Hlavní navigace

NÚKIB vydává sadu doporučení pro bezpečnou správu sociálních sítí

Sdílet

Jan Sedlák 30. 8. 2019

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydává aktualizovaná doporučení pro síťové správce a nově přichází s první verzí doporučení pro správu sociálních sítí. Součástí je osmnáct bodů, jak k těmto sítím přistupovat, a jedno specifikum Facebooku. Plné znění vypadá následovně:

  1. Pojmenujte oficiální účet instituce (na jakékoliv sociální síti) stejným či jasně ztotožnitelným názvem s danou institucí. V případě více sítí, potažmo účtů vyžadovaných příslušnými agendami, rovněž podle nich.
  2. Oficiální účty by měly být ve správě a vlastnictví organizace tak, aby v případě personálních změn nemuselo docházet k zakládání nových účtů, či jejich přejmenovávání, které je často problematické.
  3. Jasně definujte, kdo má k účtům přístup. Omezte počet jejich správců na nezbytné minimum, nezapomeňte přitom však na zastupitelnost.
  4. Zaregistrujte si na sociálních sítích i alternativní názvy Vašich oficiálních účtů. Snížíte tak pravděpodobnost, že se útočníci pokusí napodobit stránku Vaší organizace, nebo se budou vydávat za oficiální účet.
  5. Pro přístup do všech účtů používejte dvoufaktorovou autentizaci. Všechny velké sociální sítě ji již podporují (například Facebook, Twitter, Instagram).
  6. Účty na sociálních sítích jsou obvykle svázány s e-mailovou adresou. Pro každý účet si vytvořte dedikovaný e-mail, který budete používat výhradně a pouze pro jeho správu. Do tohoto e-mailového účtu přistupujte ze zabezpečené sítě a zařízení.
  7. Vyhněte se používání soukromých zařízení k přihlašování k oficiálním účtům organizace.
  8. Dodržujte politiku bezpečné tvorby a užívání hesel. Pro každý účet je nutno vytvořit vlastní silné heslo.
  9. Pro přihlašování nepoužívejte odkazy v e-mailu či zkracovače URL. Vyhnete se tak riziku přesměrování na podvodnou stránku.
  10. Nepřihlašujte se prostřednictvím nezabezpečených či neznámých Wi-Fi sítí. Útočníci takové sítě běžně zakládají či kompromitují k zachycení přihlašovacích i jiných údajů.
  11. Pro přihlašování mimo kancelář využívejte služby VPN. Díky tomu bude veškerý odchozí provoz z Vašeho zařízení šifrovaný a můžete tak předejít některým typům útoků.
  12. Pravidelně aktualizujte jak zařízení, z nichž se přihlašujete, tak také aplikace, jejichž prostřednictvím sociální sítě spravujete.
  13. K přistupování ke spravovaným účtům používejte pouze důvěryhodné aplikace z oficiálních zdrojů (např. Google Play nebo App Store). Zkontrolujte například, zda se jedná o renomovaného výrobce, jaké má daná aplikace hodnocení či recenze a kolik má stažení.
  14. Zajistěte u všech účtů status ověřeného účtu. Zvýšíte tím jeho důvěryhodnost pro média a veřejnost.
  15. Provádějte pravidelné kontroly a audity. Například zda máte správně nastavené zabezpečení účtu, nebo jaké jsou aktuální hrozby mířící na uživatele sociálních sítí.
  16. Vždy kontrolujte, zda jste se z účtu bezpečně odhlásili. Při dočasném opuštění používaného zařízení a předpokladu pokračování v aktivitě na dané sociální síti zamykejte obrazovku (Win + L). Minimalizujete riziko neautorizovaného přístupu.
  17. Mějte jasně nastavenou politiku užívání sociálních sítí, která v optimálním případě obsahuje i výše zmíněné.
  18. Připravte si plán, jak postupovat v případě incidentu, například při ztrátě přístupu k Vašim účtům. Součástí plánu by měl být i proces reportování uvnitř Vaší organizace. V případě trestného činu je nutno jej oznámit Policii ČR. V některých případech je nezbytné požádat o spolupráci i oficiální kontakty daných sociálních sítí.
  19. Specifikum Facebooku: V případě vytvoření stránky Vaší organizace na Facebooku dochází k jejímu spravování nepřímo skrze uživatelské účty uživatelů. Administrátorská práva proto svažte s účtem, který vytvoříte čistě pro tento účel. Nebude tak jinak využíván ani nebude soukromým účtem zaměstnance, nýbrž bude čistě ve správě Vaší organizace. Běžná správa oficiální stránky bude prováděna zaměstnanci skrze jejich osobní účty, které ovšem nebudou mít nejvyšší administrátorská oprávnění. Takto zajistíte, že Vaše organizace neztratí přístup k účtu například odchodem zaměstnance či úspěšným útokem vůči jednomu pracovníkovi.
Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 30. 8. 2019 14:35

