit jednotlivá rizika na internetu do dvou kategorií. V případě nebezpečí útoku z vnějšku můžeme hovořit o dvou typech těchto útoků. V prvním případě je to útok náhodný, kdy například dojde k tomu, že si uživatel stáhne špatný, antivirovým softwarem neověřený dokument, apod. Jedná se o chybu uživatele, který jednal neuváženě a podcenil nebezpečí. Ve druhém případě je pak útok cílený, kdy útočník (hacker) chtěl získat přístup k danému počítači, do dané databáze, apod. V takovém případě nemusí být uživatel nijak vinen, ale selhala technologie, která se ukázala jako nedostačující. S tím, jak se technologie posouvají, rozvíjejí se i technologické možnosti hackerů a kybernetických teroristů. Tedy s tím, jak se rozvíjí technologie, rozvíjí se i počítačová kriminalita. Z tohoto důvodu je třeba se snažit, aby bezpečnost byla neustále maximální a hlavně aktuální, aby elektronické systémy netrpěly ohrožením novějšími nebezpečími. A. Malware Toto slovo vzniklo spojením dvou anglických slov „MALicious softWARE“, což lze přeložit jako škodlivý program, který může mít různou podobu. Od této podoby se také odvíjí to, co je smyslem takového malwaru, stejně jako to, co může ve vašem počítači způsobit. Do této kategorie rizika útoků z vnějšku se řadí: Viry – viry jsou škodlivé kódy, které jsou schopné šířit se dál bez vašeho vědomí a mohou zcela zničit vaši práci (mazáním souborů, kompletním formátováním vašeho disku, znepřístupněním programů, apod.). Viry se nejčastěji do počítače dostanou stahováním nevhodného obsahu z internetu nebo z neprověřených e-mailových zpráv. Není-li výtisk tohoto dokumentu na první straně opatřen originálem razítka a podpisem správce úložiště dokumentů, není řízeným dokumentem.
Strana 3 (celkem 13)
© NCB Garant dokumentu: NKP
NCB_OST_15_011_A Bezpečnost a důvěryhodnost internetu Jen pro vnitřní potřebu NCB!
Trojské koně – trojský kůň je samostatný program, který se navenek tváří užitečně, ale ve skutečnosti provádí škodlivou činnost, např. sleduje přístupová hesla, zablokuje firewall anebo stahuje škodlivé soubory. Do počítače se trojský kůň opět nejčastěji dostává stahováním na internetu a ukládáním emailových příloh, u kterých nevíte, kdo vám je vlastně zaslal, případně jsou to přílohy, které mají zvláštní koncovky – nejméně doporučené je stahovat EXE soubory, když nevíte, o jaké programy se jedná.
Spyware (z anglického Spy neboli vyzvědač, špeh) – do kategorie spyware patří programy, které tajně sledují dění na počítači a kradou hesla, PIN kódy, čísla kreditních karet, apod. Tento program se opět stahuje, případně je možné, aby byl nainstalován spolu s neprověřeným programem – spyware nemusí být přímo součástí tohoto programu, ale byl k němu přiřazen, například pokud stahujete program na stránkách, kde není jasně uvedený zdroj. Z tohoto důvodu je nejvhodnější stahovat programy přímo na stránkách jejich výrobce. Síťové červy (worms) – jsou schopné šířit se bez vědomí uživatele a vykonávají nežádoucí činnost, např. nainstalují v počítači trojského koně anebo vytvoří tzv. backdoor, tedy jakási zadní vrátka, kterými lze do sítě propašovat další viry. Sám program škodí tedy tím, že zajišťuje prostředí pro fungování předchozích nebezpečných malwarů. Výše uvedené jsou základní druhy hrozeb, které mají podobu programů a samy něco na vašem počítači spustí. Je proto nezbytné chránit počítače vhodným antivirem. Současné operační systémy většinou mají dostatečnou základní ochranu a vlastní nástroje, ale není vhodné antivirovou ochranu podcenit. Zvláště pracujeme-li pod účtem s administrátorskými právy bez antivirového programu. Antivirové programy mají výhodu, že jsou – pokud jsou kvalitní – aktualizovány v podstatě na denní bázi, tudíž máte maximálně možnou