Hlavní navigace

Hlavní riziko pro bezpečnost firem představují jejich vlastní zaměstnanci

 Autor: 29
Ondřej Bitto 21. 11. 2008

Bezpečnostní průzkumy mezi IT firmami jsou běžnou součástí analýz a sledování vývoje chování této oblasti. Nejedná se přitom pouze o zahraniční příklady, které často bývají citována, ale také tuzemské – jedním z posledních je průzkum publikovaný společností GiTy.

S otázkami z oblasti bezpečnosti byl osloven management více než sto padesáti společností, mezi kterými nechyběly například Telefónica O2, Siemens, Česká Spořitelna, ČSOB, Komerční Banka, CZECHINVEST nebo České Radiokomunikace. Jaký je tedy současný stav bezpečnosti firem v Česku?

Na služby externích specializovaných firem se v oblasti bezpečnosti IT podle průzkumu spoléhá každá čtvrtá společnost. Jedná se o doklad toho, že outsourcing je v případě specifických IT oblastí v oblibě. Pokud společnost nechce konkrétní odpovědnost brát přímo pod svá křídla, může být jednodušší a ve finále i efektivnější, pokud investují do zajištění služeb zvenku. V případě bezpečnosti to platí dvojnásob. Nevýhodou však mohou být vyšší náklady, navíc je zapotřebí se dobře rozhodnout, koho oslovit.

Příliš nenaštvat zaměstnance?

Další statistika pouze dokladuje dlouhodobý trend: Hlavní riziko bezpečnosti IS/IT vidí firmy v 78 % ve vlastních zaměstnancích. V tomto bodě je však důležité uvědomit si, že nejde o zaměstnance, kteří by cíleně prováděli útoky proti vnitřní infrastruktuře IT, ale většinou omyly z neznalosti. Pro příklad netřeba chodit daleko, zkuste si každý projít každého z blízkého okruhu svých spolupracovníků. Kolik z nich je otráveno nařízeními, bezpečnostní politikou, striktním přístupem adminů? Od recepční až po generálního ředitele se najde jen pár jedinců, kteří se chovají „bezpečně“ – ať už to v konkrétní IT/IS politice konkrétní firmy znamená cokoliv.

Přesto se ale, i když v menším měřítku, objevují plánované interní krádeže dat, většinou od nespokojených nebo odcházejících zaměstnanců. Zpravidla tak chtějí ztížit život firmě a třebas i za úplatu usnadnit bytí konkurenci. Pokud někdo plánuje odchod delší dobu, není problém, aby si potají postupně sbíral vše potřebné. V opačném případě ale zastávám často nepopulární striktní postup: má-li zaměstnanec „být odejit“, nejprve IT oddělení zajistí blokaci všech přístupů a teprve pak se to dotyčnému oznámí. Zdravá paranoia může předejít řadě případných trablů.

Bezpečnostní incidenty postihují každou druhou firmu

Z výsledků zmíněného průzkumů vyplývá, že skoro u čtvrtiny firem byla v poslední době ohrožena bezpečnost jejich IS/IT. Jako hlavní důvod jsou uváděny počítačové viry, 18 % dotázaných se do problémů dostalo kvůli selhání výpočetní techniky. Finanční ztráty se v těchto případech pohybují v desítkách tisíc za rok.

Hlavním problémem útoků zvenku v současnosti bývají způsobené škody, kdy je zapotřebí započítat jednak práci při nápravě navíc, jednak nemožnost nějakou dobu pracovat. Při rozsáhlejších újmách je škoda, že nebývá možné vystopovat pachatele, tedy původce síťového útoku, tvůrce viru apod. – vymahatelnost vyčíslitelných škod by pak byla pádným argumentem pro to, aby si to dotyčný napříště rozmyslel. Většinou tak bohužel v opravdu velkých případech končí trestním oznámením na neznámého pachatele, ale pravděpodobnost vystopování se takřka rovná nule. Vše tak naráží na stejný problém, jako je tomu například v případě legislativních postihů spammerů.

