Podle posledních studií společnosti Kaspersky Lab čelilo ve 2. polovině loňského roku až 40 % firemních počítačů kybernetickým útokům. Hlavním zdrojem hrozeb byl samozřejmě Internet.
Vedle webu představuje v poslední době srovnatelně účinný vektor útoků také e-mail. Bezpečnostní hrozby se však nevyhýbaly ani systémům, které nebyly přímo připojeny k Internetu. Malware se šíří pomocí přenosných paměťových médií a dokáže také vyhledávat nové cíle v rámci vnitřní podnikové sítě. Podniky jsou v poslední době také stále oblíbenějším cílem pro tvůrce ransomwaru. Podvodníci mohou v tomto případě za opětovné zpřístupnění dat (respektive pouhý slib) požadovat mnohem více než v případě koncových uživatelů. Odborníci Kaspersky Lab se setkali i s případy, kdy kybernetičtí zločinci požadovali výkupné vyšší než půl milionu dolarů. Podobně výnosné bývají pro útočníky útoky na dostupnost služby (DDoS). Taková akce může podvodníkům vynést až 10 000 dolarů za den.
I když ochrana dat byla pro podniky klíčová už v minulých letech, dochází nyní navíc k podstatné změně situace. Na úrovni EU byla přijata nová, velmi přísná legislativa, která na jednu stranu zvyšuje kontrolu jednotlivců nad jejich osobními daty, na straně druhé ale znamená pro podniky mnohé povinnosti a v případě jejich porušení hrozí velkými sankcemi. Organizacím, které regulační požadavky nesplní, může být udělena pokuta až 20 milionů euro nebo 4 % ročního obratu společnosti.
Nařízení regulace GDPR (General Data Protection Regulation, Obecné nařízení o ochraně dat) vstoupí v plnou účinnost už v příštím roce. Vztahuje se na všechny provozovatele služeb, kteří zpracovávají osobní data. Tato kategorie je přitom definována velmi přísně, spadá sem i např. e-mailová adresa (ať už soukromá nebo pracovní). Příslušná nařízení se tedy týkají nejen firem, které spravují údaje o svých zaměstnancích, nejen provozovatelů e-shopů a velkých internetových služeb typu Googlu a Facebooku, ale de facto se vztahuje na každého, kdo nějakým způsobem nakládá s osobními daty.
Lidé získávají např. právo na vymazání svých osobních údajů („právo být zapomenut“), stejně jako právo přenášet tyto údaje ve strukturované podobě k dalším službám (např. změna banky, operátora…). Mnohá práva jednotlivců jsou koncipována tak široce, že podniky i provozovatelé služeb mohou čelit velkým rizikům, včetně žalob (z jiných důvodů) nespokojených zaměstnanců a zákazníků. Podniky navíc mají povinnost dokazovat, že příslušná nařízení plní. Ze všech těchto důvodů se GDPR může proměnit v opravdového strašáka a nařízení je třeba věnovat s dostatečným předstihem velkou pozornost. Upravit se zřetelem k GDPR firemní procesy, určit kompetence, eventuálně zadat audity či implementovat nová řešení, která zajistí soulad s těmito předpisy.
Regulace GDPR zavádí i speciální pravidla, jak mají organizace reagovat, pokud zaznamenají únik osobních dat. Řešení McAfee i řešení společnosti Kaspersky Lab, jsou navržena tak, aby podnikům pomáhala úniku dat předcházet. Nabízejí nástroje pro prevenci úniku dat i pro ochranu databází, specializované i komplexní produkty, které pokrývají celý životní cyklus ochrany dat před kybernetickými hrozbami. DataGuard, bezpečnostní divize společnosti PCS, má navíc k dispozici tým expertů, kteří zákazníkům implementaci pravidel GDPR maximálním způsobem usnadní.
Aleš Pikora, ředitel divize DataGuard
PCS, spol. s r.o.