Hlavní riziko pro bezpečnost firem představují jejich vlastní zaměstnanci

S otázkami z oblasti bezpečnosti byl osloven management více než sto padesáti společností, mezi kterými nechyběly například Telefónica O2, Siemens, Česká Spořitelna, ČSOB, Komerční Banka, CZECHINVEST nebo České Radiokomunikace. Jaký je tedy současný stav bezpečnosti firem v Česku?

Na služby externích specializovaných firem se v oblasti bezpečnosti IT podle průzkumu spoléhá každá čtvrtá společnost. Jedná se o doklad toho, že outsourcing je v případě specifických IT oblastí v oblibě. Pokud společnost nechce konkrétní odpovědnost brát přímo pod svá křídla, může být jednodušší a ve finále i efektivnější, pokud investují do zajištění služeb zvenku. V případě bezpečnosti to platí dvojnásob. Nevýhodou však mohou být vyšší náklady, navíc je zapotřebí se dobře rozhodnout, koho oslovit.

Příliš nenaštvat zaměstnance?

Další statistika pouze dokladuje dlouhodobý trend: Hlavní riziko bezpečnosti IS/IT vidí firmy v 78 % ve vlastních zaměstnancích. V tomto bodě je však důležité uvědomit si, že nejde o zaměstnance, kteří by cíleně prováděli útoky proti vnitřní infrastruktuře IT, ale většinou omyly z neznalosti. Pro příklad netřeba chodit daleko, zkuste si každý projít každého z blízkého okruhu svých spolupracovníků. Kolik z nich je otráveno nařízeními, bezpečnostní politikou, striktním přístupem adminů? Od recepční až po generálního ředitele se najde jen pár jedinců, kteří se chovají „bezpečně“ – ať už to v konkrétní IT/IS politice konkrétní firmy znamená cokoliv.

Přesto se ale, i když v menším měřítku, objevují plánované interní krádeže dat, většinou od nespokojených nebo odcházejících zaměstnanců. Zpravidla tak chtějí ztížit život firmě a třebas i za úplatu usnadnit bytí konkurenci. Pokud někdo plánuje odchod delší dobu, není problém, aby si potají postupně sbíral vše potřebné. V opačném případě ale zastávám často nepopulární striktní postup: má-li zaměstnanec „být odejit“, nejprve IT oddělení zajistí blokaci všech přístupů a teprve pak se to dotyčnému oznámí. Zdravá paranoia může předejít řadě případných trablů.

Bezpečnostní incidenty postihují každou druhou firmu

Z výsledků zmíněného průzkumů vyplývá, že skoro u čtvrtiny firem byla v poslední době ohrožena bezpečnost jejich IS/IT. Jako hlavní důvod jsou uváděny počítačové viry, 18 % dotázaných se do problémů dostalo kvůli selhání výpočetní techniky. Finanční ztráty se v těchto případech pohybují v desítkách tisíc za rok.

Hlavním problémem útoků zvenku v současnosti bývají způsobené škody, kdy je zapotřebí započítat jednak práci při nápravě navíc, jednak nemožnost nějakou dobu pracovat. Při rozsáhlejších újmách je škoda, že nebývá možné vystopovat pachatele, tedy původce síťového útoku, tvůrce viru apod. – vymahatelnost vyčíslitelných škod by pak byla pádným argumentem pro to, aby si to dotyčný napříště rozmyslel. Většinou tak bohužel v opravdu velkých případech končí trestním oznámením na neznámého pachatele, ale pravděpodobnost vystopování se takřka rovná nule. Vše tak naráží na stejný problém, jako je tomu například v případě legislativních postihů spammerů.

Tomu, že se jedná o citlivé téma, napovídá i doplnění Marka Chlupa, IT experta GiTy: Uvedené výsledky jsou značně ovlivněny tím, že nedokonalé zabezpečení cenných dat, a z toho plynoucí škody, jsou citlivým tématem a spousta firem tyto informace není ochotna zveřejnit. Ve skutečnosti však můžeme počítat s daleko vyšším vyčíslením škod, i počtem napadených. Z naší zkušenosti vyplývá, že s bezpečnostními incidenty se potýká průměrně každá druhá firma.

Drobné výdaje pro velké zisky

Na jedné straně se dnes ve světě bezpečnosti stále více řeší ochrana koncových uživatelů, což by však nemělo zastínit nebezpečí hrozící především větším firmám. Nejde přitom pouze o klasické viry nebo červy, například osobně jsem zvědav na vývoj obchodu s citlivými informacemi nebo jejich zneužitím. Už nyní se ukazuje, že pro útočníky bývá často snazší proniknout do sítě větší firmy a ukrást rovnou celý balík citlivých dat o jednotlivých uživatelích, než aby se pokoušeli sbírat je jednotlivě (ať už podvodným e-mailem nebo trojským koněm apod.).

Do úvahy přichází také skloubení s ransomwarem, tedy vyděračským softwarem, který po postiženém uživateli požaduje výpalné. Vzhledem k poměrně striktnímu přístupu firem k zálohování zde ale úspěch bude slavit minimálně, proto bude kvést spíše obchod s citlivými daty. Pokud by ransomware zašifroval důležité soubory na centrálním serveru, přeci jen bude snazší obnovit je z poslední automatické zálohy, než pokoušet štěstí převodem peněz. Obecně si navíc myslím, že několik dosavadních případů ransomwaru je spíše slepým výstřelem než předzvěstí větších trablů tohoto typu.

       

A pokud se do budoucnosti bezpečnosti IT a IS ve firmách podíváme dál, nelze opomenout ani klasický konkurenční boj. Tak jako si jsou soupeřící společnosti schopné škodit v reálném světě, nebude problém ani v tom, aby si někdo pomohl profesionálním útokem. Dlouhodobější nedostupnost vinou například DDoS útoku dokáže u větších společností zapříčinit citelné ztráty, o zhoršení pověsti ani nemluvě. A na závěr obligátní problém: proč vymýšlet komplikované útoky, když může být snazší a levnější někoho pro získání informací podplatit přímo vevnitř. Ve světě velkých firem to platí a bude platit dvojnásob.

Jaké jsou vše zkušenosti s bezpečností IT nebo IS ve firmách a jak hodnotíte bezpečnostní politiku například právě svého zaměstnavatele? Kam se bude ubírat korporátní bezpečnost do budoucna? Podělte se o svůj názor s ostatními v diskuzi pod článkem!