ochranu i před skutečně novými hrozbami. B. Nebezpečí hackingu a phishingu V případě hackingu útočníka většinou zajímá informace, kterou může zpeněžit, případně zneužít k vydírání nebo k jiným ziskům. Tohle jsou útoky, které jsou nebezpečné právě i pro elektronicky vedenou zdravotní dokumentaci a další elektronické systémy. Cílem hackerů pak případně může být i odhalení slabiny subjektu, což je již nekalá praktika a ilegální činnost v rámci konkurenčního boje. Některé útoky jsou prováděny jako upozornění na slabé zabezpečení, s cílem proslavit své jméno nebo otestovat svoje schopnosti a vyřešit problém, případně se naposledy pomstít zaměstnavateli po propuštění. V takovém případě se právě ukazuje potřeba vhodného zabezpečovacího systému, který zajistí, aby i tyto útoky, kde není smyslem osobní obohacení nebo zisk jiné podoby, byly zastaveny včas a nikoli ve chvíli, kdy jsou osobní a citlivé údaje odhaleny nebo zveřejněny. Dnes již relativně zřídka někdo proniká cíleně do vzdáleného počítače za účelem získání přihlašovacích údajů. Hesla jsou hromadně a efektivněji sbírána k tomu vytvořenými programy, které se nazývají keyloggery. Takto získané přihlašovací údaje jsou draženy na utajovaných aukcích jako celé balíky čítající až tisíce přístupových údajů. Keyloggery se mohou maskovat za užitečný software, například za program zprostředkující předpovědi počasí, apod. Jsou řazeny mezi spyware. Toto je primární důvod, proč omezit stahování aplikací, které nejsou prověřené, aplikací, které nejsou nezbytné pro výkon pracovní činnosti, anebo aplikací, které mají neidentifikovatelný nebo anonymní zdroj. K průniku k citlivým datům lze též využít bezpečnostních chyb v důvěryhodných programech. Jedná se například o chyby v internetových prohlížečích, chyby v operačních systémech, ale v podstatě i jakýchkoli jiných programech, které samy využívají přístup k internetu. Z tohoto
Není-li výtisk tohoto dokumentu na první straně opatřen originálem razítka a podpisem správce úložiště dokumentů, není řízeným dokumentem.
Strana 4 (celkem 13)
© NCB Garant dokumentu: NKP
NCB_OST_15_011_A Bezpečnost a důvěryhodnost internetu Jen pro vnitřní potřebu NCB!
důvodu je naprosto nezbytné jednotlivé programy neustále aktualizovat, protože aktualizacemi jsou podobné chyby odstraňovány a je zajištěna vyšší bezpečnost. Speciální kapitolou je tzv. phishing. Útočník „uloví“ přístupové údaje a heslo uživatele tak, že mu zobrazí falešnou stránku, která se vydává vzhledově za jinou, například za stránku přihlášení do internetového bankovnictví. To se v praxi děje nejčastěji posláním falešného emailu, který dodržuje obvyklou vzhledovou strukturu e-mailů banky s žádostí k odeslání hesla například z důvodu poškození databáze. Pokud si oběť zadá své přihlašovací údaje na odkazované stránce, jsou hesla okamžitě uložena a útočník získal možnost manipulovat s účtem. Hesla je naprosto nezbytné držet v bezpečí a neposkytovat je nikomu jinému. Ani poskytovatel nemá právo vyžadovat vaše heslo, protože tím naruší vaši anonymitu a váš osobní přístup k různým aplikacím. V případě elektronické zdravotnické dokumentace se jedná o podobný problém. I zde je přístup do softwaru třeba určitým způsobem chránit, a tak není možné, aby kdokoli požadoval hesla s tím, že vám s něčím pomůže, něco zlepší, nebo že vy jste něco pokazili, a proto oni musí vaši chybu napravit prostřednictvím vašich přihlašovacích údajů. Přihlašovací údaje jsou vždy osobní a určeny pouze pro jednoho člověka. C. Síťové útoky Tato kategorie zahrnuje útoky na slabiny operačních systémů a aplikací. Ze zkušeností vyplývá, že žádný program není bez chyb. Neustále je třeba je zdokonalovat, upravovat, přizpůsobovat, a to právě v souladu s tím, že jsou zde nové