Jedním z největších bezpečnostních rizik jsou pro firemní data samotní zaměstnanci. Důležité je proto jejich dokonalé proškolení.
Data jsou páteří nejen technologických, ale v současné době všech firem. Jejich ochraně i likvidaci je třeba věnovat náležitou pozornost, aby nemohlo dojít k jejich zneužití. Jedině tak se o vašich plánech nedozví konkurence.
Termín ochrana dat se od předloňského května smrštil téměř výhradně na nařízení o ochraně osobních údajů, které všeobecně známe jako GDPR. Nicméně ochrana dat v sobě zahrnuje mnohem komplexnější problematiku.
V digitální době pracují firmy s mnoha dokumenty, které ani nemusejí mít výhradně digitální podobu. I ty je třeba chránit, aby nedošlo k jejich zneužití. Navíc je třeba mít dostatečně zabezpečená data, která jsou v současnosti nedílnou součástí fungování firem, a to včetně ochrany firemních sítí a e-mailů.
Ochranu mate umělá inteligence
Data v dnešní době nestačí pouze chránit před jejich ztrátou, ale je nutno zabránit jejich zneužití, tedy přečtením a neoprávněným zneužitím neautorizovanou osobou. Při nedůsledné ochraně se může stát, že dojde ke zneužití bankovních účtů nebo se ke konkurenci dostanou podnikatelské plány či konstrukční řešení. Dále mohou uniknout data o odběratelích a dodavatelích, účetní data, případně může dojít k porušení Zákona o ochraně osobních údajů.
„Největší chybou firem je stále podceňování ostražitosti a přeceňování IT znalostí zaměstnanců. Kyberzločinci ve svém úsilí nepolevují a jejich metody jsou stále sofistikovanější. Nově zapojují i technologii umělé inteligence, která velmi komplikuje odlišení útoku od legitimních věcí. Nejčastější forma útoku je stále e-mail. Při nepozorném oku zaměstnance ve spojení se špatně vybraným antivirovým produktem se tak snadno zašifruje počítač nebo celá počítačová síť, případně se velmi snadno prozradí přístupové údaje do sítě, e-mailu, aplikace či internetového bankovnictví,“ upozorňuje Jiří Jinger, Security Manager/DPO ve společnosti Sprinx Systems.
Útočníci čekají na chybu
Jako největší problém vidí nedostatečnou znalost uživatelů internetu také Petr Nepustil, IT konzultant ve firmě K-net Technical International Group. Jde zejména o to, že mnozí z nich moc nebo vůbec netuší, jak tato síť funguje. „V současné době je pro útočníky velmi těžké proniknout do dobře zabezpečených sítí, a tak cílí na chyby uživatelů. Jedná se o takzvané sociální inženýrství. Jde o různé formy podvržených e-mailů, napadené webové stránky a podobně, kdy chyba uživatele způsobí zcizení, zašifrování nebo ztrátu dat,“ vysvětluje Petr Nepustil.
Druhým souvisejícím problémem je podle něj nedostatečně kvalitní autentizace, tedy přihlašování a ověřování uživatelů. Většina firem stále používá pro autentizaci uživatelů pouze uživatelské jméno a heslo. Hesla v mnoha případech nemají dokonce ani definovanou složitost. „V současné době doporučujeme využití vícefaktorové autentizace, například jméno a heslo + kód doručený do e-mailu, nebo využití alternativních přístupů jako jsou ‚klíčenky‘ či smartkarty,“ radí Petr Nepustil.
Na další příčku za výše zmíněná rizika je možné zařadit chyby v nastavení síťových prvků. Jde zejména o špatně nastavené a pozdě aktualizované firewally pro přístup ke službám a datům. Díky tomu pak může dojít k útoku, prolomení a následnému zcizení dat. „Jako takový typický problém je povolený RDP protokol do internetu, na který pak útočníci posílají slovníkový útok na zjištění přístupových údajů,“ dokresluje Petr Nepustil.
Rizika odhalí analýza
Mnohé firmy, které se zabezpečení dat věnují, proto za účelem ochrany dat před zneužitím dokáží zákazníkům provést přímo na míru studii, vytvořit bezpečnostní politiku a dohlédnout na její implementaci. Studie obvykle obsáhne možnosti úniku dat přes serverové technologie, pracovní stanice, veškerá mobilní zařízení, jako jsou notebooky či USB disky, a dokáže zohlednit jak úmyslný útok na data, tak zneužití zapříčiněné neznalostí či nezodpovědností zaměstnanců.
Ti se totiž obecně v oblasti bezpečnosti stávají největším problémem, protože ignorují bezpečnostní rizika spojená s internetem a citlivými firemními daty. Podle některých odhadů lze až 70 % zaměstnanců vnímat jako potencionální trojské koně, a to z důvodu nedostatečné vzdělanosti, z úmyslu či nedbalosti. „V první řadě je vhodné analyzovat případné problémy v síti společnosti. Jsme schopni nabídnout bezpečnostní analýzu nebo penetrační testování. Penetrační testování v sobě může zahrnovat i testování zranitelnosti na úrovni uživatelů,“ popisuje možnou pomoc Petr Nepustil.
Dalším krokem je pak pomoc s řešením zjištěných problémů, tedy proškolení uživatelů, úpravy v konfiguraci síťových prvků, případně doplnění dalších prvků, jako je již zmiňovaná vícefaktorová autentizace, analyzátory síťové komunikace nebo speciální síťové prvky. Aktuálně velmi zajímavým moderním řešením jsou tzv. Next Generation firewally, které jsou díky filtrování počítačové komunikace na úrovni jednotlivých aplikací schopny oproti běžným firewallům daleko lépe zabránit moderním typům útoků na data.
Nebezpečí představují přenosné nosiče
Podceňovaným nebezpečím je uložení kopie dat na notebooku a přenosných datových nosičích. Pokud potřebuje uživatel pracovat s notebookem, často si na něj uloží data a s nimi pracuje vně organizace. Tato data si pak následně může někdo zkopírovat, a nemusí jít jen o úmysl uživatele, ale o cílený útok na volně položený notebook s nezabezpečenými daty ze strany zvědavého příbuzného, případně volně odložený notebook v hotelovém pokoji a podobně.
Notebooky jsou dále oblíbenou komoditou u zlodějů, a nelze bezpečnostní politiku stavět na premise že více než uložená data je bude zajímat samotný notebook, a že před prodejem do zástavárny dojde k jejich bezpečnému smazání. Uživatel, který má svá data uložena mimo zabezpečený a zálohovaný server, o svá data navíc nenávratně při krádeži notebooku, hardwarové závadě či působením například viru přijde.
Přístupové heslo uložené na lokálním disku či pro ještě větší pohodlí uživatele napsané přímo na těle notebooku… takový notebook se při zcizení může stát otevřenou branou do virtuální privátní sítě. Firma Sprinx Systems se proto zaměřuje na nástroje, které firmám pomohou převést maximum činností do virtuálního prostředí. „Ať už jde o hosting firemních aplikací pro zajištění vzdáleného přístupu při udržení maximálního zabezpečení, nástroje pro pořádání on-line schůzek jak obchodních, tak pro interní pracovní týmy, telefonie napojené na CRM a další. Pandemická situace teď obrací pozornost firem zejména k těmto nástrojům, které jim, potažmo zaměstnancům, umožní vykonávat práci z domova,“ dodává Jiří Jinger.
Napsat komentář