Jak se od roku 2018 vyhnout vysokým pokutám za úniky dat?

Zdeněk Bínek, 14. listopad 2016 13:30 0 komentářů
Jak se od roku 2018 vyhnout vysokým pokutám za úniky dat?

V roce 2018 začne platit nová směrnice Evropské unie o ochraně dat. Podle Obecného nařízení pro ochranu údajů v EU (neboli GDPR), budou moci úřady za nedostatečné zabezpečení osobních údajů pokutovat firmy a organizace až do výše 4 % ročního obratu, nejvýše 20 milionu eur. Pro mnohé organizace, zejména z odvětví telekomunikací, energetiky, zdravotnictví, pro všechny e-shopy a mnohé další to bude znamenat nutnost posílení bezpečnosti svých IT systémů. Na co se mají připravit, aby se vyhnuly vysokým pokutám? V této první části se dozvíte, jak firemni data zabezpečit proti únikům.

V první fázi především na zabezpečení svých podnikových sítí proti úniku dat, tj. proti útokům zvenčí i zevnitř, kterými mohou být citlivá data odcizena. Ve druhé fázi pak na zajištění produktivního a přitom dostatečně bezpečného přístupu k firemním datům. Podívejme se nejdříve na první fázi.

Ne nadarmo se traduje, že při dokonalém zabezpečení proti útokům zvenčí nás nakonec překvapí útoky zevnitř. Podle letošního průzkumu GFI Software se nejvíce SMB podniků chce v příštím roce soustředit právě na ochranu koncových bodů (tedy endpoint security), společně s ochranou webového přístupu (36 %). Na pravidelné aktualizace softwaru se pak chce soustředit 27 % a na ochranu elektronické pošty 13 % firem.
Jaké rizikové scénáře v oblasti ochrany osobních údajů hlavně hrozínásledující rizika:

Krádež dat vlastními zaměstnanci

Je překvapující, jak velké množství lidí si při odchodu ze zaměstnání s sebou odnáší citlivá firemní data – podle některých údajů téměř polovina zaměstnanců připouští, že v případě výpovědi by si s sebou při odchodu vzalo důvěrné firemní informace, popř. by si je uložilo pro případ, že by jejich budoucnost ve firmě byla v ohrožení. Řada z nich je ochotna tato data prodat konkurenci či marketingovým agenturám a malér je na světě. Stačí maličkost: USB paměť a nechráněný počítač s přístupem do podnikové sítě. Zabránit takovémuto jednání je možné s využitím specializovaných endpoint security řešení, která umožňují monitorovat a autorizovat přístup ke všem koncovým bodům v počítačové síti. Pokud již ke krádeži dat došlo, pak je možné použít řešení pro správu událostí, jež s pomocí analýzy logů dokáže přesně určit událost a jejího viníka. V případě, že zaměstnanec citlivé údaje posílá ven z firmy elektronickou poštou, je možné to téměř okamžitě či pozdějším dohledáním zjistit s využitím řešení pro archivaci e-mailů.

Externí útoky přes webové rozhraní

Je známo, že zaměstnanci se celý den nevěnují pouze práci, ale občas se také na pracovním webu věnují nepracovním záležitostem. Z pohledu produktivity je to určitě lepší varianta než nepřerušované pracovní vytížení, pokud ovšem zaměstnanci nesurfují polovinu pracovní doby, nestahují objemná videa a především nepřistupují k podezřelým stránkám. Webové rozhraní je velmi populárním kanálem pro dopravu malwarové nákazy do podnikových sítí. Ta je často využívána právě k vyhledávání a odesílání citlivých osobních dat či duševního vlastnictví na jiné servery k jejich zobchodování. Eliminovat toto riziko lze s pomocí specializovaného softwaru pro monitoring webového přístupu.

