Fyzická bezpečnost
- 1/10
- 2/10
- 3/10
- 4/10
- 5/10
- 6/10
- 7/10
- 8/10
- 9/10
- 10/10
4 min
Ačkoli se hodně pozornosti soustředí na digitální rozměr kyberbezpečnosti, nemůžeme opomíjet ani její rozměr fyzický. Fyzická bezpečnost zahrnuje ochranu informací, fyzických zařízení a infrastruktury před neoprávněným přístupem, poškozením nebo krádeží.
Fyzickou bezpečnost tedy musíme řešit vždy společně s kyberbezpečností. Proč? Aby nám notebook s daty neodnesl náhodný*á kleptoman*ka nebo dokonce vyslanec*kyně konkurence vydávající se za instalatéra*ku, aby si nepověřený pracovník*ice neprohlížel*a důvěrné dokumenty v kanceláři ředitele*ky, abychom nemuseli po každém větším dešti řešit výměnu promočené výpočetní techniky v kancelářích, protože nečištěné okapové svody nepoberou přívalové srážky. Stohy kartonových krabic v serverovně také přidělají vrásky na čele, pokud se rozhodnou vlivem tepla z okolí vznítit.
Zločinecká skupina (nebo spíše operační schéma) Carbanak se zhruba před 10 lety zaměřovala na finanční instituce, do jejichž systémů zaváděla malware a prostřednictvím maker v dokumentech jej využívala ke krádežím peněz (případně její členové*ky sledovali činnost zaměstnanců*kyň banky a postupně získávali kontrolu nad interními systémy). Na svědomí má údajně zcizení více než 900 milionů USD od bank i jednotlivců.
Kromě toho, že k instalaci malware využívala poměrně obvyklého e-mailového phishingu, se také v některých případech útočníci*ice vydávali za techniky*čky nebo dodavatele*ky a fyzicky se dostali do bankovních poboček, kde nainstalovali malware na počítače přímo osobně.
Některé z kroků, které můžeme podniknout, abychom zvýšili úroveň fyzické bezpečnosti:
- Zabezpečení přístupu:
- Vytvoření pravidel pro přístup a pobyt v prostorách organizace.
- Segmentace prostor organizace s různými provozními režimy a různými odpovědnostmi osob. Archiv a serverovna jsou jen pro vyvolené.
- Zavedení přísnějších pravidel pro přístup k citlivým systémům a datům. Omezení přístupu do citlivých oblastí pouze na oprávněné osoby a kontrola záznamů o přístupech.
- Instalace bezpečnostních kamer a kontrolních přístupových systémů v budovách (např. RFID karty pro zaměsanané).
- Ověření důvěryhodnosti dodavatelů*ek před zahájením spolupráce. Pravidelný audit praktik všech dodávajících během spolupráce.
- Před vpuštěním do prostor organizace požadujte skutečně důvěryhodnou formu prokázání identity (opravářů*ek tiskáren či klimatizací, kurýrů*ek, obchodních zástupců*kyň)
- Poskytujete-li služby veřejnosti, mějte vždy přehled, kde se ve vašich prostorách klienti*ky pohybují. Nejlépe dopředu zajistěte a hlídejte, aby nevstupovali, kam nemají (samotná cedule „zákaz vstupu“ nestačí)
- Kontrola a běžná údržba:
- Pravidelná kontrola a údržba budovy a jejích zařízení, aby se snížilo riziko nehody a havárie (prasklé potrubí, požár apod.)
- Vzdělávání zaměstnanců*kyň:
- Pravidelné školení o bezpečnostních postupech a povědomí o fyzických hrozbách.
- Fyzická bezpečnost je nedílnou součástí kyberbezpečnosti: Měli bychom jí věnovat stejnou pozornost jako její digitální části.
- Kontrola přístupu třetích stran: Nedostatečná bezpečnostní opatření nebo dokonce zlé záměry neověřených dodavatelů*ek mohou mít přímý dopad na bezpečnost celé organizace.
- Škálujte prostory organizace podle důležitosti a citlivosti. Kuchař*ka přístup do serverovny ani k diskům se zálohami k ničemu nepotřebuje.
- Nepodceňujte běžnou údržbu budovy a zařízení, které s kyberbezpečností zdánlivě nesouvisí. Routery plavající ve vodě z prasklého potrubí vám mohou časem ukázat, že souvisí.
- I v této oblasti vzdělávejte zaměstnance*kyně. Informovaný tým je první a nejdůležitější linií obrany proti fyzickým hrozbám.
Fyzická bezpečnost: Ochrana fyzických zařízení, budov a infrastruktury před neoprávněným přístupem, poškozením nebo krádeží. Je klíčovou součástí kyberbezpečnosti, která zajišťuje, že informace a systémy jsou chráněny nejen digitálně, ale i fyzicky.
Segmentace prostor: Rozdělení fyzických prostor organizace na různé zóny podle úrovně citlivosti a přístupu, aby se omezil pohyb neoprávněných osob v oblastech s citlivými informacemi nebo kritickými zařízeními (např. archiv, serverovna).
RFID karta: Bezdrátová karta pro kontrolu přístupu, která využívá rádiové vlny k ověřování identity uživatele*ky a zajišťuje, že přístup do určitých částí organizace mají pouze oprávněné osoby.
Kontrola přístupu: Soubor opatření a technologií, které zabraňují neoprávněným osobám získat přístup k fyzickým zařízením, budovám nebo jejich částem nebo datům. Může zahrnovat použití kamer, elektronických zámků či biometrických ověřovacích systémů.
Audit dodavatelů*ek: Pravidelná kontrola bezpečnostních praktik externích dodavatelů*ek a partnerských firem, aby se zajistilo, že jejich činnosti neohrožují bezpečnost organizace.