Jak předejít krádeži firemních dat



Data jsou zlatem dnešní doby. Pro společnosti představují klíčovou součást majetku a hodnoty firmy, i přesto však bývá stupeň jejich zabezpečení a ochrany často na tristní úrovni. Hlavním důvodem tohoto stavu je nejen neznalost základních bezpečnostních pravidel, ale často také obyčejná nedbalost a nedůslednost zaměstnanců při jejich dodržování. Jak tedy postupovat, aby se nám podařilo ztrátě tohoto firemního „pokladu“ včas předejít?

Kybernetická bezpečnost stojí na třech základních pilířích. Těmi jsou lidé, nástroje a procesy. Právě lidský faktor je přitom tím nejrizikovějším – ne nadarmo se říká, že „uživatelé nejsou hloupí, pouze neznalí.” A ani ten nejlepší a nejdražší nástroj nám příliš neposlouží, pokud k němu nemáme dostatečně kvalifikovanou obsluhu. Na druhou stranu ani ten nejkvalifikovanější uživatel s nejlepším nástrojem moc nezmůže, pokud neví, čeho má dosáhnout a proč.

Ochrana dat v kostce

Že je ďábel ukryt v detailu, nám naše praxe dokazuje téměř každý den. Vezměme si například nedávno odhalený průnik útočníků do e-mailového systému jedné z velkých konzultačních společností. Samotný přesun e-mailového systému do cloudu je věc v celku nevinná, ale v tomto případě sehrálo zásadní roli opomenutí základních bezpečnostních principů, které jsou s tímto krokem pevně spjaty.


Uvnitř organizace jsou systémy tohoto typu chráněny několika stupni ochrany, avšak jejich přesunem do cloudu byly vystaveny do nezabezpečeného prostředí internetu, včetně samotného administrátorského rozhraní. Útočníkům je společnost vlastně naservírovala přímo pod nos. Pokud se na tento případ podíváme zblízka, zjistíme, že zde došlo k porušení principů na úrovni všech tří pilířů bezpečnosti.

Pojďme se tedy na chvíli vcítit do role zloděje, který chce získat naše firemní data. Motivace jeho útoku je pro nás v tento okamžik vedlejší, raději se soustřeďme na to, jak a kudy by mohl útok provést. Z úvodu článku již víme, že má v podstatě čtyři možnosti, jak do našeho systému proniknout. Útočník může zneužít slabin lidského faktoru, nástrojů, interních procesů nebo kombinovat všechny zmíněné možnosti. Protože ale svět není černobílý, nejčastějším způsobem proniknutí do systému bývá právě jejich kombinace.

Každá hra má svůj cíl a pravidla, a to stejné platí i v oboru kybernetické bezpečnosti. V první řadě bychom tak měli vědět proč, a jak je kybernetická ochrana naší organizace zajištěná. Odpověď na první otázku je snadná. Cílem a důvodem nasazení kybernetické bezpečnosti bývá zpravidla ochrana firemních dat. Odpověď na otázku „jak" pak spočívá ve stanovení konkrétní strategie, architektury a postupů kybernetické bezpečnosti v dané organizaci.

První pilíř – lidé

Pro stanovení strategie kybernetické bezpečnosti dané organizace je naprosto klíčový „dirigent" kybernetické bezpečnosti. Pod ním si můžeme představit člověka, který:

 

  • Je v této oblasti kompetentní.
  • Má důvěru vrcholového vedení organizace a úzce s ním spolupracuje.
  • Má dobré znalosti byznysu a procesů v organizaci.

 

Jen pod dobře vedenou taktovkou takového dirigenta, tedy manažera kybernetické bezpečnosti, lze nalézt vyvážený kompromis mezi efektivitou provozu ICT prostředí a akceptovatelnou eliminací rizik způsobených nejrůznějšími hrozbami. Součástí kvalitní strategie je zcela jistě také osvěta o zásadách bezpečného chování v kybernetickém prostoru a průběžné vzdělávání uživatelů napříč celou organizací.

Druhý pilíř – nástroje

Návrh architektury obrany organizace proti kybernetickým hrozbám a zajištění akceptovatelné úrovně kybernetické bezpečnosti může být jednou úkol komplexní, jindy naopak vcelku jednoduchý. Vždy přitom bude záležet na stanovených prioritách organizace, na její komplexnosti a dynamice v přístupu ke změnám.

Samotná rozmanitost a škála možných řešení a přístupů zdaleka přesahuje rámec a rozsah tohoto článku. V každém případě musíme mít na paměti cíl návrhu architektury, kterým je v první řadě ochrana firemních dat. Přitom bychom ale neměli zapomenout na zachování efektivního provozu ICT prostředí tak, aby bezpečnost nebyla na úkor provozu a obráceně. Výsledné řešení pak bude vždy kompromisem obou pohledů.

