Jak se od roku 2018 vyhnout vysokým pokutám za úniky dat?

Zdeněk Bínek, 14. listopad 2016 13:30 0 komentářů
Jak se od roku 2018 vyhnout vysokým pokutám za úniky dat?

V roce 2018 začne platit nová směrnice Evropské unie o ochraně dat. Podle Obecného nařízení pro ochranu údajů v EU (neboli GDPR), budou moci úřady za nedostatečné zabezpečení osobních údajů pokutovat firmy a organizace až do výše 4 % ročního obratu, nejvýše 20 milionu eur. Pro mnohé organizace, zejména z odvětví telekomunikací, energetiky, zdravotnictví, pro všechny e-shopy a mnohé další to bude znamenat nutnost posílení bezpečnosti svých IT systémů. Na co se mají připravit, aby se vyhnuly vysokým pokutám? V této první části se dozvíte, jak firemni data zabezpečit proti únikům.

V první fázi především na zabezpečení svých podnikových sítí proti úniku dat, tj. proti útokům zvenčí i zevnitř, kterými mohou být citlivá data odcizena. Ve druhé fázi pak na zajištění produktivního a přitom dostatečně bezpečného přístupu k firemním datům. Podívejme se nejdříve na první fázi.

Ne nadarmo se traduje, že při dokonalém zabezpečení proti útokům zvenčí nás nakonec překvapí útoky zevnitř. Podle letošního průzkumu GFI Software se nejvíce SMB podniků chce v příštím roce soustředit právě na ochranu koncových bodů (tedy endpoint security), společně s ochranou webového přístupu (36 %). Na pravidelné aktualizace softwaru se pak chce soustředit 27 % a na ochranu elektronické pošty 13 % firem.
Jaké rizikové scénáře v oblasti ochrany osobních údajů hlavně hrozínásledující rizika:

Krádež dat vlastními zaměstnanci

Je překvapující, jak velké množství lidí si při odchodu ze zaměstnání s sebou odnáší citlivá firemní data – podle některých údajů téměř polovina zaměstnanců připouští, že v případě výpovědi by si s sebou při odchodu vzalo důvěrné firemní informace, popř. by si je uložilo pro případ, že by jejich budoucnost ve firmě byla v ohrožení. Řada z nich je ochotna tato data prodat konkurenci či marketingovým agenturám a malér je na světě. Stačí maličkost: USB paměť a nechráněný počítač s přístupem do podnikové sítě. Zabránit takovémuto jednání je možné s využitím specializovaných endpoint security řešení, která umožňují monitorovat a autorizovat přístup ke všem koncovým bodům v počítačové síti. Pokud již ke krádeži dat došlo, pak je možné použít řešení pro správu událostí, jež s pomocí analýzy logů dokáže přesně určit událost a jejího viníka. V případě, že zaměstnanec citlivé údaje posílá ven z firmy elektronickou poštou, je možné to téměř okamžitě či pozdějším dohledáním zjistit s využitím řešení pro archivaci e-mailů.

Externí útoky přes webové rozhraní

Je známo, že zaměstnanci se celý den nevěnují pouze práci, ale občas se také na pracovním webu věnují nepracovním záležitostem. Z pohledu produktivity je to určitě lepší varianta než nepřerušované pracovní vytížení, pokud ovšem zaměstnanci nesurfují polovinu pracovní doby, nestahují objemná videa a především nepřistupují k podezřelým stránkám. Webové rozhraní je velmi populárním kanálem pro dopravu malwarové nákazy do podnikových sítí. Ta je často využívána právě k vyhledávání a odesílání citlivých osobních dat či duševního vlastnictví na jiné servery k jejich zobchodování. Eliminovat toto riziko lze s pomocí specializovaného softwaru pro monitoring webového přístupu.