    bez přezdívky

    Zdá se, že nikoho zatím nenapadla jedna maličkost. Orgány veřejné správy, které jsou vázány ústavou a zákony např. v oblasti cenzury a svobodného přístupu k informacím si zřizují oficiální komunikační portály na soukromých sociálních službách povětšinou v držení provozovatelů v zahraničí. Tyto sociální sítě jako Facebook se dají počítat mezi prostředky s velkým dopadem na veřejné mínění a pokud je využívají orgány veřejné správy, mohou se tyto orgány dostat do rozporu s ústavou a zákony díky pravidlům, které ony komunikační platformy používají. Pokud například Facebook smaže některé příspěvky, které nejsou v rozporu s našimi zákony na oficiální fb skupině Ministerstva vnitra, dochází fakticky k cenzuře v prostoru orgánu veřejné správy, která je dle ústavy nepřípustná. Neměl by někdo tyto otázky řešit ještě před vydáváním rad jak se na sociálních sítích chovat ?

    30. 8. 2019, 14:36 editováno autorem komentáře

  • 30. 8. 2019 19:07

    bez přezdívky

    To pravděpodobně nebude problém. Účty na sociálních sítích nejsou oficiální komunikační kanál, ale jen nástroj jak zvýšit informovanost. Stále máme úřední desky a oficiální stránky institucí...

  • 31. 8. 2019 19:23

    Asiofil

    To má něco do sebe, ale já zastávám tvrdší názor - prostě by neměly Facebook apod. používat vůbec - když všichni víme jak je to sam s osobními daty, skandály, cenzurou, nezabezpečením apod., tyto instituce by měly jít příkladem a veřejnosti dát svým distancem najevo, že tady s vámi komunikovat nebudeme.

  • 1. 9. 2019 17:11

    lupa.cz jsou už jako čučkaři

    1. urady dostavaji dostatecne finance na provoz klasickych komunikacnich kanalu, proto neobstoji priklad s uredni deskou v suterenu

    2. umoznovat, ev. podporovat a propagovat, tvorbu profilu ceskych obcanu nejakou zahranicni komercni entitou je skutecne velmi na povazenou

    3. CR muze bez obav provozovat RSS agregatory nebo one-way bridge do skutecne svobodnych kanalu nebo socialnich siti, kde nehrozi zadne problemy

    4. jak jsem psal v jinem prispevku (asi ho admin smazal), NUKIB s temito poloamaterskymi radami jen vyviji cinnost, aby vykazal cinnost. Proste to s nimi bude jako kdyz hodite kamen do vody, par vlnek a za chvili se na to stejne zapomene.

  • 1. 9. 2019 20:07

    lupa.cz jsou už jako čučkaři

    Svobodnych socialnich siti je vsude plno, staci se podivat na fediverse a prislusny seznam. Sprava uctu u bridge mezi existujicimi RSS a danymi sitemi je R/O, tudiz zadne rady NUKIBu na ne neplati. Jako odborne kvalifikovany to musite vedet moc dobre.

    Pokud potrebuje nejaka instituce exhibovat na zahranicnich komercnich platformach, tak at si to provozuje ze svych uspor a na sve vlastni riziko. NUKIB by mohl nanejvys vydat upozorneni, ze zahranicni socialni site jsou rizikem, ktere musi dotycny resit k tomu prislusnou metodikou v ramci sveho uradu.

    Proc do teto tematiky michate nejake VKontakte skutecne nechapu. Je to zahranicni komercni platforma jako kazda z vami jmenovanych. Opet uvazujete stylem, kdo neni s Americkou korporatni suitou tak glorifikuje Rusy?