Tomu, že se jedná o citlivé téma, napovídá i doplnění Marka Chlupa, IT experta GiTy: Uvedené výsledky jsou značně ovlivněny tím, že nedokonalé zabezpečení cenných dat, a z toho plynoucí škody, jsou citlivým tématem a spousta firem tyto informace není ochotna zveřejnit. Ve skutečnosti však můžeme počítat s daleko vyšším vyčíslením škod, i počtem napadených. Z naší zkušenosti vyplývá, že s bezpečnostními incidenty se potýká průměrně každá druhá firma.

Drobné výdaje pro velké zisky

Na jedné straně se dnes ve světě bezpečnosti stále více řeší ochrana koncových uživatelů, což by však nemělo zastínit nebezpečí hrozící především větším firmám. Nejde přitom pouze o klasické viry nebo červy, například osobně jsem zvědav na vývoj obchodu s citlivými informacemi nebo jejich zneužitím. Už nyní se ukazuje, že pro útočníky bývá často snazší proniknout do sítě větší firmy a ukrást rovnou celý balík citlivých dat o jednotlivých uživatelích, než aby se pokoušeli sbírat je jednotlivě (ať už podvodným e-mailem nebo trojským koněm apod.).

Do úvahy přichází také skloubení s ransomwarem, tedy vyděračským softwarem, který po postiženém uživateli požaduje výpalné. Vzhledem k poměrně striktnímu přístupu firem k zálohování zde ale úspěch bude slavit minimálně, proto bude kvést spíše obchod s citlivými daty. Pokud by ransomware zašifroval důležité soubory na centrálním serveru, přeci jen bude snazší obnovit je z poslední automatické zálohy, než pokoušet štěstí převodem peněz. Obecně si navíc myslím, že několik dosavadních případů ransomwaru je spíše slepým výstřelem než předzvěstí větších trablů tohoto typu.

A pokud se do budoucnosti bezpečnosti IT a IS ve firmách podíváme dál, nelze opomenout ani klasický konkurenční boj. Tak jako si jsou soupeřící společnosti schopné škodit v reálném světě, nebude problém ani v tom, aby si někdo pomohl profesionálním útokem. Dlouhodobější nedostupnost vinou například DDoS útoku dokáže u větších společností zapříčinit citelné ztráty, o zhoršení pověsti ani nemluvě. A na závěr obligátní problém: proč vymýšlet komplikované útoky, když může být snazší a levnější někoho pro získání informací podplatit přímo vevnitř. Ve světě velkých firem to platí a bude platit dvojnásob.

Jaké jsou vše zkušenosti s bezpečností IT nebo IS ve firmách a jak hodnotíte bezpečnostní politiku například právě svého zaměstnavatele? Kam se bude ubírat korporátní bezpečnost do budoucna? Podělte se o svůj názor s ostatními v diskuzi pod článkem!

Anketa

Myslíte si, že se ve firmě v oblasti IT chováte bezpečně?

Našli jste v článku chybu?

21. 11. 2008 8:07

warezák (neregistrovaný)
Kdysi dávno, když jsem začal chodit na střední jsme se dali dohromady s partičkou kámošů, občas jsme spolu zašli na pivko, vyměňovali si různý software, radili si, jak napsat nějaký program nebo scriptík... vyměňovali si různá nelegální data a bavili se tím, že jsme se občas dostali do různých systémů.

Teď už je nám o dost víc let, ale pokud se podívám na profesní dráhu každého z "partičky", tak děláme ve velkých firmách (někteří i nadnárodních) a máme u jmenovek všichni přívlastek &q…

27. 11. 2008 23:03

Brick (neregistrovaný)
Pracuji v české pobočce jedné korporace jako "bezpečák" a s titulkem článku obecně souhlasím. Jen nevím jestli autor opravdu myslel jen "bezpečnost IT/IS" (nepatří IS do IT?) nebo širší pojem "bezpečnost I (informací;))". Pokud to druhé, tak největší potencionální dopady vidím mimo technologickou oblast, které se tento článek převážně věnuje. Je to např. "corporate fraud" (kterého se dopouští většinou "oprávnění" pracovníci) a postihy vyplývající…
120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Vitalia.cz: Jak koupit Mikuláše a nenaletět

Jak koupit Mikuláše a nenaletět

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

120na80.cz: 5 poporodních problémů a jejich řešení

5 poporodních problémů a jejich řešení

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Podnikatel.cz: Změny v daních z příjmů u zaměstnávání

Změny v daních z příjmů u zaměstnávání

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat