Jedním z nejlepších způsobů ochrany dat je loajalita zaměstnanců
Mnoho firem si dnes uvědomuje, že jedním z hlavních nositelů jejich know-how jsou informační systémy a data, která obsahují. Snaží se proto o jejich ochranu a mnohdy vydávají značné peníze na jejich zabezpečení. To je sice nutné, ale zdaleka ne dostatečné. Jak se říká, nejnebezpečnější jsou ti, kdo sedí mezi židlí a klávesnicí - tedy lidé. Lze se proti tomuto "nepříteli" nějak chránit?
V první řadě je třeba udělat si z tohoto potenciálního "nepřítele" přítele. Jedním z nejlepších způsobů ochrany je loajalita zaměstnanců. Spokojený pracovník nemá zájem poškozovat společnost, v níž se mu dobře pracuje a která jej živí. Dále je nutné, aby každá informační aktivita měla odpovědnou osobu, která má na základě řádného protokolárního předání odpovědnost za příslušná data. Ve firmě, kde jsou důvěrná data všech, za ně nikdo necítí odpovědnost.
I ta nejlepší bezpečnostní pravidla jsou k ničemu, pokud zaměstnanec nechá ležet své heslo u počítače nebo si z domova přinese zavirované soubory na výměnném disku. Podle našich zkušeností jen necelá čtvrtina podniků aktivně kontroluje připojení výměnných médií. A na malém flash disku dokáže šikovný a nespokojený ICT pracovník, sekretářka s milencem od konkurence nebo kterýkoliv zaměstnanec odnést kompletní data celé společnosti.
Bez ohledu na obor jsou nejžádanějšími a nejcennějšími ty informace, které lze rychle zpeněžit nebo využít v konkurenčním boji. Největší hrozbu představují zaměstnanci, kteří hodlají z firmy odejít nebo jsou ve výpovědní lhůtě. Interní krádeže dat způsobují škody až v řádu milionů korun. Většina úniků dat je důsledkem nedbalosti nebo zlovolného jednání zaměstnanců. Nejčastěji je způsobují zaměstnanci svojí nedbalostí (50 %), ztrátou datových nosičů (13 %) či krádeží (12 %). Teprve pak následují útoky hackerů (14 %).
K ochraně dat nestačí sofistikované systémy. Neméně důležité je stanovit přesná pravidla, která budou pravidelně připomínána a jejich dodržování důsledně kontrolováno. Jedině tak je možné únikům dat zamezit, případně vymáhat náhradu škod způsobených porušením bezpečnostních pravidel.
Podle naší analýzy by se firmy měly držet ověřeného bezpečnostního mixu: elektronického zabezpečení, organizačních opatření, klasifikace dat, personálních opatření, fyzického zabezpečení, řízení bezpečnostních incidentů, plánování kontinuity provozu a dodržování zákonů a norem.
Ivan Janoušek
soudní znalec v oboru kybernetiky a ekonomiky, společnost Apogeo Esteem
»Podle našich zkušeností jen necelá čtvrtina podniků aktivně kontroluje připojení výměnných médií.«
Je třeba zavést pravidla a dodržovat je
Nejtěžší disciplínou v zabezpečení informací je ochrana před jejich uživateli, tedy zaměstnanci, smluvními partnery a dodavateli. Ti mohou pracovat s citlivými daty a jen velmi těžko lze říci, jak s daty mohou nakládat a co už je nežádoucí. Obecně platí, že čím menší organizace, tím benevolentnější je přístup managementu k ochraně dat, a to nejen před oprávněnými uživateli.
Co tedy organizacím doporučit? Nejprve musejí vytvořit "papírová" pravidla, která se stanou pro uživatele závazná a jimiž se budou řídit. Pak je nutné dohlížet na to, zda je uživatelé opravdu dodržují. Protože pokud kontrolu provádět nebudeme, jsou tato pravidla skutečně jen cárem papíru.