trendy jak v technologiích, tak i v možnostech jejich napadení. Síťové útoky zneužívají zranitelnosti programů a mohou tak škodit. Útoky probíhají například tak, že útočník získá na systému administrátorská práva, případně způsobí nefunkčnost programu, přetvoří internetové stránky, apod. Tuto zranitelnost aktuální verze programu odstraní výrobce zpravidla pomocí tzv. patchů, tedy v podstatě záplat, které mají nedostatky a chyby vymazat z poškozené verze programu. Aktualizace jsou tak důležité, ale je potřeba si uvědomit, že tyto patche nepřicházejí ve chvíli, kdy problém vzniká, ale většinou až poté, kdy se projeví. Je proto důležité aktualizovat systém a aplikační programy, ale stejně tak je nutné, aby byl v počítači vhodně nastavený firewall. Nadále však velká odpovědnost lpí na samotných uživatelích, kteří by se měli chovat tak, aby k útokům docházelo co nejméně a ohrožení bylo eliminováno i z jejich strany. Ohrožení eliminují dodržováním vhodných zásad pro práci s počítačem i pro práci s internetem. D. Odcizení osobních údajů a hesel Odcizení osobních údajů a hesel souvisí s předchozími kategoriemi, protože je možné ukrást hesla a osobní údaje prostřednictvím hackingu, ale i prostřednictvím malwaru. Tato kategorie je však natolik zásadní a je spojená i se zdravotnickou dokumentací a její bezpečností, že je vhodné ji speciálně vyčlenit. Na internetu se vyplácí jedna věc. Být ostražitý a nedůvěřivý. Žádný provozovatel e-mailu nebo jakékoli jiné služby po vás nevyžaduje zasílání hesla na jiný e-mail. Na internetu jsou velice časté podvodné zprávy, které se tváří jako vzkaz od administrátora. Jedná se ale o podvod. Podobně je to i s případem, kdy po vás chce hesla banka, apod. Opět platí, že hesla se z ruky nedávají a jsou jen vaše. S heslem nesouvisí pouze to, že je potřeba si jej uchovat, ale také to, aby mělo dostatečnou a odpovídající sílu. Při tvorbě hesla se vyvarujte jeho jednoduché podoby, např. tvar jména, datum narození nebo třeba číslovky 123456. Nejsilnější hesla jsou taková, která obsahují nesmyslný shluk znaků, anebo alespoň taková, která jsou delší a jsou v nich zastoupena malá i velká písmena a také číslice. Odcizení přihlašovacích údajů je velkým problémem, protože v takovém případě může snadno dojít k útoku z vnějšku, kdy tento útok ani z počátku nebude za útok považován, Není-li výtisk tohoto dokumentu na první straně opatřen originálem razítka a podpisem správce úložiště dokumentů, není řízeným dokumentem.
Strana 5 (celkem 13)
© NCB Garant dokumentu: NKP
NCB_OST_15_011_A Bezpečnost a důvěryhodnost internetu Jen pro vnitřní potřebu NCB!
protože útočník se autentizuje na základě správných údajů. Díky tomu ale může získat snadno zneužitelné informace například o pacientech, osobní údaje, apod.
1.2
Nedostatečně zabezpečené technologie
Viníkem toho, že dojde ke ztrátě dat, nemusí vždy být osoba, která se při práci s citlivými údaji a internetem nechová dostatečně obezřetně a opatrně, ale skutečnou příčinou může být také nevhodně zvolená technologie. Špatně zvolenou technologií je taková, která není dostatečně zabezpečená a která nakonec vede k tomu, že se ven dostávají údaje, které by měly zůstat tajné, respektive přístupné pouze omezenému počtu osob. Základem toho, jak se vyhnout tomuto nebezpečí, je dodržení základních zásad práce s daty a počítači. V těchto zásadách je uvedeno, že je potřeba aktualizovat software a je nutné se vyvarovat jednání, které by vedlo ke sdělování citlivých informací nepovolaným osobám. A. Neaktuální software Platí především v případě operačních systémů, internetových prohlížečů a antivirových programů, které jsou určené pro vyhledávání škodlivého malware. Je třeba mít na počítači nainstalovány takové programy a operační