Základní pravidla počítačové bezpečnosti úředníků
Diskuzní blok na závěr konference ISSS v Hradci Králové byl v duchu odpovědí na otázku: Co nového přináší eGovernment samosprávám? Hovořilo se o novém živnostenském portálu, o výzvách IROP, Centrálním místě služeb, o rozvoji digitálních technických map a také o tom, co přinese NIS2 obcím.
Nová směrnice EU o kybernetické bezpečnosti NIS2 přináší významné změny v zajištění kyberbezpečnosti. Směrnice je právní akt stanovující cíl, který musí všechny členské státy Evropské unie, tedy i Česká republika, splnit. Je na jednotlivých zemích, jak formulují příslušné vnitrostátní zákony a jak těchto cílů dosáhnou. Změny, které směrnice NIS2 přináší jsou natolik zásadní, že NÚKIB k tomuto úkolu připravil návrh zcela nového zákona o kybernetické bezpečnosti a jeho vyhlášek, který předložil veřejnosti k připomínkám a diskuzi. Vyčkejme, jaké povinnosti nový zákon přinese a koho se budou týkat.
Jak uvedl v diskuzi na konferenci Aleš Špidla z Českého institutu manažerů kybernetické bezpečnosti, při plnění složitých úkolů kybernetické bezpečnosti často zapomínáme základní pravidla, která je třeba neustále připomínat:
- Pracovní PC a notebook používejte pouze ke služebním a pracovním povinnostem.
- Neprovádějte neoprávněné zásahy do operačního systému nebo softwaru (např. instalace vlastního SW, změna konfigurace).
- Chraňte zařízení před odcizením či zneužitím, přístupové údaje před jejich odhalením. Nepoužívejte služební e-mail ani heslo pro externí webové služby. Heslo ani PIN si nikam nepoznamenávejte (na papír, do diáře či telefonu). Pro různé účty používejte různé přístupové údaje, bezpečná hesla a pravidelně je měňte. Nikomu tyto údaje nesdělujte.
- Neotvírejte neznámé e-maily a zejména jejich přílohy. Pozor na neznámé, neočekávané soubory (přípona typu *.exe, *.com, *.scr, *.pif apod.). Pokud se ve složce, kam se stahují soubory z internetu, objeví neznámý soubor, neotvírejte ho, ale oznamte to určenému pracovníkovi nebo přímému nadřízenému.
- Nenastavujte ani nepožadujte automatické přesměrování služebních e-mailů do soukromé e-mailové schránky. Je to jedna z nejnebezpečnějších aktivit, která může vést k úniku informací.
- Dodržujte zásadu uzamčené obrazovky (stisknutím kláves Win+L či využití zkratky Ctrl+Alt+Del) pokud s počítačem nepracujete, a to zejména při odchodu z kanceláře a zásadu prázdného stolu (neponechávat dokumenty bez dozoru volně na stole).
- Dbejte zásady bezpečnosti při fyzickém přístupu do kanceláří a vyhrazených prostor. Neponechávejte v kanceláři jiné osoby bez dozoru a při odchodu kancelář vždy zamykejte.
- Používejte přidělená výměnná média (flash disk, CD, DVD) vždy zodpovědně a bezpečně. Nenechávejte je bez dozoru, a pokud je to možné, tak je šifrujte. V případě nalezení neznámého výměnného média ho nepřipojujte k svému zařízení bez předchozího prověření antivirem. Oznamte tuto skutečnost určenému pracovníkovi nebo přímému nadřízenému.
- U informací rozlišujte, komu jsou určeny nebo komu mohou být poskytovány, s ohledem na jejich citlivost.
- Nesdílejte služební informace – dokumenty cestou veřejných úložišť (Dropbox, Úschovna, Úložna apod.).
- Nenavštěvujte nedůvěryhodné webové schránky a neklikejte na odkazy na neznámé a podezřelé weby. Mezi typické znaky takových stránek patří velké množství reklamy, vyskakovací okna, stránky měnící se bez akce uživatele, zahájení stahování bez vědomí uživatele apod. Preferujte webové stránky, které důvěrně znáte a jsou zabezpečeny protokolem HTTPS (začínají na https://…).
- V případě zjištění nestandardního chování aplikace, bezpečnostní události (zejména neoprávněného přístupu) nebo výskytu neznámých a nesrozumitelných jevů, nepodléhejte panice, ponechejte všechno jak je, počítač nevypínejte a neprodleně nahlaste tuto skutečnost určenému pracovníkovi nebo přímému nadřízenému.
- Nepožadujte po příslušných odbornících, aby vám zajistili výjimky z uvedených opatření. Jedna „vynucená“ výjimka může být právě tou útočníkem zneužitou „dírou“ do systému.
Zdroj: Manažeři kybernetické bezpečnosti. Zásady byly publikovány v časopise Veřejná správa č. 1/2023.