„Krádeží cenných dat se snaží zaměstnanci zvýšit svoji hodnotu na trhu práce. I jinak loajální zaměstnanci mají tendenci si z firmy odnést informace, které by mohly být pro potenciálního zaměstnavatele zajímavé," varoval Petr Hněvkovský, bezpečnostní specialista technologické společnosti S&T CZ.
Fakt, že stále větší množství zaměstnanců přistupuje k firemním datům s cílem je ukrást, potvrzuje i průzkum společnosti McAfee. Podle něj 42 procent respondentů pokládá odcházející zaměstnance za největší ohrožení citlivých firemních dat. Riziko navíc představují i zaměstnanci, jimž reálně propuštění nehrozí: „Ti si vytvářejí často pouze ‚pojistku' pro případ, že by si museli hledat nové místo. Kromě zaměstnanců mají mnohdy k citlivým firemním datům přístup i třetí strany, které mohou mít stejnou motivaci či eminentní zájem o krádež dat," řekl Vladimír Brož, ředitel české a slovenské pobočky společnosti McAfee.
Ukradená data stojí firmy miliony korun
Nechráněná citlivá data jsou v době recese tikající bombou, která může přijít firmy velmi draho. Průměrná roční ztráta firem vyplývající z narušení duševního vlastnictví byla v průzkumu společnosti McAfee stanovena na 88,3 milionu korun (4,6 mil. USD). Uvědomují si to i samy firmy, ale jen málo jich pro nápravu něco dělá. „39 procentzranitelnější než dříve. Nicméně jen málo z nich věnuje na zabezpečení adekvátní množství prostředků," respondentů je přesvědčeno, že životně důležité informace jsou v současné ekonomické situaci řekl Vladimír Brož ze společnosti McAfee. Například v Británii 44 procent dotazovaných firem věnuje na zabezpečení méně než 5 procent z celkového rozpočtu na IT.
V Česku není situace o nic lepší. Podle technologické společnosti S&T CZ zájem o zabezpečovací technologie sice meziročně vzrostl o 43 procent, ale bezpečnostní opatření jsou často neadekvátní. „Loni byl zájem zejména ze strany větších firem, letos se o bezpečnostní technologie zajímají i firmy střední. Nicméně v mnoha firmách jde jen o základní ochranu proti narušení zvenčí, která neřeší zneužití dat uvnitř firmy. Interní zneužití dat je ve skutečnosti mnohem jednodušší, a proto je i nejčastějším způsobem úniku citlivých informací," vysvětlil Petr Hněvkovský ze společnosti S&T CZ.
Zloděje chytnou speciální „detektivní" systémy
Úniky citlivých firemních dat hrozí ve všech oborech. Jedinou ochranou je dodržování jednotné bezpečnostní politiky: to znamená vytvořit ve firmě prostředí, které únik dat znesnadňuje a upozorňuje na možná bezpečnostní rizika. Příkladem může být šifrování citlivých dokumentů, které umožňuje přístup jen klíčovým zaměstnancům. „V okamžiku odchodu zaměstnance se jeho šifrovací certifikát stává nefunkčním a dokument již neotevře ani na soukromém počítači. Dokumenty jsou totiž zašifrovány tak, že pro jejich otevření je třeba on-line ověření v centrální databázi," řekl Petr Hněvkovský ze společnosti S&T CZ. Samo šifrování však nestačí, důležité je odhalit možné úniky dat v okamžiku, kdy k nim dochází, či krádeži dokonce předejít.
Chytnout zloděje za ruku či ho odpojit od sítě umožňují speciální „detektivní" systémy, které umějí rozeznat nestandardní chování zaměstnanců. Je-li někdo ve výpovědi či se chystá firmu brzy opustit, obvykle se jeho snaha neodejít s prázdnou projeví na jeho chování. „Dotyčný zůstává déle v práci či pracuje i o víkendech, stahuje nezvyklé objemy dat, přistupuje k citlivým datům či otevírá dokumenty, které ho dříve nezajímaly. Pokud tuto změnu chování systém zaznamená, ihned na možný únik dat upozorní a zablokuje přístupy k datům," řekl bezpečnostní specialista Petr Hněvkovský ze společnosti S&T CZ. Už jen fakt, že zaměstnanci vědí, že data jsou takto hlídána, může potenciální zloděje odradit.
Drakonická bezpečnostní politika se často míjí účinkem
Úniku dat z firmy se lze bránit i různými restrikcemi zaměřenými zejména na přenos dat. Na kapesní pevný disk či datovou klíčenku lze totiž přes port USB snadno nahrát gigabity dat. Některé společnosti proto preventivně zamykají porty USB a mechaniky CD/DVD, jiné monitorují obsah veškerých tištěných dokumentů. Extrémem může být nařízení, že veškerá e-mailová komunikace musí být dávána na vědomí nadřízenému. „Takovéto drastické postupy se ale výrazně prodraží v důsledku ztráty efektivity práce. Mnohem vhodnější cestou je dobře navržená a vynucovaná bezpečnostní politika s použitím vhodných bezpečnostních řešení," vysvětlil Vladimír Brož, ředitel české pobočky společnosti McAfee.
Drakonická bezpečnostní opatření mohou mít navíc úplně opačný efekt. Složitá a invazivní opatření, která uživatele brzdí v práci či ho jinak obtěžují, jsou totiž často obcházena. „Hlavně manažeři, kteří představují největší bezpečnostní riziko, si hledají cesty, jak pro sebe získat výjimku či opatření obejít. Bezpečnostní řešení proto musí být co nejméně viditelná, aby lidi neobtěžovala," doporučil bezpečnostní specialista Petr Hněvkovský ze společnosti S&T CZ.
Málo mediálních kauz ukolébává k nečinnosti
Nejen v českých médiích chybějí zprávy o konkrétních případech, kdy zanedbání IT bezpečnosti způsobilo konkrétní firmě škody - ztrátu důležitých informací, firemního adresáře kontaktů, údajů o probíhajícím výběrovém řízení a podobně. „Je to pochopitelné, protože žádná firma se nebude chlubit tím, jak bezpečnost podcenila," řekl Petr Hněvkovský ze společnosti S&T CZ.
Výjimkou jsou občasné případy phishingu, tedy podvodné získání informací o klientech bank. Pak ale může vzniknout mylný dojem, že rizika jsou nízká. „Manažeři pak čtou jen o abstraktních škodách za miliardy, jež prý viry, červy, krádeže dat a podobně po celém světě způsobily. Mají falešný pocit bezpečí," uzavřel bezpečnostní specialista Petr Hněvkovský ze společnosti S&T CZ.
Finanční dopady porušení bezpečnosti jsou přitom nemalé. Společnost McAfee odhaduje, že škody způsobené ztrátou dat loni v celosvětovém měřítku dosáhly výše jednoho bilionu dolarů. Jde přitom prý jen o konzervativní dohad.