systém, které jsou aktualizované, u antivirových programů platí aktualizování co nejčastější. V případě, že k aktualizacím nedochází, software může z hlediska ochrany velmi rychle zastarávat a celý počítač a všechna data v něm jsou mnohem více ohroženy. V případě firemní sítě většinou dochází k tomu, že je nainstalován stejný software pro všechny počítače, které jsou na síť napojené. Je zde pak správce, který se stará o to, aby docházelo k aktualizacím, případně by měl zajistit nové programy, pokud ty stávající již neplní svou funkci. Samotný uživatel pak již nemusí toto sledovat, protože systémy a programy se aktualizují automaticky. Je však vhodné mít přehled o tom, jestli je třeba provádět aktualizace manuálně, či nikoli. B. Mobilní telefony Mobilní telefony jsou v dnešní době už naprosto běžnou součástí našeho života. Během několika posledních let ztratily svůj punc výjimečnosti a staly se dostupným artiklem, dalo by se říct spotřebním zbožím. Pokud se v souvislosti s mobilními telefony mluví o hrozbě zneužití našich soukromých informací, asi každého v první řadě napadne riziko odposlechu telefonních hovorů. V tomto smyslu je naprosto nevhodné, aby byly po telefonu vyžadovány a sdělovány jakékoli citlivé informace, především pak přihlašovací údaje a hesla. Tyto se nesmí poskytnout ani po telefonu, ani osobně. S mobilními telefony, především s chytrými telefony, jsou však spojena i další úskalí. Tím, jak se technologie zdokonalují a do mobilních telefonů se vkládají stále nové funkce, je uživatel do jisté míry stále více ohrožen. Týká se to například vkládání GPS technologie, kdy je možné telefon lokalizovat. Nebezpečí při sdílení dat představuje i samotný přístup k internetu a sociálním sítím. Data ve zdravotnictví by měla být sdílena především na standardních počítačích v rámci pracovní sítě. Ukládání pracovních dokumentů do paměti telefonu by mohlo vést ke zneužití těchto dat při ztrátě přístroje anebo jeho krádeži. S telefony, které má většinou člověk neustále při sobě, pak souvisí i nevhodnost zapisování hesel do jejich paměti. Tato hesla sice budete mít stále u sebe, ale jen do té doby, než telefon někdo zcizí, anebo dojde k tomu, že ho sami darujete, ale citlivá data zapomenete smazat. C. Technologie Bluetooth Jedná se o zařízení, které umožňuje komunikaci mezi různými přístroji. Odesílá a přijímá data a informace z mobilních telefonů, hands-free sad, bezdrátových klávesnic, osobních počítačů, notebooků, apod. Bluetooth technologie slouží pro bezdrátovou výměnu informací mezi dvěma přístroji. Není-li výtisk tohoto dokumentu na první straně opatřen originálem razítka a podpisem správce úložiště dokumentů, není řízeným dokumentem.
Strana 6 (celkem 13)
© NCB Garant dokumentu: NKP
NCB_OST_15_011_A Bezpečnost a důvěryhodnost internetu Jen pro vnitřní potřebu NCB!
V souvislosti s bezpečností Bluetooth technologií a jejich vlivem byla provedena studie: Speciální programy na zvoleném místě monitorovaly pohyb mobilních telefonů v kapsách jejich uživatelů po čtyři měsíce. Z takto nasbíraných dat by poté bylo možné zpracovat analýzu chování obyvatel – jak často chodí na určitá místa, jak dlouho se tam zdrží, kudy nejčastěji prochází, jaké obchody či restaurace nejčastěji navštěvují, atd. Přesto, že by tato data nebyla spojena s konkrétní osobou, dochází k narušení soukromí. Ohrožení technologií Bluetooth není tak vysoké, ale přesto je třeba pamatovat na to, že není vhodné povolovat přístup na vaše zařízení prostřednictvím této technologie komukoli. Vzhledem k tomu, že v českých podmínkách je její využití stále poměrně malé, je vhodné se technologii a přenosu dat přes ni spíše vyhnout. Jsou zde standardní rychlé, efektivní a bezpečné způsoby, jak data přenášet.
1.3
Nezabezpečená komunikace
Komunikace na internetu se v první řadě jeví nebezpečná hlavně pro děti. Děti nejsou schopné tak snadno rozeznat, jaká jsou zde rizika, jaké informace a komu mohou poskytnout. Na jejich profilech na Facebooku a jiných sociálních sítích je možné nalézt velmi osobní informace a fotografie. Toto je však problém, který se ukazuje i u dospělých, protože ani oni nemají někdy jasno v tom, co mají na internetu sdělit, jaké údaje jsou příliš, jaké ještě nikoli. V každém případě by mělo platit, že jakékoli pracovní, osobní nebo dokonce tajné informace nesmí být nikde na internetu publikovány. Jejich následné smazání bývá velmi komplikované, v některých případech je to skoro nemožné – jakmile někomu pošlete zprávu a on si ji archivuje, i když vy si ji smažete, on ji bude mít stále dostupnou a může ji zneužít. A. Bezpečnost elektronické pošty Svým pacientům neposílejte citlivá data (např. výsledky vyšetření) e-mailem, protože ten je předáván na své cestě nešifrovaný mezi mnoha servery. Stejně tak většina komunikace skrz instant messaging služby (chat, ICQ, Skype apod.) probíhá nešifrovaná. E-mail bývá též příčinou mnoha virových nákaz, viry jsou často maskovány jako zajímavý obsah v příloze e-mailu. Typicky jde o EXE či COM soubory, různé souborové archivy (ZIP, RAR), popřípadě běžné soubory kancelářských balíků (např. DOC), které obsahují škodlivé makro (kód, který spustí nějakou akci po otevření dokumentu). Zaslání e-mailu probíhá v několika krocích a nejinak je tomu v případě chatu. Jakmile uživatel sepíše e-mail a odešle jej, je zpráva transformována do standardního formátu. Poté může být odeslána. Zpráva pak putuje z vašeho serveru na server osoby, které je e-mail určen. Problém nastává ve chvíli, kdy těch serverů je více, což znamená, že nešifrovaná zpráva prochází přes zbytečně velké množství jednotlivých uzlů, čímž dochází k navyšování nebezpečí, že si e-mail přečte někdo jiný. B. Nebezpečí na sociálních sítích Sociální sítě jsou velmi lákavým cílem pro hackery a další počítačové kriminálníky. Databáze sociálních sítí obsahují obrovské množství osobních údajů, které jsou lukrativním zbožím zejména pro účely šíření vysoce cílené nevyžádané reklamy, případně pro vytvoření sociologické analýzy, taktéž využitelné pro marketing. Opakuje se tak problém s tím, že čím více osobních informací poskytnete, tím spíše se můžete stát terčem útoku, ať už na první pohled poměrně nenápadného (spam) anebo skutečně kritického (hacknutí). Sociální sítě pak obsahují další různé nadstavby, které nejsou vyvíjené přímo vlastníkem sítě, ale externími společnostmi. Jedná se například o různé hry a aplikace, které je možné využívat prostřednictvím účtu na sociální síti. Tyto aplikace jsou potenciálně nebezpečné, protože propojením s vaším účtem na sociální síti mohou získávat vaše osobní informace.
Není-li výtisk tohoto dokumentu na první straně opatřen originálem razítka a podpisem správce úložiště dokumentů, není řízeným dokumentem.
Strana 7 (celkem 13)
© NCB Garant dokumentu: NKP
NCB_OST_15_011_A Bezpečnost a důvěryhodnost internetu Jen pro vnitřní potřebu NCB!
Podobné je to například i s různými skupinami, které vznikají na Facebooku nebo Twitteru. Přidání se ke skupině nebo odběru zpráv není nebezpečné v obvyklém slova smyslu, člověk se však dobrovolně vystavuje další možnosti průniku spamu. Nebezpečí není tak moc vysoké, ale stále to jsou aspekty komunikace, jimž je lépe se vyvarovat. Pro shrnutí: Poskytovat co nejméně osobních údajů a vybírat si stránky, kde po vás příliš informací nechtějí a kde můžete zůstat v určité anonymitě. Informace na internetu poskytnutá má zpravidla tendenci na něm již zůstat a tento trend se s větším otevíráním sociálních sítí směrem k vyhledávačům bude prohlubovat. Ve vztahu k sociálním sítím panuje velká důvěra a zároveň jejich uživatelé často nepovažují za nutné hlídat si svoje soukromí. Některé sociální sítě již dopředu v podmínkách užívání oznamují, že nenesou za vložená data a jejich zcizení žádnou odpovědnost. Nebezpečí pro komunikaci zde jednoznačně je a vyhnout se mu úplně není možné. Komunikace je nezbytná, ale z toho důvodu je nutné, aby systém, který je používán pro komunikaci mezi zdravotníky, využíval vhodné šifrování, vhodné datové standardy a používal certifikáty, které v oblasti elektronické bezpečnosti existují. C. Ztráta identity Co je na internetu zveřejněno, už většinou není možné vzít zpět. Je proto nutné si pečlivě rozmyslet, co o sobě chcete na internetu sdělovat, ať už na stránkách, kde to zůstane vystaveno, anebo v soukromé konverzaci. Denně je prostřednictvím sociálních sítí ukradeno několik desítek identit. Mnohdy o tom uživatelé nevědí, což vede k tomu, že případné dopady krádeže identity mohou zjistit velmi pozdě, tedy ve chvíli, kdy již došlo ke zneužití odcizené identity. V případě ztráty identity je možné se určitým způsobem bránit, anebo se alespoň snažit zmírnit následky, či možnost opakování takového činu. V první řadě je třeba kontaktovat technickou podporu internetových stránek, kde jsou vaše údaje. Technická podpora by vám měla na žádost vaše údaje smazat. V případě, kdy se jedná o ztrátu identity s následky, které jsou trestným činem (neoprávněné nakládání s osobními údaji, krádež, apod.), nezbývá než se obrátit na policii, která by měla být schopna tyto případy řešit.
