Ochrana podnikových dat je pro management a firemní IT oddělení konstantním požadavkem, důrazy se však samozřejmě proměňují s tím, jak se vyvíjejí hrozby, podnikatelská rizika i regulační požadavky. Zatímco například bankovní malware, průmyslová špionáž nebo hacktivismus představují v tuto chvíli evergreeny, internetoví zločinci mají současně i nové favorizované metody.
Velice rozšířeným trendem se stává ransomware, tedy malware určený k vydírání obětí. Ačkoliv mnohé metody jeho šíření působí až dětinsky, neznamená to, že by podniky byly těchto hrozeb ušetřeny. Prostředky, jimiž lze uživatele přimět k instalaci škodlivého programu, jsou velmi různorodé – jak se prokázalo, instituce v USA byly již ochotné zaplatit vyděračům za to, že jim opět umožní přístup k zašifrovaným datům. Tento typ podvodů s sebou navíc nese další rizika. Při platbě vyděrači může oběť utrpět další škodu. Navíc nikde není zaručeno, že po zaplacení výpalného budou data odemčena. Podnikům lze v této souvislosti doporučit především důsledné zálohování dat. Vhodně nastavené politiky zálohování a obnovy mohou problém ransomwaru do značné míry eliminovat, aniž by bylo třeba spoléhat na to, že zaměstnanci nekliknou, kam nemají.
Bitcoin a ti druzí
Velký zájem podvodníků dnes také přitahují alternativní měny typu bitcoinu. Podle některých studií jsou dnes programy pro „těžbu“ těchto měn vůbec nejrozšířenějším malwarem. Stačí sledovat pravidelné měsíční statistiky, které zveřejňuje společnost Eset na základě své sítě ThreatSense.Net. Tento problém zasahuje stejně tak koncové uživatele jako firmy, jde prostě o zneužití výpočetního výkonu. Příslušná kriminalita je z hlediska oběti relativně neškodná, protože útočník parazituje pouze na účtech za spotřebovanou energii a opotřebování hardwaru. Na druhé straně však tyto programy není lehké odhalit. Už se objevily i pokusy vytvářet botnety těžící virtuální měny pomocí kompromitovaných mobilních telefonů a ani výkon těchto zařízení není už pro podvodníky zanedbatelný.
Ani podvody spojené s internet bankingem se netýkají jen koncových uživatelů, ohrožují i podniky. Obecně dnes platí, že veškeré nástroje ze světa PC se podvodníci snaží portovat i na mobilní zařízení. Trend BYOD je realitou, nicméně podniky by si měly uvědomit, že právě zde se nachází možné slabé místo zabezpečení citlivých dat. Mobilní zařízení bývají ve větší míře ztrácena/odcizena, nejsou standardně vybavena ani základním bezpečnostním softwarem ve formě antiviru. Riziko představuje i fakt, že mobilní zařízení se běžně užívají jako nezávislý kanál pro autorizaci, např. právě internetového bankovnictví.
Cloud a virtualizace
Bezpochyby významné trendy ve firemním IT dnes představuje cloud a virtualizace. Zatímco bezpečnostní rizika cloudu jsou zmiňována velmi často, druhý případ se poněkud opomíjí. Virtualizace totiž přinese maximální přínos pouze při nasazení vhodných nástrojů. Nemoderní bezpečnostní řešení určená pro ochranu fyzických zařízení mívají ve virtualizovaném prostředí velkou režii výkonu, což zbavuje novou architekturu jedné z jejích hlavních výhod. Při nasazování i provozu virtualizované infrastruktury je třeba věnovat pozornost tomu, aby požadavky na zabezpečení a výkon byly sladěny.
Hrozbou může být také Internet věcí
Na úrovni podnikového IT by se neměl opomíjet ani trend Internetu věcí. Studie společnosti Fortinet Internet of Things: Connected Home (Internet věcí: Propojená domácnost) byla sice zaměřena na domácnosti, nicméně mnohé z jejích závěrů platí i pro firemní uživatele. Mnohé firmy ze segmentu SOHO a malé společnosti vesměs spoléhají na to, že jim router zabezpečí poskytovatel Internetu. Při výběru zařízení by se zákazníci měli rozhodně zajímat, jak prodejce či výrobce hodlá poskytovat bezpečnostní záplaty, jakým způsobem je u zařízení řešena vzdálená správa (což má často povahu zadních vrátek potenciálně umožňujících i neautorizovaný přístup). Nejde ovšem jen o routery. Podle řady studií představují srovnatelné riziko i síťová úložná zařízení NAS (network-attached storage). Analytik společnosti Kaspersky Lab David Jacoby odhalil velké množství jednoduše zneužitelných zranitelností v domácích zařízeních. Naneštěstí obdobné systémy NAS se používají i v podnikové sféře.
Na závěr informace důležitá speciálně pro Českou republiku: od příštího roku má vstoupit v platnost zákon o kybernetické bezpečnosti. Ve skutečnosti v tuto chvíli nevíme, do kdy bude třeba splnit požadavky nové legislativy např. na ochranu dat o zákaznících, nicméně zejména velkým podnikům se rozhodně vyplatí věnovat pozornost i této záležitosti s dostatečným předstihem.
