Národní centrum kybernetické bezpečnosti vydalo koncem srpna svá doporučení pro správu sociálních sítí – tedy jak se máte chovat, spravujete-li firemní profily. Doporučení najdete zde.
Musím říct, že tento krok a snahu vítám, oceňuji, že pro české úřady konečně internet a sociální sítě přestává být naprosto neznámá a neprobávaná věc. K doporučením NCKB mám ale několik podle mě docela zásadních výhrad, a na ty se teď podíváme.
Body 1–5
Body 1–5 jsou v pořádku, s těmi zcela souhlasím, naopak velice důrazně doporučuji držet se skutečně bodu 5 a používat dvoufaktorové ověření.
Bod 6
Bod 6 zní:
Pro každý účet si vytvořte dedikovaný e-mail, který budete používat výhradně a pouze pro jeho správu.
Uff… já rozumím, co se tímto snaží NKCB dělat a proč toto doporučuje, zároveň ale vím, že tohle velice často vede uživatele k zakládání e-mailových schránek na free službách jako Gmail či Seznam s adresou „[email protected]“ apod. – kámen úrazu však je ten, že tyto schránky pak často nikdo nevybírá a adresa je používána jen pro přihlášení k dané sociální síti. To rozhodně není ideální, a to z toho důvodu, že sociální sítě na tuto adresu posílají bezpečnostní upozornění, například info o tom, že se někdo pokusil do profilu nabourat a změnit jeho heslo – pokud vám tento e-mail uteče a změny hesla si všimnete až po delší době, většinou se napadený a ukradený účet na sociálních sítích dostává zpět jen velmi těžko.
Proto doporučuji, pokud si opravdu pro všechny sítě chcete založit zvlášť e-mailové schránky, tak:
- tvořit je na doméně vaší firmy (tzn. např. [email protected]) a ne u bezplatných poskytovatelů
- nastavit si přeposílání pošty z těchto schránek do vaší běžné firemní e-mailové schránky, příp. mít e-mail jako skupinu, z níž zprávy chodí vám i vašim kolegům (je tak vyšší pravděpodobnost, že si přicházejícího problému někdo všimne včas).
Bod 7
Vyhněte se používání soukromých zařízení k přihlašování k oficiálním účtům organizace.
Chápu, opravdu. Jedná se o bezpečnost, kdo ví, jaký malware má kdo ve svých soukromých zařízeních. Ale zároveň ze zkušenosti vím, že ne každý zaměstnanec marketingového/PR oddělení každé firmy má svůj služební chytrý telefon, z něhož by mohl případně řešit nějaké náhlé potíže. A pokud se na sociálních sítích děje nějaká krizová komunikace, je opravdu nutné reagovat rychle. Stejně tak zákazníci očekávají na své dotazy odpovědi co nejrychleji, ideálně v řádu hodin. A to, že zrovna nemáte doma služební notebook, nebo že nemáte služební telefon, a proto jste odpověděli až za 3 dny, to zákazníka fakt moc nezajímá 🙂
Body 8–11
Bezpečná hesla! Ano, prosím! Kolik klientů už ode mne dostalo vynadáno, když jsem zjistila, že heslo k jejich Instagramu je jménofirmy1234, případně jménofirmy2019. Zároveň velice oceňuju, že NCKB nenabádá k žádným zhůvěřilostem typu hesla měňte každé 3 měsíce. Palec hore!
Varování před phishingem také chválím, nepoužívat nezabezpečené sítě apod. dává smysl.
Bod 11 se týká využívání VPN. Opět hodně korporátní bod, jak tak znám své klienty a účastníky mých školení, tak většina z nich ani netuší, co VPN je 🙂
Body 12 a 13
Udržujte své appky aktualizované a používejte jen aplikace z oficiálních zdrojů.
Ano, velké ano, rozhodně souhlasím – zde bych také varovala před různými neoficiálními aplikacemi, které slibují, že vám umožní publikovat na Instagram z počítače, nebo vám sibují zvyšování engagementu apod. Na podobné šarlatány vždy pozor.
Bod 14
Zajistěte u všech účtů status ověřeného účtu
No, to se snáz řekne než udělá. Získat ověření na Facebooku je hodně složité, Facebook ho nabízí sám účtům, u kterých ho považuje za vhodné. Instagram a Twitter umožňují zažádat si o ověření, ale nikde není záruka, že vám žádost schválí. Jakožto hodně malý trh, malá zemička, jsme pro tyto giganty dost nezajímaví a proto to s ověřováním účtů u nás není tak jednoduché.
Bod 15
Provádějte pravidelné kontroly a audity.
Aneb kontrolujte si nastavení, zabezpečení atd. – samozřejmě, to je velmi dobrá rada, jen bych dodala, že je také důležité kontrolovat, kdo má k účtům přístupy – zvlášť na FB stránkách mívá mnohdy firma přidané bývalé zaměstnance či bývalé externí spolupracovníky, což je potenciální riziko. Více jsem psala v článku Udělejte si jarní úklid na sociálních sítích.
Body 16–17
Odhlašujte se a nastavte si politiku užívání sociálních sítí.
Zde je zase krásně vidět, jak česká státní správa stále netuší, že existuje něco jako chytré telefony či tablety. Tam se asi těžko budete odhlašovat z aplikace pokaždé, kdy jste ji použili – navíc je celkem žádoucí, aby vám ze sociální sítě chodily notifikace, kdyby se tam dělo něco, co by vyžadovalo vaši pozornost a reakci, a na to samozřejmě musíte být přihlášeni…
Bod 18
Připravte si plán, jak postupovat v případě incidentu, například při ztrátě přístupu k Vašim účtům.
Zde by bylo podle mě opět na místě trochu více informovat, co to znamená a jaké jsou možnosti krizových postupů na různých sítích. Tyto scénáře jsem popisovala v článku Co dělat, když vás hacknou.
Úplně dole na stránce, na závěr tohoto doporučení, najdete ještě tento odstavec:
V případě vytvoření stránky Vaší organizace na Facebooku dochází k jejímu spravování nepřímo skrze uživatelské účty uživatelů. Administrátorská práva proto svažte s účtem, který vytvoříte čistě pro tento účel. Nebude tak jinak využíván ani nebude soukromým účtem zaměstnance, nýbrž bude čistě ve správě Vaší organizace. Běžná správa oficiální stránky bude prováděna zaměstnanci skrze jejich osobní účty , které ovšem nebudou mít nejvyšší administrátorská oprávnění. Takto zajistíte, že Vaše organizace neztratí přístup k účtu například odchodem zaměstnance či úspěšným útokem vůči jednomu pracovníkovi.
A tohle je za mě fakt průšvih. Tohle doporučení je úplná hloupost – už jsem řešila s mnoha klienty, že používali falešný profil pro administrování stránky, a Facebook poté tento falešný profil smazal, čímž firma přišla o celý přístup ke stránce! Falešné profily pro správu stránek jsou opravdu hodně špatný nápad, protože tím porušujete pravidla Facebooku (více o pravidlech FB najdete zde) a tím se vystavujete velkému riziku. Raději si tedy založte Business Manager (více o BM najdete zde), v němž budete stránky spravovat, a své zaměstnance nechejte si Business Manager klasicky propojit s osobními profily.