Kontrolu je vhodné provádět vyhodnocováním nejrůznějších logů (záznamy, které si programy vytvářejí pro ukládání informací o své činnosti a běhu - pozn. red.) nebo použít nástroje pro analýzu chování uživatelů (tzv. user behavior analysis). Uživatele, kteří se podle pravidel nechovají, je nutné jednou začas potrestat. Chování a zodpovědnost lidí se nezmění ze dne na den, ale můžete si být jisti, že zhruba do roka uživatelé změní způsob přemýšlení při práci s firemními informačními technologiemi a daty.
Každá organizace zpracovává také zvláště citlivé informace. Jsou to především osobní údaje, klíčové know-how společnosti, strategické plánování apod. Pro ochranu těchto dat je vhodné použít šifrovací nástroje, aby k nim měla přístup pouze vybraná skupina uživatelů. K nejcitlivějším datům se tak nebudou moci dostat dokonce ani "všemocní" administrátoři ICT systémů.
Uvědomění si významu zabezpečení dat se rok od roku zvyšuje a stává se součástí strategického řízení. Mnoho organizací začíná upouštět od ad hoc řešení toho, co je zrovna v daný okamžik pálí, a postupně přistupují ke komplexnímu posouzení svých informačních rizik. A hrozba ze strany vnitřních uživatelů většinou figuruje v organizacích mezi třemi největšími informačními riziky.
Věřím, že význam ochrany dat začnou chápat i ty nejmenší firmy a vyčlení na tuto problematiku prostředky. Protože bezpečnost je důležitou součástí řízení, a to i za cenu určitých nákladů, které na první pohled nepřinášejí žádný zisk. Znám ale mnoho organizací, jež zanedbání investic do bezpečnosti litovaly ve chvíli, kdy se jejich data ocitla tam, kde se nikdy ocitnout neměla.
Martin Hanzal
konzultant, zástupce ČR v poradním orgánu NATO pro oblast počítačové bezpečnosti
»Při správném šifrování nejcitlivějších dat se k nim nedostanou dokonce ani všemocní administrátoři.«
Když si někdo v práci "nahraje" data, je to šikula, nebo zloděj?
Krádež firemních dat je dnes odborníky vnímána jako jedno z největších obchodních rizik. A největším rizikem jsou v tomto ohledu právě vlastní zaměstnanci. To neznamená, že každý zaměstnanec je automaticky zloděj. Každý zaměstnanec však představuje bezpečnostní riziko, které je třeba mít neustále na paměti. Proto je dobré definovat úrovně přístupu k datům. Zaměstnanec bez přístupu k citlivým informacím je jen těžko poškodí nebo odnese. Nedodržení této triviální poučky stojí i v renomovaných firmách za mnoha velkými průšvihy.
Pokud lidé cítí například hrozbu ztráty zaměstnání, jsou náchylnější využít jakýkoli přístup k datům a odcizit je pro získání výhody při shánění zaměstnání u konkurence. Časem třeba opustí i tohoto zaměstnavatele a s napěchovanou USB pamětí zamíří do dalšího působiště. Stěžují si na to právní kanceláře, technologické i poradenské firmy, stejně jako banky a pojišťovny. Jedna věc je tedy pečlivě hlídat, kam kdo smí, druhá pak nemilosrdně udat každého, kdo vám nabídne cizí data. Chráníte tím především sami sebe.
Riziko krádeže dat je úměrné tomu, jak kvalitně firma pracuje s lidmi, a to zejména na úrovni středního managementu. Dobrá práce při výběru zaměstnanců, včetně posudků z předchozích zaměstnání, pomáhá mnohdy víc než týdenní obměny hesel (která si zaměstnanci lepí na monitory a klávesnice).
Faktickou odpovědí na ochranu dat je pochopení pravdy, že krádež dat je stejná krádež jako defraudace firemní pokladny. Musí to tak chápat všichni ve firmě. Zaměstnanci sami jsou, bohužel, mnohem tolerantnější ke kolegům, kteří si odnášejí cenné informace, než k lidem, kteří si vezmou cizí jogurt v ledničce. Výchova zaměstnanců dá ovšem práci. Navíc nejmladší generace je zvyklá považovat cizí data za vlastní již okamžikem jejich stažení z internetu.
Proto považuji umístění klíčových aplikací a dat do cloudové struktury za rozumné řešení. Zaměstnanec k nim prostě nemá fyzický přístup. Jeho práci s aplikacemi a daty na síti lze monitorovat. Zvláště cenná data je dobré mít nejen v cloudu, ale vytvářet si i pravidelné zálohy na vlastním paměťovém médiu a toto médium uložit například v bezpečnostní schránce. Pravidelná aktualizace je otázkou frekvence změn v těchto datech. Jinak řečeno - návrat k poslední uložené verzi vás nesmí ohrozit.
Horší než krádež bývá mnohdy ztráta. A ke ztrátě dat často dochází při jejich ochraňování, promazávání a přeukládání. Takže pozor: příště raději dvakrát Ctrl+C a jednou Ctrl+V.
Daniel Bartek
předseda představenstva a šéf společnosti ČP Cloud
»Zaměstnanci jsou mnohem tolerantnější ke kolegům, kteří si odnášejí cenné informace, než k lidem, kteří si vezmou v ledničce cizí jogurt.«
Zabezpečení dat stojí peníze a čas
Bezpečnost dat je téma několika posledních let. Během této doby vnímám větší snahu společností o ochranu vlastního know-how a citlivých informací. Mnoho firem ale tuto oblast pořád podceňuje.
Už dlouho neplatí, že by za krádežemi dat stáli jen útočníci zvenčí. Poslední výzkumy z USA jasně ukazují, že úniků informací z firem přibývá i vinou vlastních zaměstnanců. Ať už prostou nedbalostí, nebo cílenou snahou o odcizení dat.
U cílených krádeží si zaměstnanci posílají data e-mailem, fotí si obrazovky mobilním telefonem nebo si data odnášejí na výměnných médiích. Motivem může být pomsta nebo například odměna za jejich zprostředkování.
Za stále rostoucí množství odcizených dat může zčásti i fenomén BYOD (zaměstnanci využívají v práci svá vlastní chytrá zařízení - pozn. red.). Administrátoři nemají zpravidla prostředky a odpovídající možnosti, jak zařízení uživatelů spravovat, a mít tak přehled o tom, jak s firemními daty nakládají. Zaměstnanci musí být proto seznámeni s tím, jaké bezpečnostní zásady musí dodržovat, aby jim bylo umožněno využívat pro práci svá soukromá zařízení.
Pokud se firma rozhodne řešit riziko možného úniku dat, musí počítat s velkou časovou a finanční náročností. Na trhu je nyní dostatek preventivních řešení. Lze tedy vybrat takové, které odpovídá finančním možnostem a hodnotě aktiv. Ideální je kombinace s dvoufaktorovým ověřením identity, jež ochrání systémy před neautorizovaným přístupem - ať už uživatele, nebo útočníka.
Společnost by také měla klasifikovat data podle kategorií a na základě toho stanovit pravidla, jak může být s konkrétními daty nakládáno, za jakých okolností a kam mohou být přenášena, zda musí být před odesláním zašifrována, případně jakým klíčem. Kategorizace a klasifikace dat jsou nutnou součástí bezpečnostního scénáře. Bez něj nebude žádné řešení plně funkční.
Řešení ochrany před krádeží dat je k dispozici poměrně dost. Jen musí být zavedena s rozumem a v kombinaci s dalšími prvky ochrany. Nedílnou součástí musí být ujednání se zaměstnancem, aby bylo možné právně vymáhat případnou náhradu škody.
Petr Šnajdr
bezpečnostní expert ESET software
»Dvoufaktorové ověření identity nejlépe ochrání systémy před neautorizovaným přístupem.«