2. Dostupné způsoby prevence a ochrany Jak bylo v předchozí kapitole uvedeno, internet je nebezpečným prostředím a do jisté míry se stává nebezpečnějším i proto, že je možné se v současnosti k internetu připojit téměř kdekoli. Problémem pak může být i nevhodně zabezpečená bezdrátová (wi-fi) síť. Rizika spojená s internetem jsou poměrně rozsáhlá, a proto je třeba se jim bránit. V této oblasti jsou dvě základní kategorie přístupů, které se používají, vždy se musejí používat společně. Zaprvé se jedná o přístup uživatelský, který musí být opatrný, nikoli nedbalý, a pak přístupy technologické a softwarové.
2.1
Vhodný uživatelský přístup
To, jak by se měl uživatel počítače chovat tak, aby používáním internetu nezpůsobil sobě nebo jiným nějaké problémy ztrátou citlivých dat a jejich zneužitím, anebo jinou újmu, která by osobu poškodila, lze shrnout do několika základních bodů. V předchozím tématu byly prezentovány zásady práce s počítačem a s daty. Toto je primárně shrnutí a částečně rozšíření informací k danému tématu: - Antivirové programy jsou nezbytnost – to je jednoznačně dané a váš operační systém by měl mít nainstalovaný antivirový program, který se pravidelně – co nejčastěji – aktualizuje. Antivirový program může zpomalovat procesy na počítači, proto je vhodné volit kvalitní antivirový program. Stejně tak je lépe vybavit
Není-li výtisk tohoto dokumentu na první straně opatřen originálem razítka a podpisem správce úložiště dokumentů, není řízeným dokumentem.
Strana 8 (celkem 13)
© NCB Garant dokumentu: NKP
NCB_OST_15_011_A Bezpečnost a důvěryhodnost internetu Jen pro vnitřní potřebu NCB!
zdravotnické pracoviště výkonnějšími počítači. Antivirový program nikdy nevyřaďujte z provozu! - Nepouštět a mazat neznámé soubory – uživatel by neměl spouštět neznámé soubory, které mají příponu COM, EXE, BAT, SCR, JS, VBS, PIF, ZIP, RAR. Vystavuje se tím riziku, že spustí nebezpečný program (vir, červ, apod.). Tyto e-maily se musí mazat, rozhodně se nesmí přeposílat dalším uživatelům. - Soubory s dvěma příponami – jedná se o standardní kamufláž virů, kdy soubor má ve svém jméně dvě přípony. Jako první je například JPG, což je poměrně bezpečná přípona pro obrázky. Za ní ale pak následuje přípona další, která je zásadní. Dříve se jednalo o poměrně častou cestu, jak zmást uživatele, kteří v domnění, že se jedná o obrázek, soubor otevřeli, a tím se jim do počítače nainstaloval některý druh malwaru. - Instalace nových programů vždy s rozmyslem – instalované programy by měly pocházet od důvěryhodného zdroje, kde znáte autora. Instalovat programy může pouze správce vaší počítačové sítě! - Přílohy z chatu a sociálních sítí ignorujte – i když se mohou sociální sítě jevit jako bezpečné, vlivem externích aplikací, které využívají, se může stát, že vám přítel na Facebooku posílá nějaký soubor nebo odkaz. Problémem je, že odesílatelem ve skutečnosti není váš přítel, ale nebezpečný program, který se po kliknutí na odkaz stáhne i do vašeho počítače. Z tohoto důvodu jsou sociální sítě určené hlavně pro komunikaci, nikoli pro sdílení souborů. Pro sdílení raději používejte ověřené služby a možnosti, které má váš zdravotnický systém. Ten by měl být proti podobným rizikům zabezpečen. - Různá hesla – nesmí se používat shodná hesla pro e-mailovou schránku, pro vstup do elektronického zdravotnictví, pro elektronické bankovnictví a další. Každý přístup by měl mít jiné heslo, čímž se snižuje riziko toho, že zjištěním vašeho hesla budou ohroženy všechny služby, které máte heslem chráněné. Doporučuje se rovněž, aby se heslo měnilo. Vhodná frekvence je jednou za 6 měsíců, používejte silné heslo a vždy jiné pro každý účet. V rámci elektronické bezpečnosti se objevuje několik mýtů, které je třeba chápat jako nepravdy. Jedná se o mýty následující: - Mám nastaveny pravidelné aktualizace operačního systému, takže se mi do počítače žádný malware nedostane – operační systém sám o sobě není