IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Únik dat způsobuje často neopatrnost nebo neznalost

digital coffee

K menšímu či většímu úniku dat došlo v posledním roce u více než 40 % společností. Podle posledního průzkumu společnosti Accenture se problémy způsobené zaměstnanci oproti předcházejícímu roku zvýšily o 15 %. Cenných dat se zmocňují hackeři snadněji, pokud jsou pracovníci firmy na cestách, například přes veřejné nabíječky a USB vstup, či nezabezpečené systémy hotelů nebo letišť. Roste také počet fyzických dat krádeží přímo v kancelářích firem.

Když se řekne datová bezpečnost, spousta lidí si představí zejména externí hrozby. Pravdou ovšem je, že největší hrozba se skrývá uvnitř společnosti – ze strany vlastních hodnověrných a autorizovaných zaměstnanců. Průzkumy ukazují, že za třemi čtvrtinami úniků dat z firem nejsou cílené hackerské útoky, ale vlastní zaměstnanci. A zdaleka se nemusí jednat o úmysl, často je příčinou neopatrnost, neznalost a podcenění kontrolních mechanismů.

Často nejde o cílený útok

Takzvané vnitřní útoky jsou jednou z největších hrozeb, kterým čelí data a systémy. A nemusí jít vždy o zlý úmysl pracovníka, který ve zlém odchází z firmy nebo chce data prodat. Za mnoha úniky stojí neopatrnost nebo neznalost. Například umístění dat na veřejné cloudové služby pro kolegy, jimž dotyčný nechce posílat tak velký objem dat mailem, nahrání dat na externí disk, který zaměstnanec posléze ztratí, či chyba v adrese při odesílání citlivých údajů. V prostorách firem také lidé často zapomínají na to, že by neměli nechávat volně ležet například strategické materiály ve vytištěné podobě na stole či zamezit přístupu k datům na svém počítači, pokud od něj odcházejí.

IT bezpečnost a ochranu dat tak vedle IT oddělení a nadřízených pracovníků musí řešit i ostraha firem. „Na pracovištích je třeba vymezit prostory, které jsou strategické z hlediska zajištění bezpečnosti informací a zajistit je proti přístupu návštěvníků, vymezit pravomoci externích zaměstnanců a přesně určit, kam a za jakých podmínek mají přístup,“ říká Radek Škrabal, provozní ředitel společnosti SSI Group. „Zajištění ostrahy objektů a bezpečnosti dat a systémů firem tak musí jít ruku v ruce a vzájemně se doplňovat.“

Chyby a nedůslednost zaměstnanců mohou ohrozit samotnou stabilitu firem. A nejde jen o přímé finanční postihy, které hrozí za nedodržení zásad GDPR nebo odškodnění poškozeným klientům v případě, že uniknou zákaznická data. Velkou škodu znamená ztráta důvěry zákazníků i prestiže společnosti. Nedávná studie Accenture zaměřená na náklady firem na kyberkriminalitu ukázala, že problémy způsobené insidery se oproti předcházejícímu roku zvýšily o 15 %.

„Dnes již kybernetickou bezpečnost řeší prakticky každá firma. Částečně je to dáno legislativou, nicméně velký podíl má digitalizace, internet věcí, tzv. IoT a všeobecně jednodušší přístup k technologiím,“ doplňuje Michal Merta, šéf Cyber Fusion centra Accenture. „Mezi nejohroženější patří společnosti, které pracují s množstvím citlivých údajů svých zákazníků – tedy ty, které působí ve finančním sektoru nebo v sektoru služeb. Nesmíme ale zapomenout na továrny a výrobní závody. Útoky na jejich zařízení často zastaví celý výrobní proces a dostat se zpět do plné produkce bývá zdlouhavé a nákladné.“

Mobilní trendy ztěžují zajištění IT bezpečnosti

Současné trendy velí zpřístupnit firemní a komunikační systémy pro zaměstnance, kteří se připojují kdykoli a odkudkoli, umožnit jim využívat vlastní zařízení. To vše znesnadňuje jejich zabezpečení a ochranu. A k tomu je třeba ještě vzít v úvahu, že technologie používají lidé, kteří dělají chyby. Podle letošních statistik používá v práci svá vlastní zařízení 67 % zaměstnanců a 87 % podniků je závislých na schopnosti jejich zaměstnanců přistupovat k mobilním podnikovým aplikacím ze smartphonu.

„Právě na cestách se lidé nejčastěji dopouštějí bezpečnostních přehmatů. Manažeři při čekání na letišti nebo v hotelu řeší často i v nezabezpečených systémech firemní komunikaci, někdy kvůli dostupnosti přesunou citlivá data do veřejných cloudových služeb. Na konferenci zase mnoho lidí sáhne po veřejné nabíječce, aniž by uvažovali o tom, že USB zařízení mohou být zneužita po malé úpravě hackery. Přes USB port je možné nainstalovat malware, díky němuž útočník získá kontrolu nad daným přístrojem, nainstalovat si pomocníka pro pozdější vzdálený přístup, ukrást data, zaheslovat je za účelem vydírání, prostě využít jej mnoha způsoby,“ říká William Ischanoe, odborník na IT bezpečnost z Počítačové školy Gopas.

Úniky dat nemusejí mít přímý dopad jen na postiženou firmu – takovýto problém může vyústit ve finanční postih nebo dokonce ztrátu zaměstnání pro konkrétního člověka, který ztrátu způsobí nebo je zodpovědný za zajištění bezpečnosti.

Riziko kybernetických hrozeb dlouhodobě roste a dnes se týká téměř každého. A čím větší je riziko, tím více se vyplatí pojištění. A to nejen firmám, ale i jednotlivcům. „Stále oblíbenějším je pojištění následků některých úskalí kyberprostoru,“ říká Viktor Houška, ředitel produktu a marketingu BNP Paribas Cardif.

„Pojištění internetových rizik pomáhá v případech, kdy dojde ke zneužití údajů z platebních karet na internetu nebo internetového bankovnictví. Kromě finančního plnění zahrnuje i odbornou pomoc.“