Návrh architektury by měl vyváženě řešit nástroje pro:

 

  • prevenci napadení
  • detekci průniků
  • reakci a minimalizaci dopadů

 

Investicemi do nástrojové podpory pro zajištění kybernetické bezpečnosti bychom měli zajistit zejména:

 

  • Pasivní ochranu kybernetického perimetru organizace (síť, koncová zařízení vč. mobilních a elektronická přenosová média)
  • Aktivní ochranu nejčastějších vektorů útoků (extrakce škodlivého kódu v emailové komunikaci, brouzdání po internetu apod.)
  • Aktivní řízení přístupu k datům (správa privilegovaných účtů, segmentace sítě apod.)
  • Sběr auditních informací, logů a zajištění bezpečnostního monitoringu, označovaných také jako „log management" a „Security Information and Event management" (SIEM)

 

Nástroje pro zajištění kybernetické bezpečnosti jsou úzce provázané, často dokonce přímo závislé na nástrojích zajišťujících provoz ICT prostředí. Proto je jejich vzájemné vyladění pro úspěšné splnění stanového cíle tak klíčové.

Třetí pilíř – procesy

Poslední z pilířů zajištění kybernetické bezpečnosti, ale v žádném případě nikoliv posledním z pohledu důležitosti, je nastavení funkčních postupů užívání nástrojů a principů chování uživatelů organizace. Začněme opět u předmětu našeho zájmu, tedy u našich firemních dat. Abychom je dokázali ochránit, musíme vědět, kde všude jsou umístěna, a současně znát jejich plný rozsah a strukturu. Tento postup lze souhrnně nazvat provedením klasifikace a lokalizace dat.

V této souvislosti je vhodné připomenout aktuálně žhavé téma dotýkající se podobné oblasti. Konkrétně direktivu EU nazvanou „General Data ProtectionRegulation" a obecně známou pod zkratkou GDPR, která vstoupí v platnost v květnu 2018. Jedním ze základních předpokladů splnění tohoto nařízení je mimo jiné také provedení lokalizace osobních dat fyzických osob v organizaci a ověření, jakým způsobem jsou tato data zpracovávaná, což spadá právě do oblasti klasifikace dat obecně. Analýza a znalost toho kde, jak a kolik dat se v organizaci zpracovává, je v oblasti prevence kybernetické bezpečnosti významným krokem.

Dobře nastavenými procesy můžeme velmi efektivně ovlivnit prevenci napadení a snížit míru rizika úspěšnosti průniku. Například vhodně zvolená délka periody pro obnovu uživatelských hesel sníží míru rizika jejich prozrazení, nastavení počtu pokusů neúspěšného přihlášení uživatelů zase výrazně sníží riziko odhalení hesla hrubou silou.

V oblasti detekce a reakce lze návrhem procesů kybernetické obrany výrazně ovlivnit rychlost a efektivitu zpracování kybernetických bezpečnostních událostí generovaných bezpečnostním monitoringem.

Závěrem

Zajištění kybernetické bezpečnosti organizace rozhodně není jednorázovou činností. Jedná se o dlouhodobou aktivitu, zejména protože vynalézavost potencionálních protivníků je velká a jejich útoky jsou čím dál sofistikovanější. Pro zajištění stanoveného cíle – ochrany firemních dat – tak musí být jejich obrana rozvíjena systematicky. Rozhodně se nevyplatí ji podcenit a vystavit nepřátelům všanc nejen svá data, ale také dobrou pověst podniku.

Aleš Mahdal, Expert Consultant pro oblast bezpečnosti společnosti Anect


(20. 11. 2017 | redakce2)


Předcházející článek: <<< 17 zásadních tipů, jak se bránit ransomwaru <<<
Následující článek: >>> Měli byste vědět: Obchodní sdělení a GDPR >>>

Tento článek je součástí speciálu:

Data v bezpečí: Chraňte pečlivě své systémy


Jak předejít krádeži firemních dat? Jak se bránit ransomwaru? Jak se připravit na GDPR? To je jen několik z řady otázek, na které hledáme odpovědi v tomto aktuálním Top přehledu zaměřeném na bezpečnost digitálních dat.



Komentáře, názory a rady

Zatím sem nikdo nevložil žádný komentář. Buďte první...

>>> Číst a vkládat komentáře <<<

Nepřehlédněte nové odborné speciály

Reality v ČR, Zabezpečení dat, Formuláře - podnikání



Články čtenářů

Autobusové nádraží Zličín – kde je c...


Můžete jet soukromě, nebo třeba služebně, každopádně když cestujete z Prahy na západ, jihozápad nebo severozápad, pojedete možná z autobusového nádraží Zličín. Pokud...

Jak vypnout zprávy webů v prohlížeči


Rozmohl se nám tady takový nešvar - lecjaký zpravodajský web teď v prohlížeči stále dokola otravuje s tím, abyste si zapnuli jeho zprávy do prohlížeče. A vy musíte s...

Komentáře čtenářů

Přiruční zavazadla Ryanair
Už dříve vznikla u nás diskuse na Facebooku, jaký je rozdíl v politice kabinových zavazadel Wizz Air a R...>>
Děkuji
To byl nepříjemný překlep, opraveno. V obou případech jde o předpověď do roku 2020. Děkujeme za upozorně...>>
Konkrétněji, prosím
My ale nikde nepíšeme, že jinde se to neděje. Pokud máte informace o konkrétních větších výpadcích, ocen...>>

©2013-2018 OnBusiness.cz, ISSN 2336-1999 | Názvy použité v textech mohou být ochrannými známkami příslušných vlastníků.
Provozovatel: Bispiral, s.r.o., kontakt: BusinessIT(at)Bispiral.com | Inzerce: Best Online Media, s.r.o., zuzana@online-media.cz
O vydavateli | Pravidla webu OnBusiness.cz a ochrana soukromí | pg(3583)