antivirový program a nemusí zabránit stáhnutí a spuštění malware. - Přílohy od neznámého odesílatele zásadně neotvírám, takže se můj počítač nemůže nakazit – v současné době existují e-maily, které se tváří důvěryhodně, jsou od oficiální instituce, ale ve skutečnosti jsou podvodné. V takovém případě je třeba ověřovat, kdykoli se vám i maličkost na takovém e-mailu nezdá v pořádku. - Antivirus nepotřebuji, protože chodím jen na důvěryhodné stránky – i na důvěryhodných stránkách se může stát, že budou napadeny nějakým virem, který se vám následně může stáhnout do počítače právě proto, že jste považovali stránky za bezpečné a prověřené. Antivirus zase tolik počítač nezpomaluje a vždy je lepší být připraven. - Virová nákaza je nafouklá bublina, již roky používám bezplatný antivir a žádný virus jsem doposud nechytil – skutečně se to může stát, ale stejně tak může dojít k tomu, že ve vašem počítači je již software, který je považován za malware, ale antivirový program jej neodhalil právě proto, že je bezplatný, že jej neaktualizujete, anebo jste ho už odinstalovali. Znovu platí, že je lépe být připraven, než následně přijít o důležitá data a ohrozit nejen sebe, ale i pacienty. - I kdybych nějaký virus chytil, tak mě to netrápí, v nejhorším případě přeinstaluji systém a data obnovím ze zálohy – u zdravotnické dokumentace není možné si dovolit takový nebezpečný přístup, protože jakmile je počítač napojen na síť, navíc pracuje s Není-li výtisk tohoto dokumentu na první straně opatřen originálem razítka a podpisem správce úložiště dokumentů, není řízeným dokumentem.
Strana 9 (celkem 13)
© NCB Garant dokumentu: NKP
NCB_OST_15_011_A Bezpečnost a důvěryhodnost internetu Jen pro vnitřní potřebu NCB!
citlivými databázemi, může vir mít nedozírné následky jak na citlivá data na vašem počítači, tak i na další data v rámci firemní sítě. Základní přístup uživatele je opatrnost k jakémukoli obsahu, který se může na počítač z internetu nainstalovat. Platí to jak o přímém stahování aplikací, tak i o prohlížení nebezpečných stránek – např. stránky herní, stránky, kde musíte nejprve něco instalovat, abyste si mohli prohlédnout jejich obsah, apod.
3. Praktická doporučení 3.1 -
Obecné zásady užívání internetu
Používat aktuální antivir, antispyware, firewall. Pravidelně aktualizovat používaný operační systém a užívané programy (zejména prohlížeče a jejich pluginy – Flash, Java). Používat silné heslo a nezapisovat, neukládat a nesdělovat ho. Kontrolovat u podezřelých stránek jejich skutečnou adresu v řádku prohlížeče. Neotvírat neznámé či podezřelé soubory, programy nebo přílohy poštovních zpráv. K citlivým službám se připojovat pouze z vlastního počítače a nikdy přes neznámou wifi síť nebo z internetové kavárny. Nenavštěvovat pornografické stránky nebo stránky, jež šíří warez. Připojovat se k internetovému bankovnictví, e-mailové schránce či jiným citlivým službám zásadně přes HTTPS protokol. U internetového bankovnictví se řádně odhlašovat ze služby. Pamatovat, že smazaná data nejsou na disku ve skutečnosti smazána, ale pouze označena k přepsání. Pro skutečné vymazání je nutné je mnohonásobně přepsat. Pravidelně zálohovat důležitá data. V sociálních sítích využívat co nejméně aplikací třetích stran (her, kvízů atp.). Uvažovat, které informace o sobě internetu poskytujete.
3.2
Specifické zásady používání internetu
Internetové prohlížeče - Nedůvěřujte stránkám, na kterých se musíte přihlašovat a kde není přihlášení chráněno zabezpečením – adresa by měla začínat https nikoli pouze http. -
Vyhýbat se podezřelým stránkám (hazardní nebo pornografický obsah, warez, apod.) anebo si nastavit přímo filtr pro jejich blokování.
-
Bezmyšlenkovitě neodklikávat výstrahy, které internetový prohlížeč zobrazí.
E-mailová pošta - Neotvírejte jakkoli podezřelé e-maily, u kterých nevíte, kdo je odesílatelem. -
Nepřeposílejte e-maily bez toho, abyste si byli jistí, co posíláte a komu to posíláte.
