CIO Business World: Jaký je dle vašich zkušeností nejčastější způsob úniku dat z podniků?
Petr Šnajdr: Všeobecně se dá říct, že za většinu úniků dat ve firmách může nepozornost a nedůslednost, v horším případě i záměr zaměstnanců. Často právě zaměstnancům procházejí rukama citlivé údaje a oni ani mnohdy netuší, že jde o důvěrná data a jak s nimi nakládat správným způsobem. Na vině jsou ale i firmy, které své lidi vždy nepoučí o rizicích práce s firemními daty.
Jaký typ úniku obvykle vede k největším škodám?
Nelze jednoznačně říct, který typ útoku vede k největším škodám, ale jsou dvě základní hrozby - zneužití informací získaných pomocí sociálního inženýrství, nebo malware, který například z napadených zařízení získává nebo naopak maže citlivá data.
Jaké typy koncových zařízení jsou podle vašich zkušeností nejhůře zabezpečeny? Na jaká rizika IT a uživatelé nejčastěji zapomínají?
Momentálně nejhůře jsou ve firmách zabezpečena zařízení s mobilními operačními systémy, tedy tablety a chytré telefony. Firmy zatím podceňují rizika související se mobilními zařízeními a často je bohužel ani nevnímají jako potenciální riziko.
Pro tyto přístroje mnoho společností nemá nastavena žádná zvláštní pravidla a směrnice, a nejsou ani chráněna žádným bezpečnostním softwarem. Přitom dnes prostřednictvím mobilů a tabletů přistupujeme k důvěrným firemním informacím, jako jsou interní dokumenty, obchodní databáze a další cenná data.
Setkali jste se v českých podmínkách s nějakými důmyslnými metodami využívání (zneužívání) sociálního inženýrství při zcizování firemních či osobních dat? Pokud ano, popište, o co se jednalo.
Setkali jsme se s tím, že útočník kromě cílených phishingových e-mailů s pomocí zfalšované adresy, použil i fintu po telefonu, kdy se vydával za někoho jiného. V těchto případech útočník využívá zaneprázdněnosti zaměstnanců, kteří včas nepoznají, že osoba na druhém konci linky nemá oprávnění tato data vyžadovat.
V praxi narážíme na to, že tzv. sociotechnici vniknou fyzicky do firmy a položí na stůl v kanceláři flashdisk nebo CD s nějakým atraktivním popiskem, např. „Mzdy – 2. kvartál“. Když ho následně zvědavý zaměstnanec firmy připojí k notebooku, stane se obětí malwarové infekce, pomocí níž útočník ovládne celý počítač nebo dokonce firemní síť.
Dokáže DLP efektivně ochránit i před cíleným pokusem o "vynesení" informací zaměstnancem? Můžete uvést nějaké příklady z praxe? Co riziko, že se uživatelé naučí "dohled" DLP obcházet?
Systém DLP je sice užitečným nástrojem ke snížení rizika, avšak stejně jako se nedá antivirový program považovat za 100% ochranu před malwarem, nedá se plně spolehnout ani na DLP jako ochranu před únikem dat vinou selhání lidského faktoru. Když na to přijde, klíčové údaje si lze i třeba zapamatovat, opsat na papír nebo vyfotit mobilem.
V jaké fázi je podle vás v Česku fenomén BYOD a podpory práce z domova?
Různé průzkumy ukazují, že BYOD se týká už zhruba poloviny českých firem a tento podíl se bude pravděpodobně zvyšovat. Tento trend se k nám sice dostal s mírným zpožděním, ale tuzemské organizace lákají stejně jako v zahraničí hlavně ušetřené náklady za hardware a benefity v podobě možnosti home-office pro zaměstnance.
Rizikem je nedostatečná bezpečnost, za jejíž značnou část přebírá zodpovědnost vlastník notebooku, tabletu nebo smartphonu – tedy zaměstanec. V případě, že dojde k napadení, ztrátě nebo krádeži nedostatečně zabezpečeného přístroje, už nemusí jít pouze o škodu vyčíslenou v tisících korun, ale o ohrožení celé firmy.
Jaký vývoj očekáváte v nadcházejícím roce a jaká hlavní bezpečnostní rizika s ním budou spojena?
Pokud zůstaneme u mobilních hrozeb, čeká nás výhledově pokračování boomu mobilního malware a větší zájem firem i domácností o mobilní bezpečnost. Uvádí se, že jen během prvních tří čtvrtletí roku 2012 vzrostl počet mobilních hrozeb pro operační systém Android ze zhruba 1000 na 30 000, tj. 30krát. Aktuální čísla budou nepochybně ještě řádově vyšší. Příští rok budou ve větší míře ohroženi i uživatelé zařízení Apple, což už napověděl rok 2011.
Zaměřují se vaši zákazníci na aktivní boj se "stínovým IT" (shadow IT)? Jak tento problém řeší, nabízejí například plnohodnotné schválené alternativy?
Existuje několik možností, jak proti Shadow IT efektivně bojovat. K dispozici je řada nástrojů, které dokážou blokovat USB porty a USB zařízení, jež nejsou firemní bezpečnostní politikou schválená. Dnes je tato funkcionalita integrovaná i do antivirových řešení, čímž odpadá nutnost nasazení dalšího řešení pro správu USB disků.
Řada firem dává k dispozici svým zaměstnancům schválené alternativy, které splňují požadavky na bezpečnost, jakými jsou například šifrování, nebo schválená úložiště pro výměnu firemních informací a dat.