V roce 2018 začne platit nová směrnice Evropské unie o ochraně dat. Podle Obecného nařízení pro ochranu údajů v EU (neboli GDPR), budou moci úřady za nedostatečné zabezpečení osobních údajů pokutovat firmy a organizace až do výše 4 % ročního obratu, nejvýše 20 milionu eur. Pro mnohé organizace, zejména z odvětví telekomunikací, energetiky, zdravotnictví, pro všechny e-shopy a mnohé další to bude znamenat nutnost posílení bezpečnosti svých IT systémů. Na co se mají připravit, aby se vyhnuly vysokým pokutám? V této první části se dozvíte, jak firemni data zabezpečit proti únikům.
V první fázi především na zabezpečení svých podnikových sítí proti úniku dat, tj. proti útokům zvenčí i zevnitř, kterými mohou být citlivá data odcizena. Ve druhé fázi pak na zajištění produktivního a přitom dostatečně bezpečného přístupu k firemním datům. Podívejme se nejdříve na první fázi.
Ne nadarmo se traduje, že při dokonalém zabezpečení proti útokům zvenčí nás nakonec překvapí útoky zevnitř. Podle letošního průzkumu GFI Software se nejvíce SMB podniků chce v příštím roce soustředit právě na ochranu koncových bodů (tedy endpoint security), společně s ochranou webového přístupu (36 %). Na pravidelné aktualizace softwaru se pak chce soustředit 27 % a na ochranu elektronické pošty 13 % firem.
Jaké rizikové scénáře v oblasti ochrany osobních údajů hlavně hrozínásledující rizika:
Krádež dat vlastními zaměstnanci
Je překvapující, jak velké množství lidí si při odchodu ze zaměstnání s sebou odnáší citlivá firemní data – podle některých údajů téměř polovina zaměstnanců připouští, že v případě výpovědi by si s sebou při odchodu vzalo důvěrné firemní informace, popř. by si je uložilo pro případ, že by jejich budoucnost ve firmě byla v ohrožení. Řada z nich je ochotna tato data prodat konkurenci či marketingovým agenturám a malér je na světě. Stačí maličkost: USB paměť a nechráněný počítač s přístupem do podnikové sítě.
Zabránit takovémuto jednání je možné s využitím specializovaných endpoint security řešení, která umožňují monitorovat a autorizovat přístup ke všem koncovým bodům v počítačové síti. Pokud již ke krádeži dat došlo, pak je možné použít řešení pro správu událostí, jež s pomocí analýzy logů dokáže přesně určit událost a jejího viníka. V případě, že zaměstnanec citlivé údaje posílá ven z firmy elektronickou poštou, je možné to téměř okamžitě či pozdějším dohledáním zjistit s využitím řešení pro archivaci e-mailů.
Externí útoky přes webové rozhraní
Je známo, že zaměstnanci se celý den nevěnují pouze práci, ale občas se také na pracovním webu věnují nepracovním záležitostem. Z pohledu produktivity je to určitě lepší varianta než nepřerušované pracovní vytížení, pokud ovšem zaměstnanci nesurfují polovinu pracovní doby, nestahují objemná videa a především nepřistupují k podezřelým stránkám. Webové rozhraní je velmi populárním kanálem pro dopravu malwarové nákazy do podnikových sítí. Ta je často využívána právě k vyhledávání a odesílání citlivých osobních dat či duševního vlastnictví na jiné servery k jejich zobchodování. Eliminovat toto riziko lze s pomocí specializovaného softwaru pro monitoring webového přístupu.
Útoky vedené elektronickou poštou
Elektronická pošta je stále klíčovým nástrojem každé společnosti. Problémy spojené s fungováním elektronické pošty jsou poměrně časté – odhaduje se, že až třetina všech IT problémů ve firmě se týká e-mailů. V poslední době množství problémů roste s příchodem ransomwarových útoků, jež šifrují data a požadují výkupné. Rizikové e-maily jsou stále rafinovanější a využívají metod sociálního inženýrství, kterému řada nezkušených pracovníků podlehne. Mimochodem, podle nové směrnice GDPR bude muset každá firma ve chvíli, kdy její data někdo zašifruje nevratně, tento případ nahlásit. Proto je vedle klientských antivirů důležité také filtrovat příchozí poštu minimálně od spamů a nejlépe i od malwaru s pomocí řešení umístěného již na firemním poštovním serveru.
Překotné trendy mobility a IoT
V IT bezpečnosti platí více než kde jinde, že dnešní úroveň ochrany dat ještě neznamená, že bude dostačující i zítra. Nové nařízení o ochraně osobních údajů pravděpodobně přiměje řadu společností k vytvoření či posílení své bezpečnostní politiky a k její pravidelné kontrole. Pravidelnou kontrolu je možné provádět manuálně, ale se vzrůstajícím počtem mobilních a v budoucnu také IoT zařízení se manuální kontrola stává prakticky nerealizovatelnou s fatálními následky pro zabezpečení dat. Proto byly vytvořeny systémy pro periodickou kontrolu, skenování zařízení na síti a zjišťování zranitelností, které takovéto kontroly provádí plně automatizovaně, stejně jako pravidelné softwarové aktualizace.
V případě bezpečnostního incidentu firmy doposud počítaly „pouze“ ztráty vzniklé obnovu ztracených dat a maximálně ztrátou obchodního případu. Od roku 2018 přibyde pro běžnou organizaci s obratem 100 milionů korun i hrozba pokuty až 4 milionů Kč – a to není málo peněz.
Autor je ředitelem společnosti Zebra systems, která je výhradním distributorem řešení Acronis a GFI Software na českém a slovenském trhu.