Citlivé údaje - Nesdělujte nikomu své přihlašovací údaje, hesla, PIN kódy, apod. -
Citlivé údaje nesdělujte nikomu přes internet.
-
Vždycky uvažujte o tom, co o sobě chcete prozradit na sociálních sítích.
Není-li výtisk tohoto dokumentu na první straně opatřen originálem razítka a podpisem správce úložiště dokumentů, není řízeným dokumentem.
Strana 10 (celkem 13)
© NCB Garant dokumentu: NKP
NCB_OST_15_011_A Bezpečnost a důvěryhodnost internetu Jen pro vnitřní potřebu NCB!
-
Citlivá data by měla být šifrována.
-
Pokud ztratíte flash disk nebo klíč s certifikací, okamžitě kontaktujte správce sítě.
-
Pokud mažete citlivá data, ujistěte se, že jsou skutečně smazána.
Přenosná média - Dávejte si pozor na to, aby se k vašemu zařízení nepřipojovala jiná přenosná média (např. prostřednictvím Bluetooth), mohlo by dojít k nákaze malwarem. -
Prověřovat připojená zařízení (např. flashdisky) antivirovým programem, pokud tento není nastaven na automatické prověření.
-
Obsah přenosných médií, pokud jsou na nich citlivá data, by měl být zaheslován, stejně tak i zálohován, pokud by došlo ke ztrátě.
-
Zařízení s citlivými daty, která již nepotřebujete, smažte a případně fyzicky zničte.
Stahování dat - Stahujte pouze z důvěryhodných zdrojů. - Mějte nastavený antivirový program, aby prováděl kontrolu všech stažených souborů. - Nestahujte autorsky chráněná data bez potřebného oprávnění. Jak poznat napadený počítač - Objevují se okna, která nejdou zavřít, nahodile se mění nastavení počítače bez vašeho zásahu. - Počítač je náhle pomalejší, každé načítání trvá mnohem déle, harddisk pracuje, i když nemá důvod, ve Správci úloh (Ctrl+Alt+Delete v operačním systému Windows) se zobrazují nezvyklé aplikace. - Antivirus hlásí napadení virem nebo jiným malwarem. Jak se chovat v případě napadení - Kontaktovat odpovědnou osobu (správce sítě, oddělení IT) a s ní následně spolupracovat. - Zkontrolovat zabezpečení a jeho funkčnost. - Zhodnotit, jaké jsou následky z napadení virem nebo vnějším útočníkem. - Aktualizovat operační systém a antivirový program. - Upozornit případně policii, pokud se jednalo o cílený útok ze strany vnějšího útočníka.
4. Dokumentace S touto směrnicí souvisejí níže uvedené dokumenty, popř. uvedené v příloze. Související dokumenty vyšší úrovně: ČSN ISO/IEC 27001:2013 Informační technologie – Bezpečnostní techniky – Systémy managementu bezpečnosti informací – Požadavky Zákon č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování (zákon o zdravotních službách), v platném znění Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, v platném znění
Není-li výtisk tohoto dokumentu na první straně opatřen originálem razítka a podpisem správce úložiště dokumentů, není řízeným dokumentem.
Strana 11 (celkem 13)
© NCB Garant dokumentu: NKP
NCB_OST_15_011_A Bezpečnost a důvěryhodnost internetu Jen pro vnitřní potřebu NCB!
Zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), v platném znění Vyhláška č. 102/2012 Sb., o hodnocení kvality a bezpečí lůžkové zdravotní péče Související směrnice: NCB_P_08_001 Politika systému bezpečnosti informací NCB_SME_09_013 Bezpečnost ICT NCB_SME_10_024 Ochrana osobních údajů
Není-li výtisk tohoto dokumentu na první straně opatřen originálem razítka a podpisem správce úložiště dokumentů, není řízeným dokumentem.
Strana 12 (celkem 13)
© NCB Garant dokumentu: NKP
NCB_OST_15_011_A Bezpečnost a důvěryhodnost internetu Jen pro vnitřní potřebu NCB!
5. Seznam změn a revizí řízeného dokumentu Verze
Datum
A
10. 11. 2015
Obsah změny/revize Nový dokument.
Není-li výtisk tohoto dokumentu na první straně opatřen originálem razítka a podpisem správce úložiště dokumentů, není řízeným dokumentem.
Jméno a podpis garanta dokumentu doc. MUDr. Jozef Filka, Ph.D.
Strana 13 (celkem 13)