Útoky vedené elektronickou poštou

Elektronická pošta je stále klíčovým nástrojem každé společnosti. Problémy spojené s fungováním elektronické pošty jsou poměrně časté – odhaduje se, že až třetina všech IT problémů ve firmě se týká e-mailů. V poslední době množství problémů roste s příchodem ransomwarových útoků, jež šifrují data a požadují výkupné. Rizikové e-maily jsou stále rafinovanější a využívají metod sociálního inženýrství, kterému řada nezkušených pracovníků podlehne. Mimochodem, podle nové směrnice GDPR bude muset každá firma ve chvíli, kdy její data někdo zašifruje nevratně, tento případ nahlásit. Proto je vedle klientských antivirů důležité také filtrovat příchozí poštu minimálně od spamů a nejlépe i od malwaru s pomocí řešení umístěného již na firemním poštovním serveru.

Překotné trendy mobility a IoT

V IT bezpečnosti platí více než kde jinde, že dnešní úroveň ochrany dat ještě neznamená, že bude dostačující i zítra. Nové nařízení o ochraně osobních údajů pravděpodobně přiměje řadu společností k vytvoření či posílení své bezpečnostní politiky a k její pravidelné kontrole. Pravidelnou kontrolu je možné provádět manuálně, ale se vzrůstajícím počtem mobilních a v budoucnu také IoT zařízení se manuální kontrola stává prakticky nerealizovatelnou s fatálními následky pro zabezpečení dat. Proto byly vytvořeny systémy pro periodickou kontrolu, skenování zařízení na síti a zjišťování zranitelností, které takovéto kontroly provádí plně automatizovaně, stejně jako pravidelné softwarové aktualizace.

V případě bezpečnostního incidentu firmy doposud počítaly „pouze“ ztráty vzniklé obnovu ztracených dat a maximálně ztrátou obchodního případu. Od roku 2018 přibyde pro běžnou organizaci s obratem 100 milionů korun i hrozba pokuty až 4 milionů Kč – a to není málo peněz.

Autor je ředitelem společnosti Zebra systems, která je výhradním distributorem řešení Acronis a GFI Software na českém a slovenském trhu.


Komentáře

RSS 

Komentujeme

Intel Inside aneb všichni jsme načipováni

Petr Zavoral , 10. prosinec 2017 18:20
Petr Zavoral

V Havlově hře Audience přesvědčuje Sládek Ferdinanda Vaňka, aby donášel sám na sebe. Z pohledu letoš...

Více







Kalendář

09. 01.

13. 01.
CES 2018
18. 01.

19. 01.
itSMF 2018
29. 01.

30. 01.
G2BTechEd

RSS 

Zprávičky

Nové Embarcadero RAD Studio obsahuje i licenci pro aplikační server

Pavel Houser , 15. prosinec 2017 10:00

Vývojové prostředí nabízí i nové prvky knihovny vizuálních komponent a nové možnosti grafického uživ...

Více 0 komentářů

Botnet Necurs se vrátil a šíří nový ransomware

Pavel Houser , 15. prosinec 2017 09:00

V listopadu došlo k oživení botnetu Necurs v souvislosti s distribucí nového ransomwaru Scarab. ...

Více 0 komentářů

Jižní Korea zvažuje, že zdaní obchody s bitcoinem

ČTK , 15. prosinec 2017 08:00

Vláda se obává dopadů, které s sebou může přinést náhlý cenový propad kryptoměn....

Více 0 komentářů

Starší zprávičky

O2 v dalších dvou letech vykoupí až 1,25 % vlastních akcií

ČTK , 14. prosinec 2017 10:00

Cílem nového programu je optimalizace kapitálové struktury, uvedla firma....

Více 0 komentářů

10 spotřebitelských trendů pro rok 2018

Pavel Houser , 14. prosinec 2017 09:00

Sluchátka budeme nosit 24 hodin denně, i během spánku. Umělá inteligence bude vytvářet reklamy. Koli...

Více 0 komentářů

Apple poskytne investici 390 milionů USD firmě Finisar

ČTK , 14. prosinec 2017 08:00

Výrobce optických komponentů Finisar získá investici 390 milionů dolarů od firmy Apple....

Více 0 komentářů

Facebook se chystá danit příjmy z reklamy v jednotlivých zemích

ČTK , 14. prosinec 2017 08:00

Změna se má uskutečnit do poloviny roku 2019 a týkat se bude zhruba 30 zemí, kde má firma kanceláře....

Více 0 komentářů