  • 2. 9. 2019 16:18

    lupa.cz jsou už jako čučkaři

    Instituce tam typicky exhibuji proto, ze jim nekdo vytvori responsivni (nebo alespon "moderni") web ze sablon pro komercni vyuziti, s krasnymi ikonkami na socialni site typicky v paticce. Misto nich tam neni co dat, tak se to tam necha. Navic instituce to rady zaplati a jeste se nejaky pracovnik stane dulezitym pri sprave toho vseho socialniho, tak proc si delat nasili, vsichni jsou spokojeni a danovy poplatnik caluje, protoze dle zakona musi. Takhle znam realitu z toho, co jsem osobne videl.

    Takze:

    ad 1) doporuceni jsou zcela zbytecna, ma byt vydano pouze varovani pred socialnimi sitemi

    ad 3) instituce to samozrejme neco stoji, samo se to do tech zahranicnich socialnich siti nedostava - informace, jak znamo, nemaji vlastni rozum ani nozicky, aby tam odesly samy

  • 30. 8. 2019 22:51

    bez přezdívky

    "Orgány veřejné správy, které jsou vázány ústavou a zákony např. v oblasti cenzury a svobodného přístupu k informacím si zřizují oficiální komunikační portály na soukromých sociálních službách povětšinou v držení provozovatelů v zahraničí."

    U dodatecneho komunikacniho kanalu to IMHO nevadi..

  • 31. 8. 2019 21:24

    BobTheBuilder

    Správně. Ještě by se lidi něco mohli dozvědět. Nic takového. Všechno jen na úřední desku umístěnou v suterénu na zrušeném záchodě, a na dveřích nápis "Pozor, leopard"!

  • 2. 9. 2019 14:45

    BobTheBuilder

    Tak jsem se podíval na fediverse - z těch desíti členů federace jsem asi slyšel o jednom. Takže běžný uživatel nejspíš o žádném. A kdyby to zkusil, tak tam žádné známé nenajde.

    "Pokud potrebuje nejaka instituce exhibovat na zahranicnich komercnich platformach" - to je takový aktivistický výkřik. Ty instituce to dělají proto, aby oslovily veřejnost - tedy použijí platformy, kde jsou lidi. Že jsou zahraniční nikoho extra nezajímá. Komerčnost se na ně nevztahuje, za svou přítomnost (třeba na FB) nic neplatí. A neexhibují, dávají tam informace pro zájemce (třeba obecní úřad z Horní Dolní o termínu přistavení kontejneru na zahradní odpad nebo co). A protože je to jen doplňkový kanál, tak nikoho netrápí, že není smluvně zajištěna dostupnost nebo cokoliv.

    Když lidi odejdou z FB, tak nejspíš FB opustí i tyto instituce. A naopak, když se lidi ve větší míře začnou objevovat na některé platformě z fediverse, vstoupí tam i ty instituce. Otázka je, jestli jednosměrná gateway je to, co chtějí - ten hnusný FB je totiž obousměrný. No a když to bude obousměrné, tak doporučení NÚKIB budou platit i třeba na Diaspoře.

    Takže:

    1) doporučení NÚKIB jsou rozumná a platná poměrně obecně

    2) kritériem pro použití komunikačních kanálů je, že tam je s kým komunikovat, když ne, kanál zmizí (třeba Fax).

    3) ty instituce nějaký FB nic extra nestojí, je to práce lidí, kteří zveřejňují informace na web a všude tam , kde instituce považuje za účelné to dělat

    2. 9. 2019, 14:48 editováno autorem komentáře

  • 1. 9. 2019 18:03

    BobTheBuilder

    Můžete do "skutečně svobodných" sítí / médií dávat co chcete, otázka je, jestli tam jsou ti občani. Ti ale určitě dnes jsou na FB, Twitteru apod.

    Pokud budete informace dávat co já vím na V kontakte, kde lidi nejsou, tak je to jako ten zrušený záchod v suterénu, jak zjistil již Arthur Dent, a ani jemu to nebylo nic platné.
    Ty rady, jak účet spravovat, budou platit ovšem i tam.

    1. 9. 2019, 18:05 editováno autorem komentáře

  • 3. 9. 2019 1:44

    peci1

    Zalozit si extra FB ucet na administrovani stranky? To je prece proti pravidlum, ne? Na FB maji existovat jen osobni ucty realnych lidi, nebo se pletu? Aby pak FB takovy ucet nejakym svym algoritmem nedeaktivoval :)