Odborně-vzdělávací a zpravodajský portál z oblasti strojírenství a navazujících oborů
Články >> Bezpečnost firemních dat, část 2.
Chcete dostávat MM Průmyslové spektrum ZDARMA až do Vaší schránky? Více informací zde.

Bezpečnost firemních dat, část 2.

Tím, jak se výroba stává čím dál více sofistikovanější, dochází ke vzájemnému sdílení dat napříč všemi odděleními v rámci podniku. Potenciál úniku těchto citlivých firemních informací a zavlečení závadného obsahu do firmy, např. skrze webová rozhraní či e-mailovou korenspondenci, představují v současné době největší bezpečnostní riziko. Je třeba na tento fakt klást velký zřetel, a proto bychom vám rádi v průběhu následujících vydání přinášeli edukativní seriál o bezpečnosti firemních dat. Ta by totiž měla být vaší zásadní prioritou.

Lidská chyba může mít v digitálním světě zdrcující dopady pro vaši firmu. Jste proti ní dostatečně chráněni?

Záhada zmizelých zařízení

Ztracený nebo ukradený mobil, tablet či notebook ‒ s takovou událostí se lze často setkat ve firmách všech velikostí. Pro řadu z nich nejde o bezpečnostní incident, nýbrž pouze o nepříjemnost, která se jednou za čas může stát a stojí firmu jenom náklady na nákup nových zařízení. Ve skutečnosti však může jít o poměrně zásadní problém s velkými následky.


Ilustracni grafika
 
Vedení firem často nevnímá rizika spojená právě s tím, že notebooky, mobily, ale třeba i externí disky a přenosné „flešky“ jsou zároveň média obsahující firemní data. A že se na nich mohou nacházet také data, která jsou pro firmu nesmírně cenná. Vzpomeňme si na případ ze Slovenska před několika lety, kdy na autobusové zastávce školák našel na USB disku důvěrné informace o příslušnících slovenské armády.

Chybička se vloudí

Ztráta zařízení je, řekněme, pouze nepřímý následek lidské chyby. Často se lze setkat s tím, že uživatelé provedou omylem akci, která může způsobit vážný bezpečnostní incident. Určitě si dokážete představit situaci: Zasíláte e-mail s interními informacemi kolegovi, píšete adresu, služba automatického doplnění nabídne jména, vyberete to první ‒ a místo kolegovi odešel e-mail přímo na zákazníka.

Podobný případ jsme pozorovali u jedné z firem z našeho regionu, u které překlep způsobil zaslání výrobních plánů místo externímu spolupracovníkovi na kontaktní technickou osobu zákazníka. Jelikož plány nebyly šifrovány ani jinak chráněny, zákazník a jakákoliv další osoba, která se k nim dostala, je mohla bez problémů přečíst a využít či zneužít.

Také jsme se setkali s tím, že z nedbalosti nebo prostě omylem získala externí osoba přístupy do firemních souborových systémů nad rámec jejích potřeb. Většinou jsou podobné případy odhaleny při bezpečnostním auditu, ale kdo ví, jaké informace již v tom bodě kvůli špatnému nastavení opustily firmu.

Co všechno hrozí?

Lidská chyba může mít řadu různých následků. V závislosti na chování konkrétního uživatele mohou nastat „lepší“ a „horší“ dopady, pohybující se od ztráty reputace až ke kritickým bezpečnostním incidentům, působícím značné škody.

• Zřejmým důsledkem je únik dat. Kromě jejich nenávratné ztráty také hrozí jejich zneužití, nepříznivá medializace nebo prodej konkurenci.

• V případě neopatrné manipulace může být způsobena ztráta IT prostředků, paměťových médií či mobilních zařízení.

• S únikem dat souvisí také jejich zveřejnění. Co byste řekli na to, kdyby se vaše ceníky nebo seznam zákazníků staly veřejnou informací?

• Neopatrná manipulace s IT prostředky může umožnit vstup útočníka do sítě. Pokud zaměstnanec nevědomky pustí škodlivý kód do firmy, žádný bezpečnostní software už vás nezachrání.

Jak lze lidské chybě předcházet

V první řadě musí být dána jasná pravidla, jak s IT prostředky a s citlivými daty zacházet. Běžnou praxí je stanovení pravidel ve formě interních směrnic, které jsou zaměstnanci vázáni dodržovat.

Samotná pravidla ale nestačí. Zaměstnanci jsou různě gramotní v informačních technologiích, pravidla a směrnice si obtížně pamatují. Z toho důvodu je dalším krokem zavedení pravidelných školení uživatelů na bezpečné chování a užívání informačních technologií. Školení cílená na rizika a situace, se kterými se mohou uživatelé potkat a jak na ně mají reagovat. Zaměstnanci by se měli dozvědět například i to, jak se chovat v případech sociálního inženýrství, jak přistupovat k instalaci neznámých komponent do systému nebo ke spustitelným přílohám z e-mailu či internetu.

Důvěřuj, ale prověřuj

Další možnosti přináší audit dodržování zavedených pravidel. Pokud mají být citlivá data přenášena pouze v šifrované formě, ale zaměstnanci o tom nevědí, nebo pravidlo ignorují, data jsou čitelná pro kohokoliv, kdo jednoduše odchytí komunikaci. Vhodně provedený audit odhalí mezery v dodržování směrnic a označí důležité okruhy pro další školení nebo vynucení pravidel.

Samotné vynucení pravidel je nejvyšší úroveň ochrany před lidským omylem. Na trhu existují nástroje umožňující vynutit bezpečnou cestu jako jedinou možnou při práci s daty. Data Loss Prevention (DLP) systémy omezují kanály úniku dat a definují bezpečné způsoby práce s nimi.

Při porušení pravidla je uživatel buďto upozorněn, že koná v rozporu se zavedenými pravidly nebo mu je akce přímo zakázána. Další úroveň zabezpečení představuje nahrazení akce za tu doporučovanou, například automatické šifrování dat, když jsou zasílány nezabezpečeným kanálem.

Bezpečnost firemních informací by měla být zásadní prioritou. Nečekejte, až se něco stane.

Matej Zachar

Safetica Technologies

Partnerem seriálu Bezpečnost firemních dat na stránkách MM Průmyslového spektra je společnost Safetica Technologies (www.safetica.cz), jejíž software dnes chrání firmy všech velikostí před následkem chyb jejich zaměstnanců i únikům citlivých informací.

mmoc@webershandwick.cz

Další články

Inovace
Management a řízení
Informační technologie/E-business

Komentáře

Nebyly nalezeny žádné příspěvky

Sledujte nás na sociálních sítích: