CIO Business World: Jaký je dle vašich zkušeností nejčastější způsob úniku dat z podniků?
Čestmír Gracias: K nejčastějšímu úniku informací obvykle dochází „mezi klávesnicí a židlí“, a to neúmyslně z neznalosti nebo jen díky částečné znalosti souvislostí. Prostřednictvím ICT v menší míře, obvykle ztrátou nezabezpečeného koncového zařízení. Záměrné útoky bývají méně časté, ale dobře připravené, propracovanější a tedy i účinnější.
Jaký typ úniku obvykle vede k největším škodám?
Neúmyslný unik dat může způsobit cílenou poptávku po klíčové informaci a definuje její cenu. Ta napovídá, jaká škoda, kdy a komu může být způsobena. Poptávka má nejčastěji finanční nebo mocenskou motivaci.
Značné škody nemusí způsobovat jen úniky dat, ale také nedostupnost služeb.
Uvědomme si, jak v posledních letech vzrostla naše závislost na dostupnosti a kvalitě spojení. Pokud nedostupnost služby nebude způsobena aktivitami různých uskupení zabývajících se nelegálními informačními operacemi nebo kybernetickými útoky, může být způsobena jiným globálnějším objektivním vlivem.
Sluneční aktivita má své výkyvy. Pravděpodobnost ochromení komunikačních zařízení nebo poškození/zničení koncových zařízení není v tomto případě nulová. Položme si otázku, kolik elektronických zařízení je konstrukčně chráněno, aby ve zdraví odolalo takovému efektu? Odpověď ani nemusíme hledat.
Jaké typy koncových zařízení jsou podle vašich zkušeností nejhůře zabezpečeny? Na jaká rizika IT a uživatelé nejčastěji zapomínají?
Nezáleží příliš na tom, o jaké typy koncových zařízení se jedná, či jak lépe či hůře zabezpečená jsou. Uživatel obvykle absolvuje řadu bezpečnostních školení z oblasti ICT. Pod tlakem času, úkolů a jiných okolností pro dosažení cíle abstrahuje od bezpečnostních návyků a doporučení a tím zvyšuje riziko hrozby i na poměrně dobře zabezpečeném koncovém zařízení.
Setkali jste se v českých podmínkách s nějakými důmyslnými metodami využívání (zneužívání) sociálního inženýrství při zcizování firemních či osobních dat? Pokud ano, popište, o co se jednalo.
Sociální inženýrství je efektivní metoda získávání informací. Pokud je aplikována prostřednictvím ICT, je neosobní, umožňuje dlouhodobější přípravu a stylizaci a je tak i účinnější. Kevin Mitnick dopracoval sociální inženýrství prostřednictvím ICT téměř k dokonalosti. Jeho knižně zpracovaný životní příběh „Umění klamu“ poskytuje pozornému čtenáři mnoho návodů, jak se bránit, ale i jak dosáhnout zcizení dat z vytčeného cíle.
Záleží na úhlu pohledu. Některé způsoby odcizení dat jsou systémové a systematické. Pokud někdy najdeme čas a přečteme si licenční ujednání při instalaci různých standardních aplikací na své koncové zařízení, zjistíme v některých případech, že naše data uložená v cloudu nepatří z principu jen nám. Nárok na ně má i provozovatel cloudu, potažmo nějaká třetí strana.
Dokáže DLP efektivně ochránit i před cíleným pokusem o "vynesení" informací zaměstnancem? Můžete uvést nějaké příklady z praxe? Co riziko, že se uživatelé naučí "dohled" DLP obcházet?
Data Loss Prevention může být pro ochranu před vynesením informací podmínka nutná, nikoliv postačující. ICT nebyl, není a nebude exkluzivní zdroj úniku informací.
V jaké fázi je podle vás v česku fenomén BYOD a podpory práce z domova?
Bring Your Own Device je realita. Nejedná se jen o „nově používané zaklínadlo“. Nevhodně nebo částečně aplikovaná integrace BYOD do podnikového prostředí je reálné riziko. Práce v podniku na BYOD nebo práce z domova má společný jmenovatel, a to rozumné oddělení soukromého a podnikového světa pomocí jednoznačného provozního a technického zabezpečení neovlivnitelného uživatelem. Směrnice v tomto případě příliš mnoho nevyřeší.
Jaký vývoj očekáváte v nadcházejícím roce a jaká hlavní bezpečnostní rizika s ním budou spojena?
V nadcházejícím roce, resp. letech následujících, bude narůstat trend zvyšování nároků na uživatele. Více úkolů ve stejném čase. ICT je jedním z východisek pro zvládnutí takového trendu. Heterogenní ICT donutí uživatele porozumět základním principům používání, bezpečnostní aspekty však budou více a více na okraji zájmu uživatele.
Zaměřují se vaši zákazníci na aktivní boj se "stínovým IT" (shadow IT)? Jak tento problém řeší, nabízejí například plnohodnotné schválené alternativy?
Dobře navržená bezpečnostní politika, aktuální analýza rizik, funkční správa a bezpečnostní správa a účinné proškolení zaměstnanců jsou poměrně dobrou zárukou toho, že podnikové ICT může mít dobrý přehled o tom, co se nachází a odehrává v podnikovém perimetru.
Pokud shadow IT vzniká v podniku proto, že vnitřní ICT nemá zdroje pokrýt vnitřní požadavky, pak spíše dříve než později nastává nedostatek zdrojů na straně „provozovatele“ shadow IT a obvykle následuje převedení takového shadow IT do standardního prostředí vnitřního ICT.
PŘEDPLATNÉ
ČLÁNKY DO MAILU