Odborně-vzdělávací a zpravodajský portál z oblasti strojírenství a navazujících oborů
Články >> Bezpečnost firemních dat, část 3.
Chcete dostávat MM Průmyslové spektrum ZDARMA až do Vaší schránky? Více informací zde.

Bezpečnost firemních dat, část 3.

Tím, jak se výroba stává čím dál více sofistikovanější, dochází ke vzájemnému sdílení dat napříč všemi odděleními v rámci podniku. Potenciál úniku těchto citlivých firemních informací a zavlečení závadného obsahu do firmy, např. skrze webová rozhraní či e-mailovou korenspondenci, představují v současné době největší bezpečnostní riziko. Je třeba na tento fakt klást velký zřetel, a proto bychom vám rádi v průběhu následujících vydání přinášeli edukativní seriál o bezpečnosti firemních dat. Ta by totiž měla být vaší zásadní prioritou.

Největší know-how výrobních společností tvoří plány, podle kterých se konstruují výrobky pro zákazníky. Víte, kde všude se tato data ve vaší firmě pohybují?

Neřízený pohyb citlivých dat

U našich zákazníků jsme pozorovali mnoho incidentů spojených s neoprávněnou prací s daty. Nejčastěji se setkáváme s následujícími praktikami:

• Vývojáři si sdílejí dokumentaci na nezašifrovaných, často soukromých externích zařízeních.

• Zaměstnanci zasílají výrobní plány e-mailem, někdy také prostřednictvím freemailových účtů.

• V extrémních případech dochází ke sdílení přes veřejně dostupné sdílecí služby, třeba uložto.

Podobné situace jsou pro bezpečnost dat zásadní – vystavují je riziku, že se k nim dostane neoprávněná osoba. Přitom nemusí jít ani o zkušeného hackera. Stačí ztráta USB klíčenky nebo posílání e-mailu na nesprávnou adresu. Jakýkoliv nálezce či příjemce může takto získané informace zneužít.

Jak založit výrobní firmu snadno a rychle

Nejde ale pouze o lidský omyl. Zneužití výrobních dat pro sebe, průmyslová špionáž nebo zveřejnění jsou rizika, která je nutno vzít do úvahy při budování ochrany citlivých dat.

Často dochází k situaci, kdy jsou konstrukční data zneužita. Typickým příkladem je situace, když si vývojář přepošle na soukromý e-mail konstrukční data a založí vlastní firmu, která může produkovat to samé, bez nutnosti investicí do vývoje. V našem regionu jsme jenom minulý rok zjistili podobný incident u několika firem.

Bohužel i v Česku se setkáte s průmyslovou špionáží. U jedné firmy jsme zjistili, že v ní byla nasazena osoba od konkurence, která po dobu téměř jednoho roku dodávala interní informace obchodního charakteru a postupně vynášela know-how společnosti, výrobní plány i projektovou dokumentaci. Škody u této firmy šly do desítek milionů, což nezahrnuje ušlý zisk, který je komplikované dodatečně vyčíslit.

Kdo má o vaše data zájem?

Pokud se vám zdá nepředstavitelný fakt, že by někdo mohl mít zájem o vaše know-how, zamyslete se nad tím znovu.

 • Vaše konkurence může citlivá data použít na převzetí vašich nápadů a myšlenek.

• Neloajální zaměstnanec nebo externí osoba může data vzít a prodat je komukoliv, kdo o ně projeví zájem.

• Prakticky kdokoliv může vaše výrobní plány použít pro založení vlastní firmy a kromě ušlého zisku je zde také vznik nové konkurence v oboru.

Nemusí však jít pouze o zlý úmysl. Pro kreativní lidi jako vývojáře je v podstatě samozřejmostí uvažovat o tvorbě, kterou realizují pro firmu, jako o své vlastní. V případě změny zaměstnavatele jim přijde logické uplatnit zkušenosti a často také části návrhů jako své vlastní know-how, které mohou bezmezně použít.

Data v bezpečí

Aby firma mohla podobným případům předcházet, musí se prioritně zaměřit na zabezpečení dat. Stále se setkáváme s tím, že výrobní společnosti bezpečnost buďto vůbec neřeší, nebo se omezí na základní fyzické zabezpečení prostor a na poli virtuálním pouze na antivir a firewall. Pokud však zaměstnanec omylem nebo úmyslně dostane data mimo firmu, např. pomocí flash disku nebo pouhým posláním přes e-mail, nic z těchto nástrojů mu v tom nezbrání.


Ilustrační grafika

Aby firma mohla chránit výrobní data, musí se podívat na jejich životní cyklus a nastavit jasná pravidla. Ve většině případů nedává smysl, aby tato data vůbec opustila firmu jakýmkoliv způsobem, vyjma případů, když se na návrhu podílí např. externí firma.

Po definování cílů a pravidel je dobrou praxí ověřit návrh pomocí auditu práce uživatelů s daty. Ten odhalí odchylky od zavedených představ a také dodá informaci o rizicích a incidentech, které se mohou dít. Pro audit je možné využít také automatizované prostředky, které přinesou rychlé a přesné výsledky. Po zkušenostech s mnoha podobnými audity ve firmách víme, že pouze zřídkakdy se všichni uživatelé chovají zodpovědně v souvislosti se zabezpečením dat.

Po odhalení rizikových oblastí jsou jasně dány priority v zabezpečení. Pokud se s externím dodavatelem vyměňují citlivá data nezašifrovaná, řešení je nasnadě – zavést bezpečný kanál komunikace. Pokud data unikají přes externí zařízení nebo je uživatelé navzdory pravidlům nahrávají na cloud, restrikce přístupu tyto praktiky omezí.

Nejsofistikovanějším řešením je nasazení Data Loss Prevention (DLP) řešení, které umožní zavedená pravidla práce s daty přímo vynutit. Tento systém například může nastavit šifrovanou formu přenosu dat jako jedinou možnou. Kromě toho umožňují chránit data i před komplexnějšími útoky, například přes vykopírování citlivého obsahu do schránky nebo snímání obrazovky. V neposlední řadě přináší také výhodu přímého vzdělávání zaměstnanců o zavedených pravidlech a bezpečné práci s daty. Uživatel může být automaticky upozorněn, že koná v rozporu se zavedenými pravidly a bude lépe vědět, co je bezpečné a co ne.

Matej Zachar

Safetica Technologies

Partnerem seriálu Bezpečnost firemních dat na stránkách MM Průmyslového spektra je společnost Safetica Technologies (www.safetica.cz), jejíž software dnes chrání firmy všech velikostí před následkem chyb jejich zaměstnanců i únikům citlivých informací.

mmoc@webershandwick.cz

Další články

Inovace
Management a řízení
Informační technologie/E-business

Komentáře

Nebyly nalezeny žádné příspěvky

Sledujte nás na sociálních sítích: