Jak se od roku 2018 vyhnout vysokým pokutám za úniky dat?

Zdeněk Bínek, 14. listopad 2016 13:30 0 komentářů
Jak se od roku 2018 vyhnout vysokým pokutám za úniky dat?

V roce 2018 začne platit nová směrnice Evropské unie o ochraně dat. Podle Obecného nařízení pro ochranu údajů v EU (neboli GDPR), budou moci úřady za nedostatečné zabezpečení osobních údajů pokutovat firmy a organizace až do výše 4 % ročního obratu, nejvýše 20 milionu eur. Pro mnohé organizace, zejména z odvětví telekomunikací, energetiky, zdravotnictví, pro všechny e-shopy a mnohé další to bude znamenat nutnost posílení bezpečnosti svých IT systémů. Na co se mají připravit, aby se vyhnuly vysokým pokutám? V této první části se dozvíte, jak firemni data zabezpečit proti únikům.

V první fázi především na zabezpečení svých podnikových sítí proti úniku dat, tj. proti útokům zvenčí i zevnitř, kterými mohou být citlivá data odcizena. Ve druhé fázi pak na zajištění produktivního a přitom dostatečně bezpečného přístupu k firemním datům. Podívejme se nejdříve na první fázi.

Ne nadarmo se traduje, že při dokonalém zabezpečení proti útokům zvenčí nás nakonec překvapí útoky zevnitř. Podle letošního průzkumu GFI Software se nejvíce SMB podniků chce v příštím roce soustředit právě na ochranu koncových bodů (tedy endpoint security), společně s ochranou webového přístupu (36 %). Na pravidelné aktualizace softwaru se pak chce soustředit 27 % a na ochranu elektronické pošty 13 % firem.
Jaké rizikové scénáře v oblasti ochrany osobních údajů hlavně hrozínásledující rizika:

Krádež dat vlastními zaměstnanci

Je překvapující, jak velké množství lidí si při odchodu ze zaměstnání s sebou odnáší citlivá firemní data – podle některých údajů téměř polovina zaměstnanců připouští, že v případě výpovědi by si s sebou při odchodu vzalo důvěrné firemní informace, popř. by si je uložilo pro případ, že by jejich budoucnost ve firmě byla v ohrožení. Řada z nich je ochotna tato data prodat konkurenci či marketingovým agenturám a malér je na světě. Stačí maličkost: USB paměť a nechráněný počítač s přístupem do podnikové sítě. Zabránit takovémuto jednání je možné s využitím specializovaných endpoint security řešení, která umožňují monitorovat a autorizovat přístup ke všem koncovým bodům v počítačové síti. Pokud již ke krádeži dat došlo, pak je možné použít řešení pro správu událostí, jež s pomocí analýzy logů dokáže přesně určit událost a jejího viníka. V případě, že zaměstnanec citlivé údaje posílá ven z firmy elektronickou poštou, je možné to téměř okamžitě či pozdějším dohledáním zjistit s využitím řešení pro archivaci e-mailů.

Externí útoky přes webové rozhraní

Je známo, že zaměstnanci se celý den nevěnují pouze práci, ale občas se také na pracovním webu věnují nepracovním záležitostem. Z pohledu produktivity je to určitě lepší varianta než nepřerušované pracovní vytížení, pokud ovšem zaměstnanci nesurfují polovinu pracovní doby, nestahují objemná videa a především nepřistupují k podezřelým stránkám. Webové rozhraní je velmi populárním kanálem pro dopravu malwarové nákazy do podnikových sítí. Ta je často využívána právě k vyhledávání a odesílání citlivých osobních dat či duševního vlastnictví na jiné servery k jejich zobchodování. Eliminovat toto riziko lze s pomocí specializovaného softwaru pro monitoring webového přístupu.

Útoky vedené elektronickou poštou

Elektronická pošta je stále klíčovým nástrojem každé společnosti. Problémy spojené s fungováním elektronické pošty jsou poměrně časté – odhaduje se, že až třetina všech IT problémů ve firmě se týká e-mailů. V poslední době množství problémů roste s příchodem ransomwarových útoků, jež šifrují data a požadují výkupné. Rizikové e-maily jsou stále rafinovanější a využívají metod sociálního inženýrství, kterému řada nezkušených pracovníků podlehne. Mimochodem, podle nové směrnice GDPR bude muset každá firma ve chvíli, kdy její data někdo zašifruje nevratně, tento případ nahlásit. Proto je vedle klientských antivirů důležité také filtrovat příchozí poštu minimálně od spamů a nejlépe i od malwaru s pomocí řešení umístěného již na firemním poštovním serveru.

Překotné trendy mobility a IoT

V IT bezpečnosti platí více než kde jinde, že dnešní úroveň ochrany dat ještě neznamená, že bude dostačující i zítra. Nové nařízení o ochraně osobních údajů pravděpodobně přiměje řadu společností k vytvoření či posílení své bezpečnostní politiky a k její pravidelné kontrole. Pravidelnou kontrolu je možné provádět manuálně, ale se vzrůstajícím počtem mobilních a v budoucnu také IoT zařízení se manuální kontrola stává prakticky nerealizovatelnou s fatálními následky pro zabezpečení dat. Proto byly vytvořeny systémy pro periodickou kontrolu, skenování zařízení na síti a zjišťování zranitelností, které takovéto kontroly provádí plně automatizovaně, stejně jako pravidelné softwarové aktualizace.

V případě bezpečnostního incidentu firmy doposud počítaly „pouze“ ztráty vzniklé obnovu ztracených dat a maximálně ztrátou obchodního případu. Od roku 2018 přibyde pro běžnou organizaci s obratem 100 milionů korun i hrozba pokuty až 4 milionů Kč – a to není málo peněz.

Autor je ředitelem společnosti Zebra systems, která je výhradním distributorem řešení Acronis a GFI Software na českém a slovenském trhu.


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

RSS 

Zprávičky

Za vzněcováním smartphonu iPhone 6 jsou vnější vlivy, tvrdí Apple

ČTK , 08. prosinec 2016 11:30

Firma Apple odmítla podezření čínských uživatelů svého chytrého telefonu iPhone 6, že za problémy s ...

Více 0 komentářů

Verizon prodá firmě Equinix datová centra za 3,6 miliardy USD

ČTK , 08. prosinec 2016 10:00

Největší americký mobilní operátor Verizon Communications prodá specializované společnosti Equinix 2...

Více 0 komentářů

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů

Starší zprávičky

Nejvyšší soud USA se postavil na stranu Samsungu proti Applu

ČTK , 07. prosinec 2016 12:30

Americký nejvyšší soud se v mnohaletém patentovém sporu mezi výrobci chytrých telefonů Apple a Samsu...

Více 0 komentářů

Evropská komise Microsoftu schválila převzetí sítě LinkedIn

ČTK , 07. prosinec 2016 10:30

Evropská komise schválila americké softwarové společnosti Microsoft záměr koupit za 26 miliard dolar...

Více 0 komentářů

Porozumění větám, konkurence pro Turingův test

Pavel Houser , 06. prosinec 2016 18:00

Konverzační roboti mají stále problémy pochopit věty, kde smysl nelze vyvodit ze samotné gramatické ...

Více 0 komentářů

Americká GoDaddy koupí evropský webhosting Host Europe

ČTK , 06. prosinec 2016 16:00

Americký registrátor internetových domén GoDaddy, který je ve svém oboru největší na světě, se dohod...

Více 0 komentářů