Mnohými firmami, a to jak těmi, co penetrační testy a etické hackování poptávají, tak dokonce i těmi, co je nabízejí, jsou tyto dva přístupy k ověření bezpečnosti považovány za totéž.

Leč oba přístupy sledují úplně jiné cíle a mají společné snad jen to, že je zpravidla provádí vysoce kvalifikovaná osoba nebo dokonce tým profesionálů.

Na první pohled není důvod ponechávat v systému účty zaměstnanců, kteří již u vás nepracují anebo již nejsou vašimi klienty.

Jako best practice se doporučuje tyto účty smazat. Jednoduše proto, že když dojde k jejich smazání, nemůže je nikdo hacknout. V okamžiku, kdy účet jen zablokujete, může dojít k jeho odblokování např. za použití technik sociálního inženýrství. Jenže jsou zde určité konsekvence…

Čínský bezpečnostní expert  Xudong Zheng zveřejnil informaci, jak může být zneužito způsobu, jakým Google Chrome a Mozila Firefox zacházejí s názvy domén, které jsou zakódovány pomocí algoritmu Bootstring, známého spíše pod jménem Punycode k homografním útokům.

Tuto zprávu pak převzala i další média a nasadila tomu korunu, když uvedla, že ochrana proti tomuto útoku selže v okamžiku, kdy doménové jméno obsahuje znaky z různých jazyků, protože ono je tomu přesně naopak, jak se dozvíte dále.

Byť se dost často tyto pojmy používají jako synonyma, tak přeci jen je mezi nimi určitý rozdíl.

Není totiž chyba jako chyba. V češtině se s tímto problémem asi příliš potýkat nebudete, ale při komunikaci s anglicky hovořícími kolegy byste mohli narazit.

Tento krátký příspěvek se snaží objasnit rozdíl mezi pojmy incident, breach a data disclosure.

Musím se přiznat, že s takto exaktním vymezením pojmů se nesetkávám moc často, ale občas na ně narazím v nejrůznějších bezpečnostních reportech, takže jestli je mezi vámi nějaký lingvista, prosím o jeho stanovisko ke konotaci těchto termínů.

Cílem tohoto příspěvku je popsat hlavní rozdíl mezi auditem, prověrkou konfigurace, penetračním testem, skenováním zranitelností a analýzou rizik.

Všechny tyto přístupu k posouzení úrovně bezpečnosti a identifikace slabých míst se vzájemně doplňují, mají své opodstatnění a poskytují určitý výstup, se kterým by se mělo dále pracovat, protože jedině tak je možné zabránit narušení důvěrnosti, integrity a dostupnosti.

Pokud jde o bezpečnost, tak stále platí, že zaměstnanci jsou jejím nejslabším článkem.

A není se čemu divit, protože nízké bezpečnostní povědomí vykazují i samotní majitelé firem a vedoucí pracovníci. Ti kolikrát ani netuší, jaká jsou jejich nejcennější aktiva, jakým hrozbám jsou vystaveni, kde se nacházejí slabá místa v jejich systému, a jak se mohou efektivně bránit.

V souvislosti se vzrůstajícím počtem kybernetických útoků vedených proti malým a středním společnostem se znovu objevila otázka, zda by neměla být ustanovena role manažera informační bezpečnosti i v těchto společnostech.

Problém je, že jak vlastníci, manažeři, tak i personalisté, a jedno zda se jedná o zaměstnance HR oddělení v samotné společnosti nebo nějaké personální agentury, mají problém tuto pozici obsadit.

To, že pojem cyber je tak trochu buzzword, jsem již psal.

V poslední době se dost často hovoří o kybernetické bezpečnosti a jaksi se zapomíná, že existuje i informační bezpečnost. Je však kybernetická bezpečnost a informační bezpečnost totéž? Můžeme mezi ně položit rovnítko? Je jedna bezpečnost podmnožinou té druhé nebo mezi nimi dochází k určitému průniku?

V ČR roste počet případů, kdy dochází k padělání pracovních smluv uzavíraných mezi zaměstnancem a zaměstnavatelem.

Abych byl úplně přesný, v jednom posledním případě se jednalo o manažerské smlouvy, které manažerovi při splnění určitých podmínek zaručují odstupné v určité výši. A jak už asi tušíte, právě výše odstupného a ony podmínky byly předmětem sporu, který se dostal až před soud.