Zaměstnanci mohou být pro firemní síť mnohem větším rizikem, než si je řada správců a zaměstnavatelů ochotna připustit. Potvrzují to i aktuálně publikované statistiky.
Na řádcích těchto pravidelných bezpečnostních komentářů se zpravidla věnujeme bezpečnosti z pohledu koncového uživatele, tedy odpovídající aktuální rizika a hrozby. Tentokrát se však zaměříme na firemní bezpečnost, zabezpečení a nebezpečí firemních sítí. Již delší dobu totiž statistiky ukazují, že největším nebezpečím v tomto ohledu nejsou útoku zvenku, ale přímo z nitra, tedy přímo od zaměstnanců. Na vině může být sázka, zvídavost i cílené zneužití citlivých firemních dat.
Společnost KPMG informovala o zvýšení počtu vnitřních útoků a pokusů o krádeže dat v roce 2009, a to až o polovinu vzhledem k dřívějším obdobím. Počet úniků dat způsobených zaměstnanci stoupl v prvních šesti měsících roku 2009 o více než padesát procent. „Stále více lidí se ocitá v pokušení ukrást svému zaměstnavateli důležitá data. Jedná se o informace, které by mohly být použité při spáchání trestného činu nebo v rámci konkurenčního boje. Zaměstnanci jsou často nejslabším článkem v řetězci a je tedy více než kdy jindy důležité, aby si firma udržela kontrolu nad přístupem k citlivým interním systémům a datům,“ upozorňuje Tomáš Kudělka, senior manager v oddělení poradenských služeb pro informační technologie ve společnosti KPMG Česká republika.
Stále častější krádeže dat jsou jen logickým vyústěním faktu, že firmy informačním technologiím svěřují své nejcennější údaje, které mohou mít vysokou hodnotu. Je pak jedno, jestli je ukradne nespokojený zaměstnanec, přímo konkurence nebo kdokoliv jiný – společnost se musí vypořádat s případně ušlým ziskem. Za únikem dat může stát jak sekretářka, tak nejvyšší manažer, cestičku si lze vždy najít. Hlavním rejdištěm se často stávají sdílené síťové disky, na nichž si uživatelé pletou dočasné temp adresáře se snadno dostupným prostorem pro sdílení i citlivých souborů. Klasický věta „Zkopíruj to tam, já to pak hned smažu“ může často skončit vystavením důležitých souborů celé firmě na očích.
Stejně je tomu například v případě veřejných složek přístupných e-mailem, špatně chráněných kalendářů apod. A nesmíme opomenout ani klasiku: kolik důležitých dokumentů je ve firmě vytištěno a po použití bez skartace vyhozeno. Koše top manažerů mohou každý pracovní den prozradit něco nového. Není divu, že řada cíleného sběru citlivých informací, plánů a firemních rozvah se ven dostává také touto cestou.
Notebooky zdrojem nebezpečí
Vraťme se ale zpět k faktům ze zprávy společnosti KPMG, která se zaměřila také populární krádeže notebooků. Jejich zcizení je i nadále nejběžnějším narušením zabezpečení dat. I přesto se celkový počet těchto incidentů snížil téměř na polovinu oproti roku 2008. Došlo také k významnému poklesu (o dvacet procent) v počtu incidentů způsobených ztrátou přenosných médií (USB klíče, BlackBerry, mobilní telefony atd.). Firmy však tyto případy považují za natolik běžné, že je hlásí pouze v případě mimořádných okolností – například když se ztratí paměťové karty, které obsahují miliony jmen.
„Pokud se jedná o krádeže přenosných zařízení, zločinci se dnes už méně starají o samotné zařízení, ale věnují pozornost datům, která obsahují. Šifrování notebooků a dalších přenosných zařízení by -proto mělo být to nejnutnější minimum. Nicméně průzkum ukazuje, že v roce 2009 nebyla provedena žádná ochranná opatření u nejméně 24 % ztracených či odcizených přenosných zařízení,“ uvádí Tomáš Kudělka.
Notebooky kromě klasické krádeže skrývají také další rizika, jedním z největších je jejich propojení vnějšího světa s vnitřní firemní sítí. Jen málokterý zaměstnanec služební notebook poctivě používá pro práci a dodržuje bezpečnostní politiku – tu se něco stáhne, zkoukne, děcka si něco zahrají. Mimo firemní síť se tak v rámci jiného připojení může do přenosného počítače dostat nejrůznější malware, který pak dokáže po připojení se k firemní síti infikovat další stroje a nadělat řadu vrásek nejen uživatelům, ale také správcům. Stejné, ne-li ještě větší riziko představují i univerzální používané flash disky a externí pevné disky, soukromé notebooky apod.
Jak přísná bezpečnostní pravidla jsou nastolena a (ne)dodržována ve vaší firemní síti? Setkali jste se v ní s větším bezpečnostním problémem, máte přístup k datům, o nichž byste neměli vůbec vědět? Podělte se o své zkušenosti s ostatními čtenáři v diskuzi pod článkem.
