Hlavní navigace

Zaměstnanci? Pro firmy bezpečnostní problém číslo jedna

Pavel Čepský 12. 1. 2012

Útoky zvenku dokážou v podnikové síti natropit pořádnou neplechu, nicméně problémoví zaměstnanci jsou ještě větším oříškem. Jak často a kterými způsoby zvládnou potrápit sebezkušenější administrátory?

Bezpečnost jednotlivých počítačů a ochrana sítě ve firemním prostředí patří mezi hojně diskutovaná témata. Snad každý uživatel-zaměstnanec si občas povzdychl, proč že jsou přístupová oprávnění či filtrování webových stránek tak striktní, a proklínal neoblomné správce, kteří nejsou schopni či ochotni vytvořit odpovídající výjimku. Souboj správně nastavené bezpečnostní politiky a jejího dodržování v podnikové sféře s požadavky jednotlivých zaměstnanců patří mezi nekonečné příběhy.

Zajímavý náhled do základních problémů poskytla nedávná zpráva společnosti Cisco, ve které se aktuální bezpečností zabývají optikou aktuálních statistik. Cisco Connected World Technology Report přináší výsledky dvou studií, do každé z nich bylo zapojeno 1400 respondentů ze 14 zemí (Spojené státy americké, Kanada, Mexiko, Brazílie, Velká Británie, Francie, Španělsko, Německo, Itálie, Rusko, Indie, Čína, Japonsko a Austrálie). V prvním případě šlo o univerzitní studenty a ve druhém o profesionály z praxe mladší 30 let.

Z první studie vyplynulo, že dvě třetiny respondentů jsou přesvědčeny, že by IT pravidla měla být upravena tak, aby více odpovídala reálným potřebám a dovolovala větší pracovní flexibilitu. Nicméně mnoho společností omezuje možnost používat různá zařízení či sociální média. Podle mladých respondentů byly z aplikací nejvíce omezeny online hry a mezi nejčastěji zakázaná zařízení se zařadily iPody.

Podle dalších výsledků celých 70 procent zaměstnanců, kteří jsou obeznámeni s bezpečnostními pravidly, připustilo jejich občasné porušení. Třetina z nich to odůvodňuje tím, že jsou přesvědčeni, že nedělají nic špatného, zhruba 22 procent uvedlo, že potřebují přístup k nepovoleným programům a aplikacím, aby mohli dokončit svoji práci. Na druhou stranu 19 procent respondentů tvrdí, že dodržování pravidel není vynucováno. Právě tento mix může stát za častými problémy firem a jejich zaměstnanců, jelikož najít opravdu flexibilní a na obě strany vyváženou bezpečnostní politiku je velice těžké.


Jedním z rizik ve firemním prostředí je zneužití USB zařízení, ochranu mohou poskytnout specializované bezpečnostní aplikace

Nebezpečí vně i uvnitř firemní sítě

Zaměstnanci jsou tedy pro firmy takovou malou časovanou bombou, u drtivé většiny z nich totiž postupem času dojde k tomu, že budou muset či chtít obejít aktuálně prosazovanou bezpečnostní politiku. Z výše citovaných výsledků průzkumu je zajímavý sedmdesátiprocentní podíl zaměstnanců, kteří pravidla občas poruší, i když jsou s nimi obeznámeni. Právě v tomto okamžiku se láme pomyslný chleba a bezpečnostní pravidla musí odolat interním pokusům o prolomení.

V případě rizika pro podnikové sítě samozřejmě nejde jen o zaměstnance, kteří by cíleně prováděli útoky proti vnitřní infrastruktuře IT, ale také omyly z neznalosti. Pro příklad netřeba chodit daleko, zkuste si každý projít každého z blízkého okruhu svých spolupracovníků. Kolik z nich je otráveno nařízeními, bezpečnostní politikou, striktním přístupem adminů? Od recepční až po generálního ředitele se najde jen pár jedinců, kteří se chovají „bezpečně“ – ať už to v konkrétní IT/IS politice konkrétní firmy znamená cokoliv.

Přesto se ale, i když v menším měřítku, objevují plánované interní krádeže dat, většinou od nespokojených nebo odcházejících zaměstnanců. Zpravidla tak chtějí ztížit život firmě a třebas i za úplatu usnadnit bytí konkurenci. Pokud někdo plánuje odchod delší dobu, není problém, aby si potají postupně sbíral vše potřebné. Proto není na škodu aplikovat často nepopulární striktní postup: má-li zaměstnanec „být odejit“, nejprve IT oddělení zajistí blokaci všech přístupů a teprve pak se to dotyčnému oznámí. Zdravá paranoia může předejít řadě případných potíží.

