Fyzická bezpečnost
- 1/12
- 2/12
- 3/12
- 4/12
- 5/12
- 6/12
- 7/12
- 8/12
- 9/12
- 10/12
- 11/12
- 12/12
4 min
Ačkoli se hodně pozornosti soustředí na digitální rozměr kyberbezpečnosti, nemůžeme opomíjet ani její rozměr fyzický. Fyzická bezpečnost zahrnuje ochranu informací, fyzických zařízení a infrastruktury před neoprávněným přístupem, poškozením nebo krádeží.
Fyzickou bezpečnost tedy musíme řešit vždy společně s kyberbezpečností. Proč? Aby nám notebook s daty neodnesl náhodný*á kleptoman*ka nebo dokonce vyslanec*kyně konkurence vydávající se za instalatéra*ku, aby si nepověřený pracovník*ice neprohlížel*a důvěrné dokumenty v kanceláři ředitele*ky, abychom nemuseli po každém větším dešti řešit výměnu promočené výpočetní techniky v kancelářích, protože nečištěné okapové svody nepoberou přívalové srážky. Stohy kartonových krabic v serverovně také přidělají vrásky na čele, pokud se rozhodnou vlivem tepla z okolí vznítit.
Zločinecká skupina (nebo spíše operační schéma) Carbanak se zhruba před 10 lety zaměřovala na finanční instituce, do jejichž systémů zaváděla malware a prostřednictvím maker v dokumentech jej využívala ke krádežím peněz (případně její členové*ky sledovali*y činnost zaměstnanců*kyň banky a postupně získávali*y kontrolu nad interními systémy). Na svědomí má údajně zcizení více než 900 milionů USD od bank i jednotlivců.
Kromě toho, že k instalaci malware využívala poměrně obvyklého e-mailového phishingu, se také v některých případech útočníci*ice vydávali*y za techniky*čky nebo dodavatele*ky a fyzicky se dostali*y do bankovních poboček, kde nainstalovali*y malware na počítače přímo osobně.
Některé z kroků, které můžeme podniknout, abychom zvýšili úroveň fyzické bezpečnosti:
- Zabezpečení přístupu:
- Vytvoření pravidel pro přístup a pobyt v prostorách organizace.
- Segmentace prostor organizace s různými provozními režimy a různými odpovědnostmi osob. Archiv a serverovna jsou jen pro vyvolené.
- Zavedení přísnějších pravidel pro přístup k citlivým systémům a datům. Omezení přístupu do citlivých oblastí pouze na oprávněné osoby a kontrola záznamů o přístupech.
- Instalace bezpečnostních kamer a kontrolních přístupových systémů v budovách (např. RFID karty pro zaměstnance*kyně).
- Ověření důvěryhodnosti dodavatelů před zahájením spolupráce. Pravidelný audit praktik všech dodavatelů během spolupráce.
- Před vpuštěním do prostor organizace požadujte skutečně důvěryhodnou formu prokázání identity dodavatelů (opravářů tiskáren, klimatizací, kurýrů, obchodních zástupců)
- Poskytujete-li služby veřejnosti, mějte vždy přehled, kde se ve vašich prostorách klienti*ky pohybují. Nejlépe dopředu zajistěte a hlídejte, aby nevstupovali*y, kam nemají (samotná cedule „zákaz vstupu“ nestačí)
- Kontrola a běžná údržba:
- Pravidelná kontrola a údržba budovy a jejích zařízení, aby se snížilo riziko nehody a havárie (prasklé potrubí, požár apod.)
- Vzdělávání zaměstnanců:
- Pravidelné školení o bezpečnostních postupech a povědomí o fyzických hrozbách.
- Fyzická bezpečnost je nedílnou součástí kyberbezpečnosti: Měli bychom jí věnovat stejnou pozornost jako její digitální části.
- Kontrola přístupu třetích stran: Nedostatečná bezpečnostní opatření nebo dokonce zlé záměry neověřených dodavatelů mohou mít přímý dopad na bezpečnost celé organizace.
- Škálujte prostory organizace podle důležitosti a citlivosti. Kuchař*ka přístup do serverovny ani k diskům se zálohami k ničemu nepotřebuje.
- Nepodceňujte běžnou údržbu budovy a zařízení, které s kyberbezpečností zdánlivě nesouvisí. Routery plavající ve vodě z prasklého potrubí vám mohou časem ukázat, že souvisí.
- I v této oblasti vzdělávejte zaměstnance. Informovaní*é a všímaví*é zaměstnanci*kyně jsou první a nejdůležitější linií obrany proti fyzickým hrozbám.
Fyzická bezpečnost: Ochrana fyzických zařízení, budov a infrastruktury před neoprávněným přístupem, poškozením nebo krádeží. Je klíčovou součástí kyberbezpečnosti, která zajišťuje, že informace a systémy jsou chráněny nejen digitálně, ale i fyzicky.
Segmentace prostor: Rozdělení fyzických prostor organizace na různé zóny podle úrovně citlivosti a přístupu, aby se omezil pohyb neoprávněných osob v oblastech s citlivými informacemi nebo kritickými zařízeními (např. archiv, serverovna).
RFID karta: Bezdrátová karta pro kontrolu přístupu, která využívá rádiové vlny k ověřování identity uživatele a zajišťuje, že přístup do určitých částí organizace mají pouze oprávněné osoby.
Kontrola přístupu: Soubor opatření a technologií, které zabraňují neoprávněným osobám získat přístup k fyzickým zařízením, budovám nebo jejich částem nebo datům. Může zahrnovat použití kamer, elektronických zámků či biometrických ověřovacích systémů.
Audit dodavatelů: Pravidelná kontrola bezpečnostních praktik externích dodavatelů a partnerů, aby se zajistilo, že jejich činnosti neohrožují bezpečnost organizace.