Informační technologie (dále jen IT) jsou dnes pro každou firmu úplnou samozřejmostí. Jejich hlavní přínos spočívá především ve zrychlení firemních procesů a zefektivnění lidských zdrojů. Vzpomenete si ještě, kolik času uplynulo od napsání obchodního dopisu na psacím stroji po jeho doručení adresátovi? Asi ano. Víte ale, jak je dnes vaše firma na službách IT závislá? Právě v dnešním článku se podíváme na problematiku zabezpečení dat ve firmách.
Robert Gogela, Information
Security Senior Consultant,
Asseco Czech Republic
Představte si situaci, že zítra přijdete do práce a z důvodu poruchy IT nebudete schopni vytvořit a odeslat aktuální podklady do výroby. Přemýšleli jste, co budete v takovém případě dělat? Předpokládám, že začnete počítat ztráty a položíte si otázku: „Mohlo se tomu předejít?“
Chyby způsobují vlastní zaměstnanci
V mnoha případech ano, protože naprostá většina problémů v oblasti IT je způsobena pochybením vlastních zaměstnanců nebo firmy, která se o vaše IT stará. Lidský faktor (odborní specialisté, běžní uživatelé) bude vždy rozhodovat o skutečné míře spolehlivosti a bezpečnosti. Ačkoliv většina manažerů průběžně hodnotí ekonomické parametry svých firem, mnohem méně obvyklé je, aby průběžně hodnotili také význam jednotlivých služeb IT pro fungování firmy.
Společnosti si nejsou plně vědomy, které služby IT jsou pro jejich fungování důležité a které méně. Zvládnutí tohoto problému je většinou ponecháno na oddělení IT, které se snaží intuitivně odhadnout, do kterých systémů je potřeba investovat. Jste si ale jisti, že toto oddělení zná vaše skutečné potřeby? Pokud jim říkáte, že všechny provozované aplikace jsou pro vaši firmu stejně kritické, tak si výskytem problémů můžete být prakticky jisti.
Zatímco se firmy v případě svých hlavních podnikatelských aktivit chovají velmi racionálně (počítají náklady a výnosy), tak v případě hodnocení možných rizik převažuje mylný úsudek. Uvedu nejčastěji uváděný příklad mylného hodnocení rizik, a tím je míra rizik letecké a silniční dopravy. Pravděpodobnost, že se stanete obětí letecké nehody je zhruba 1:4 000 000, pokud letíte s renomovanou společností.
Otázka vyhodnocení rizik
U společnosti, která vykazuje častou nehodovost, je riziko o něco vyšší, přesto stále zanedbatelné. Pravděpodobnost, že zahynete v autě, je zhruba 1:300. Při celoživotním řízení auta je samozřejmě ještě vyšší. Přes tato fakta pociťuje většina lidí při létání mnohem větší obavy než při jízdě autem. To se v praxi bohužel projevuje i podstatně měkčími opatřeními bezpečnosti silničního provozu.
Obr. 1 – Podíl výskytu incidentů
Podobně je tomu i při intuitivním hodnocení rizik spojených s provozem IT. Mnoho firem aplikovalo různě nákladné technologie na prevenci před mediálně prezentovanými „katastrofami“ způsobenými počítačovými viry nebo tzv. hackery. Neříkám, že tyto technologie nemají pro váš klidnější spánek význam. Zamysleli jste se ale, jaká je například pravděpodobnost, že vážně onemocní klíčový zaměstnanec vašeho oddělení IT? A jste si jisti, že je ve vaší firmě někdo další se stejnými znalostmi vašich IT systémů, kdo je schopen jej nahradit? Provedli jste alespoň rámcově analýzu možných rizik spojených s provozem IT, odhad jejich pravděpodobností a kalkulace případných obchodních ztrát?
Prevence snižuje možnost hrozeb
Pokud jste na většinu dosud položených otázek odpověděli kladně, pak patříte mezi šťastnou menšinu majitelů, kteří se snaží zvládat možná rizika a závislost své firmy na IT. V opačném případě není důvod k panice, ale je žádoucí se těmito otázkami více zabývat. Cílem zvládnutí bezpečnosti provozovaných IT systémů je zavést preventivní opatření a zajistit jejich provoz tak, aby bylo omezeno působení možných hrozeb a aby byly v maximální možné míře eliminovány škody. Přínos zvládnuté bezpečnosti IT systémů pak spočívá, podobně jako u pojištění, v minimalizaci ztrát při událostech, jako jsou výpadky systému, ztráta dat, prozrazení informací, odliv personálu a podobně.
Obr. 2 – Dopady incidentů na podnikání
Jistě jste si již položili i další otázku: „Jaké jsou nejčastější incidenty bezpečnosti IT?“ Odpověď na ni není úplně jednoduchá. V mnoha zemích, včetně České republiky, se provádějí různé průzkumy, ale jejich vypovídací schopnost je často diskutabilní. Je to způsobeno zejména tím, že žádná firma se nechce „chlubit“ incidenty se závažnými dopady.
Nicméně, všechny průzkumy se shodují na tom, že zhruba 70 – 80 % incidentů je způsobeno nedbalostí nebo z úmyslu vlastních zaměstnanců. V České republice patří k nejčastějším incidentům výpadky napájení a síťové komunikace. Následující grafy uvádějí nejčastější typy incidentů a závažnost dopadů, které byly publikovány v letošním vládním průzkumu stavu informační bezpečnosti firem ve Velké Británii (2008 Information Security Breaches Survey).
O řešení bezpečnosti IT systémů existuje mnoho dostupných informačních zdrojů. Především jsou to katalogy nejlepších praktik a doporučení uznávaných norem, jako např. ISO/IEC 20000, ISO/IEC 27002, ISO/IEC 18028, NIST SP 800-*, OSSTMM nebo OWASP. Určitě není efektivní pokoušet se řešit celou problematiku bez pomoci zkušených specialistů. Skutečné odborníky zpravidla poznáte tak, že vám nebudou nabízet jeden „nejlepší“ produkt, který vše vyřeší, ale budou s vámi podrobně diskutovat potřeby vaší firmy a nabídnou vám variantní řešení „na míru“.
Profil
Robert Gogela pracuje na pozici Information Security Senior Consultant ve společnosti Asseco Czech Republic. Zabývá se problematikou bezpečnosti informačních systémů více než 10 let. Podílel se na realizaci projektu První certifikační autority (I.CA) a na bezpečnostních projektech informačních systémů ministerstva obrany a ministerstva vnitra. Specializuje se na analýzy rizik, vytváření architektur bezpečnosti informačních systémů a zajištění ochrany osobních údajů. Svůj volný čas věnuje cestování, jízdě na kole s přáteli a plavání.