Stejně jako se takovéto interní krádeže, zvýhodnění konkurence, případně ztráta renomé firmy reálně přepočítávají na peníze, získávají podobné hodnocení i útoky vedené zvenku. Do škod je zapotřebí započítat jednak práci při nápravě navíc, jednak nemožnost nějakou dobu pracovat. Při rozsáhlejších újmách je škoda, že nebývá možné vystopovat pachatele, tedy původce síťového útoku, tvůrce viru apod. – vymahatelnost vyčíslitelných škod by pak byla pádným argumentem pro to, aby si to dotyčný napříště rozmyslel. Většinou tak bohužel v opravdu velkých případech končí trestním oznámením na neznámého pachatele, ale pravděpodobnost vystopování se často rovná nule.


Ochrana před spamem patří mezi klasiku, antispamové filtry své místo nacházejí i u běžných uživatelů

Nastrčený špion si svou práci udělá

Na jedné straně se dnes ve světě bezpečnosti stále více řeší ochrana koncových uživatelů, což by však nemělo zastínit nebezpečí hrozící především větším firmám. Nejde přitom pouze o klasické viry nebo červy, bude zajímavé sledovat také vývoj obchodu s citlivými informacemi a jejich zneužitím. Už nyní se ukazuje, že pro útočníky bývá často snazší proniknout do sítě větší firmy a ukrást rovnou celý balík citlivých dat o jednotlivých uživatelích, než aby se pokoušeli sbírat je jednotlivě (ať už podvodným e-mailem nebo trojským koněm apod.).

Do úvahy přichází také skloubení s ransomwarem, tedy vyděračským softwarem, který po postiženém uživateli požaduje výpalné. Vzhledem k poměrně striktnímu přístupu firem k zálohování zde ale úspěch bude slavit minimálně, proto bude kvést spíše obchod s citlivými daty. Pokud by ransomware zašifroval důležité soubory na centrálním serveru, přeci jen bude snazší obnovit je z poslední automatické zálohy, než pokoušet štěstí převodem peněz.

A pokud se do budoucnosti bezpečnosti IT a IS ve firmách podíváme dál, nelze opomenout ani klasický konkurenční boj. Tak jako si jsou soupeřící společnosti schopné škodit v reálném světě, nebude problém ani v tom, aby si někdo pomohl profesionálním útokem. Dlouhodobější nedostupnost vinou například DDoS útoku dokáže u větších společností zapříčinit citelné ztráty, o zhoršení pověsti ani nemluvě. A na závěr obligátní problém: proč vymýšlet komplikované útoky, když může být snazší a levnější někoho pro získání informací podplatit přímo vevnitř. Ve světě velkých firem to platí a bude platit dvojnásob.

Jaké jsou vše zkušenosti s bezpečností IT nebo IS ve firmách a jak hodnotíte bezpečnostní politiku například právě svého zaměstnavatele? Kam se bude ubírat korporátní bezpečnost do budoucna? Podělte se o svůj názor s ostatními v diskuzi pod článkem!

Našli jste v článku chybu?

12. 1. 2012 8:41

bob (neregistrovaný)

Při dnešních možnostech bezdrátového přenosu ani šacování nepomůže - data můžu posílat přímo z kanceláře do auta na parkovišti pod oknem. (Nehledě na to, že mohu prostě čtyřiašedesáti­gigovou flashku s daty na záchodě vyhodit z okna do záhonu růži a cestou z práce si ji vyzvednout - taky "přenos vzduchem". ;-)

12. 1. 2012 6:45

bob (neregistrovaný)

Vezmu to z druhé strany. Admini se většinou snaží o nějaká trapná omezení, např.omezení připojení na "nevhodné" stránky apod. Přitom v drtivé většině firem jsou u pc přístupné USB, vypalovačky, LAN porty apod.

Admini si totiž musí hned na začátku rozmyslet proti čemu se chtějí bránit - proti blbosti uživatelů? Pak stačí antivir. Proti záměrnému útoku? Dneska téměř bez šance. Možností jak propojit PC znalým člověkem je milion - net, USB, bluetooth, vypalovačka, rozebrat pc a zapojit nový disk, p…

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

120na80.cz: 5 poporodních problémů a jejich řešení

5 poporodních problémů a jejich řešení

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem