Jak se od roku 2018 vyhnout vysokým pokutám za úniky dat?

Zdeněk Bínek, 14. listopad 2016 13:30 0 komentářů
Jak se od roku 2018 vyhnout vysokým pokutám za úniky dat?

V roce 2018 začne platit nová směrnice Evropské unie o ochraně dat. Podle Obecného nařízení pro ochranu údajů v EU (neboli GDPR), budou moci úřady za nedostatečné zabezpečení osobních údajů pokutovat firmy a organizace až do výše 4 % ročního obratu, nejvýše 20 milionu eur. Pro mnohé organizace, zejména z odvětví telekomunikací, energetiky, zdravotnictví, pro všechny e-shopy a mnohé další to bude znamenat nutnost posílení bezpečnosti svých IT systémů. Na co se mají připravit, aby se vyhnuly vysokým pokutám? V této první části se dozvíte, jak firemni data zabezpečit proti únikům.

V první fázi především na zabezpečení svých podnikových sítí proti úniku dat, tj. proti útokům zvenčí i zevnitř, kterými mohou být citlivá data odcizena. Ve druhé fázi pak na zajištění produktivního a přitom dostatečně bezpečného přístupu k firemním datům. Podívejme se nejdříve na první fázi.

Ne nadarmo se traduje, že při dokonalém zabezpečení proti útokům zvenčí nás nakonec překvapí útoky zevnitř. Podle letošního průzkumu GFI Software se nejvíce SMB podniků chce v příštím roce soustředit právě na ochranu koncových bodů (tedy endpoint security), společně s ochranou webového přístupu (36 %). Na pravidelné aktualizace softwaru se pak chce soustředit 27 % a na ochranu elektronické pošty 13 % firem.
Jaké rizikové scénáře v oblasti ochrany osobních údajů hlavně hrozínásledující rizika:

Krádež dat vlastními zaměstnanci

Je překvapující, jak velké množství lidí si při odchodu ze zaměstnání s sebou odnáší citlivá firemní data – podle některých údajů téměř polovina zaměstnanců připouští, že v případě výpovědi by si s sebou při odchodu vzalo důvěrné firemní informace, popř. by si je uložilo pro případ, že by jejich budoucnost ve firmě byla v ohrožení. Řada z nich je ochotna tato data prodat konkurenci či marketingovým agenturám a malér je na světě. Stačí maličkost: USB paměť a nechráněný počítač s přístupem do podnikové sítě. Zabránit takovémuto jednání je možné s využitím specializovaných endpoint security řešení, která umožňují monitorovat a autorizovat přístup ke všem koncovým bodům v počítačové síti. Pokud již ke krádeži dat došlo, pak je možné použít řešení pro správu událostí, jež s pomocí analýzy logů dokáže přesně určit událost a jejího viníka. V případě, že zaměstnanec citlivé údaje posílá ven z firmy elektronickou poštou, je možné to téměř okamžitě či pozdějším dohledáním zjistit s využitím řešení pro archivaci e-mailů.

Externí útoky přes webové rozhraní

Je známo, že zaměstnanci se celý den nevěnují pouze práci, ale občas se také na pracovním webu věnují nepracovním záležitostem. Z pohledu produktivity je to určitě lepší varianta než nepřerušované pracovní vytížení, pokud ovšem zaměstnanci nesurfují polovinu pracovní doby, nestahují objemná videa a především nepřistupují k podezřelým stránkám. Webové rozhraní je velmi populárním kanálem pro dopravu malwarové nákazy do podnikových sítí. Ta je často využívána právě k vyhledávání a odesílání citlivých osobních dat či duševního vlastnictví na jiné servery k jejich zobchodování. Eliminovat toto riziko lze s pomocí specializovaného softwaru pro monitoring webového přístupu.

Útoky vedené elektronickou poštou

Elektronická pošta je stále klíčovým nástrojem každé společnosti. Problémy spojené s fungováním elektronické pošty jsou poměrně časté – odhaduje se, že až třetina všech IT problémů ve firmě se týká e-mailů. V poslední době množství problémů roste s příchodem ransomwarových útoků, jež šifrují data a požadují výkupné. Rizikové e-maily jsou stále rafinovanější a využívají metod sociálního inženýrství, kterému řada nezkušených pracovníků podlehne. Mimochodem, podle nové směrnice GDPR bude muset každá firma ve chvíli, kdy její data někdo zašifruje nevratně, tento případ nahlásit. Proto je vedle klientských antivirů důležité také filtrovat příchozí poštu minimálně od spamů a nejlépe i od malwaru s pomocí řešení umístěného již na firemním poštovním serveru.

Překotné trendy mobility a IoT

V IT bezpečnosti platí více než kde jinde, že dnešní úroveň ochrany dat ještě neznamená, že bude dostačující i zítra. Nové nařízení o ochraně osobních údajů pravděpodobně přiměje řadu společností k vytvoření či posílení své bezpečnostní politiky a k její pravidelné kontrole. Pravidelnou kontrolu je možné provádět manuálně, ale se vzrůstajícím počtem mobilních a v budoucnu také IoT zařízení se manuální kontrola stává prakticky nerealizovatelnou s fatálními následky pro zabezpečení dat. Proto byly vytvořeny systémy pro periodickou kontrolu, skenování zařízení na síti a zjišťování zranitelností, které takovéto kontroly provádí plně automatizovaně, stejně jako pravidelné softwarové aktualizace.

V případě bezpečnostního incidentu firmy doposud počítaly „pouze“ ztráty vzniklé obnovu ztracených dat a maximálně ztrátou obchodního případu. Od roku 2018 přibyde pro běžnou organizaci s obratem 100 milionů korun i hrozba pokuty až 4 milionů Kč – a to není málo peněz.

Autor je ředitelem společnosti Zebra systems, která je výhradním distributorem řešení Acronis a GFI Software na českém a slovenském trhu.


Komentáře

RSS 

Komentujeme

Kradená auta: Další úkol pro bezpečnostní kamery

Pavel Houser , 16. srpen 2017 06:30
Pavel Houser

Bezpečnostní kamery, které hledají ukradená vozidla nebo mají za úkol vozidlo jednoznačně identifiko...

Více






Kalendář

24. 08. Webinář Synology - DSM 6.1 - Virtual Machine Manager
27. 08.

31. 08.
VMworld 2017
01. 09.

06. 09.
IFA 2017
RSS 

Zprávičky

Útočníci si oblíbili sadu exploitů Lost in Translation

Pavel Houser , 22. srpen 2017 10:21

Studie mapuje vývoj malwaru v České republice a ve světě ve druhém čtvrtletí. ...

Více 0 komentářů

České Radiokomunikace nabízejí i privátní cloud

Pavel Houser , 22. srpen 2017 08:00

Řešení je podle CRA vhodné pro provoz citlivých, náročných a exponovaných aplikací a ukládání citliv...

Více 0 komentářů

LG V30 bude mít displej OLED FullVision

Pavel Houser , 21. srpen 2017 11:42

P-OLED vzniká umísťováním pixelů na plastový substrát, který je mnohem pevnější než skleněná základn...

Více 0 komentářů

Starší zprávičky

Jak funguje byznys na tuzemském YouTube

ČTK , 21. srpen 2017 09:47

Zájem Čechů o sledování videí na YouTube vzrostl letos meziročně o 35 procent. Poptávka se přesouvá ...

Více 0 komentářů

9 z 10 e-shopů nesplnilo zákonné povinnosti

ITBiz.cz , 20. srpen 2017 14:00

Česká obchodní inspekce pravidelně monitoruje dodržování zákonů v oblasti prodeje zboží v e-shopech....

Více 0 komentářů

Lenovo ve ztrátě, k zisku se má vrátit do 2 let

ČTK , 19. srpen 2017 10:12

Firma nevylučuje zdražení svých výrobků, aby udržela ziskové marže....

Více 0 komentářů

Generální ředitel Infosysu nečekaně rezignoval

ČTK , 19. srpen 2017 09:30

Od doby, co Sikka nastoupil do čela firmy, akcie stouply o více než pětinu....

Více 0 komentářů