Útoky vedené elektronickou poštou

Elektronická pošta je stále klíčovým nástrojem každé společnosti. Problémy spojené s fungováním elektronické pošty jsou poměrně časté – odhaduje se, že až třetina všech IT problémů ve firmě se týká e-mailů. V poslední době množství problémů roste s příchodem ransomwarových útoků, jež šifrují data a požadují výkupné. Rizikové e-maily jsou stále rafinovanější a využívají metod sociálního inženýrství, kterému řada nezkušených pracovníků podlehne. Mimochodem, podle nové směrnice GDPR bude muset každá firma ve chvíli, kdy její data někdo zašifruje nevratně, tento případ nahlásit. Proto je vedle klientských antivirů důležité také filtrovat příchozí poštu minimálně od spamů a nejlépe i od malwaru s pomocí řešení umístěného již na firemním poštovním serveru.

Překotné trendy mobility a IoT

V IT bezpečnosti platí více než kde jinde, že dnešní úroveň ochrany dat ještě neznamená, že bude dostačující i zítra. Nové nařízení o ochraně osobních údajů pravděpodobně přiměje řadu společností k vytvoření či posílení své bezpečnostní politiky a k její pravidelné kontrole. Pravidelnou kontrolu je možné provádět manuálně, ale se vzrůstajícím počtem mobilních a v budoucnu také IoT zařízení se manuální kontrola stává prakticky nerealizovatelnou s fatálními následky pro zabezpečení dat. Proto byly vytvořeny systémy pro periodickou kontrolu, skenování zařízení na síti a zjišťování zranitelností, které takovéto kontroly provádí plně automatizovaně, stejně jako pravidelné softwarové aktualizace.

V případě bezpečnostního incidentu firmy doposud počítaly „pouze“ ztráty vzniklé obnovu ztracených dat a maximálně ztrátou obchodního případu. Od roku 2018 přibyde pro běžnou organizaci s obratem 100 milionů korun i hrozba pokuty až 4 milionů Kč – a to není málo peněz.

Autor je ředitelem společnosti Zebra systems, která je výhradním distributorem řešení Acronis a GFI Software na českém a slovenském trhu.


Komentáře

RSS 

Komentujeme

Umělá inteligence rozpoznává tvář zločince

Pavel Houser , 27. červen 2017 12:30
Pavel Houser

Když dnes člověk prohlásí, že rysy tváře souvisejí se zločinností, bude za šarlatána, který chce kří...

Více






Kalendář

25. 06.

29. 06.
Cisco Live 2017
22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
RSS 

Zprávičky

Amazon usnadní službami českým podnikům prodej v zahraničí

ČTK , 28. červen 2017 12:00

České firmy při prodeji v jiných zemích často bojují s bariérami, jako jsou vysoké dopravní náklady ...

Více 0 komentářů

Lenovo představuje nové portfolio datových center

Pavel Houser , 28. červen 2017 10:00

Portfolio produktů ThinkSystem spojuje pod jednotnou značkou servery, úložiště a síťové systémy. ...

Více 0 komentářů

Do systému eReceptů zapojena čtvrtina lékařů a většina lékáren

ČTK , 28. červen 2017 09:00

Od 1. ledna příštího roku bude vydávání elektronických receptů pro všechny lékaře povinné. ...

Více 0 komentářů

Starší zprávičky

Nvidia bude spolupracovat s Volvem a VW na samořízených autech

ČTK , 28. červen 2017 08:00

Volvo hodlá uvést autonomní auta na trh do roku 2021, Audi o rok dříve....

Více 0 komentářů

ČR mezi 10 nejpostiženějšími zeměmi ransomwarového útoku

Pavel Houser , 28. červen 2017 07:00

K aktuálním útokům ransomwarem, který byl zaznamenán nejprve na Ukrajině a v Rusku, začaly vydávat s...

Více 0 komentářů

Hackeři napadli ukrajinské banky a podniky, i ruskou Rosněfť

ČTK , 27. červen 2017 18:27

Ukrajinu dnes zasáhla největší vlna hackerských útoků v historii země, informovalo ukrajinské minist...

Více 0 komentářů

Google dostal od Evropské komise rekordní pokutu 2,4 miliardy eur

ČTK , 27. červen 2017 13:06

Google se musí začít ke konkurenčním srovnávačům cen chovat stejně jako k vlastní službě. ...

Více 1 komentářů