Bezpečnost jednotlivých počítačů a ochrana sítě ve firemním prostředí patří mezi hojně diskutovaná témata. Snad každý uživatel-zaměstnanec si občas povzdychl, proč že jsou přístupová oprávnění či filtrování webových stránek tak striktní, a proklínal neoblomné správce, kteří nejsou schopni či ochotni vytvořit odpovídající výjimku. Souboj správně nastavené bezpečnostní politiky a jejího dodržování v podnikové sféře s požadavky jednotlivých zaměstnanců patří mezi nekonečné příběhy.
Zajímavý náhled do základních problémů poskytla nedávná zpráva společnosti Cisco, ve které se aktuální bezpečností zabývají optikou aktuálních statistik. Cisco Connected World Technology Report přináší výsledky dvou studií, do každé z nich bylo zapojeno 1400 respondentů ze 14 zemí (Spojené státy americké, Kanada, Mexiko, Brazílie, Velká Británie, Francie, Španělsko, Německo, Itálie, Rusko, Indie, Čína, Japonsko a Austrálie). V prvním případě šlo o univerzitní studenty a ve druhém o profesionály z praxe mladší 30 let.
Z první studie vyplynulo, že dvě třetiny respondentů jsou přesvědčeny, že by IT pravidla měla být upravena tak, aby více odpovídala reálným potřebám a dovolovala větší pracovní flexibilitu. Nicméně mnoho společností omezuje možnost používat různá zařízení či sociální média. Podle mladých respondentů byly z aplikací nejvíce omezeny online hry a mezi nejčastěji zakázaná zařízení se zařadily iPody.
Podle dalších výsledků celých 70 procent zaměstnanců, kteří jsou obeznámeni s bezpečnostními pravidly, připustilo jejich občasné porušení. Třetina z nich to odůvodňuje tím, že jsou přesvědčeni, že nedělají nic špatného, zhruba 22 procent uvedlo, že potřebují přístup k nepovoleným programům a aplikacím, aby mohli dokončit svoji práci. Na druhou stranu 19 procent respondentů tvrdí, že dodržování pravidel není vynucováno. Právě tento mix může stát za častými problémy firem a jejich zaměstnanců, jelikož najít opravdu flexibilní a na obě strany vyváženou bezpečnostní politiku je velice těžké.
Jedním z rizik ve firemním prostředí je zneužití USB zařízení, ochranu mohou poskytnout specializované bezpečnostní aplikace
Nebezpečí vně i uvnitř firemní sítě
Zaměstnanci jsou tedy pro firmy takovou malou časovanou bombou, u drtivé většiny z nich totiž postupem času dojde k tomu, že budou muset či chtít obejít aktuálně prosazovanou bezpečnostní politiku. Z výše citovaných výsledků průzkumu je zajímavý sedmdesátiprocentní podíl zaměstnanců, kteří pravidla občas poruší, i když jsou s nimi obeznámeni. Právě v tomto okamžiku se láme pomyslný chleba a bezpečnostní pravidla musí odolat interním pokusům o prolomení.
V případě rizika pro podnikové sítě samozřejmě nejde jen o zaměstnance, kteří by cíleně prováděli útoky proti vnitřní infrastruktuře IT, ale také omyly z neznalosti. Pro příklad netřeba chodit daleko, zkuste si každý projít každého z blízkého okruhu svých spolupracovníků. Kolik z nich je otráveno nařízeními, bezpečnostní politikou, striktním přístupem adminů? Od recepční až po generálního ředitele se najde jen pár jedinců, kteří se chovají „bezpečně“ – ať už to v konkrétní IT/IS politice konkrétní firmy znamená cokoliv.
Přesto se ale, i když v menším měřítku, objevují plánované interní krádeže dat, většinou od nespokojených nebo odcházejících zaměstnanců. Zpravidla tak chtějí ztížit život firmě a třebas i za úplatu usnadnit bytí konkurenci. Pokud někdo plánuje odchod delší dobu, není problém, aby si potají postupně sbíral vše potřebné. Proto není na škodu aplikovat často nepopulární striktní postup: má-li zaměstnanec „být odejit“, nejprve IT oddělení zajistí blokaci všech přístupů a teprve pak se to dotyčnému oznámí. Zdravá paranoia může předejít řadě případných potíží.
Stejně jako se takovéto interní krádeže, zvýhodnění konkurence, případně ztráta renomé firmy reálně přepočítávají na peníze, získávají podobné hodnocení i útoky vedené zvenku. Do škod je zapotřebí započítat jednak práci při nápravě navíc, jednak nemožnost nějakou dobu pracovat. Při rozsáhlejších újmách je škoda, že nebývá možné vystopovat pachatele, tedy původce síťového útoku, tvůrce viru apod. – vymahatelnost vyčíslitelných škod by pak byla pádným argumentem pro to, aby si to dotyčný napříště rozmyslel. Většinou tak bohužel v opravdu velkých případech končí trestním oznámením na neznámého pachatele, ale pravděpodobnost vystopování se často rovná nule.
Ochrana před spamem patří mezi klasiku, antispamové filtry své místo nacházejí i u běžných uživatelů
Nastrčený špion si svou práci udělá
Na jedné straně se dnes ve světě bezpečnosti stále více řeší ochrana koncových uživatelů, což by však nemělo zastínit nebezpečí hrozící především větším firmám. Nejde přitom pouze o klasické viry nebo červy, bude zajímavé sledovat také vývoj obchodu s citlivými informacemi a jejich zneužitím. Už nyní se ukazuje, že pro útočníky bývá často snazší proniknout do sítě větší firmy a ukrást rovnou celý balík citlivých dat o jednotlivých uživatelích, než aby se pokoušeli sbírat je jednotlivě (ať už podvodným e-mailem nebo trojským koněm apod.).
Do úvahy přichází také skloubení s ransomwarem, tedy vyděračským softwarem, který po postiženém uživateli požaduje výpalné. Vzhledem k poměrně striktnímu přístupu firem k zálohování zde ale úspěch bude slavit minimálně, proto bude kvést spíše obchod s citlivými daty. Pokud by ransomware zašifroval důležité soubory na centrálním serveru, přeci jen bude snazší obnovit je z poslední automatické zálohy, než pokoušet štěstí převodem peněz.
A pokud se do budoucnosti bezpečnosti IT a IS ve firmách podíváme dál, nelze opomenout ani klasický konkurenční boj. Tak jako si jsou soupeřící společnosti schopné škodit v reálném světě, nebude problém ani v tom, aby si někdo pomohl profesionálním útokem. Dlouhodobější nedostupnost vinou například DDoS útoku dokáže u větších společností zapříčinit citelné ztráty, o zhoršení pověsti ani nemluvě. A na závěr obligátní problém: proč vymýšlet komplikované útoky, když může být snazší a levnější někoho pro získání informací podplatit přímo vevnitř. Ve světě velkých firem to platí a bude platit dvojnásob.
Jaké jsou vše zkušenosti s bezpečností IT nebo IS ve firmách a jak hodnotíte bezpečnostní politiku například právě svého zaměstnavatele? Kam se bude ubírat korporátní bezpečnost do budoucna? Podělte se o svůj názor s ostatními v diskuzi pod článkem!
