;

Podceňovaná vnitřní hrozba

21. 12. 2007
Doba čtení: 10 minut

Sdílet

Studie společnosti RSA typu “person-on-the-street” odhaluje, jak vypadá dobře míněné zacházení s citlivými daty ze strany firemních a vládních zaměstnanců; studie zdůrazňuje, že je třeba velmi důkladně spravovat rizika spojená s informacemi.

Studie společnosti RSA typu “person-on-the-street” odhaluje, jak vypadá dobře míněné zacházení s citlivými daty ze strany firemních a vládních zaměstnanců; studie zdůrazňuje, že je třeba velmi důkladně spravovat rizika spojená s informacemi.

RSA, bezpečnostní divize EMC, dnes zveřejnila závěry své poslední studie skrytých hrozeb. RSA ji provedlo na začátku listopadu a zkoumala pracovníky firem a vládních institucích v Bostonu a Washingtonu D.C. typem person-on-the-street ohledně jejich bezpečnostního chování a postojích v rámci práce. Výsledek nabízí pohled na každodenní jednání důvěryhodných osob uvnitř institucí, které mají přístup k důvěrným datům, jako jsou informace o zákaznících, čísla sociálního pojištění, data o kreditních kartách, finanční a intelektuální zdroje firem.

Skutečná hrozba u zaměstnanců spočívá v každodenních událostech

Výsledek studie zdůrazňuje, že rizika spojená s bezpečností dat ze strany personálu firem (zaměstnanci, dodavatelé, smluvní strany, partneři, návštěvníci a konzultanti, kteří mají fyzický a/nebo logický přístup ke zdrojům organizace), i přes jejich dobré úmysly, musejí být řízená stejně důkladně jako u těch, kteří záměrně zneužívají důvěrná data za účelem finančního zisku nebo k dalším kriminálním motivům. Výše zmínění „nevinní“ zaměstnanci mohou bezděčně vytvářet neuvěřitelné hrozby pro data, které mohou stát velké peníze, a to prostřednictvím svého běžného každodenního chování. Může jít o nedbalost, obcházení bezpečnostních opatření nebo tím, že se řídí nedostatečnými bezpečnostními pravidly.

Zaměstnanci potřebují technologii a bezpečností pravidla, která odpovídají potřebám jejich podnikání

Výsledky studie ukazují, že důvěryhodní zaměstnanci obcházejí nepraktická bezpečnostní opatření, aby mohli svou práci odvést. Například ti zaměstnanci, kteří nemají vzdálený přístup, mohou dokument odeslat na svou soukromou e-mailovou adresu, aby na něm mohli pracovat doma – což porušuje bezpečnostní pravidla většiny firem. Studie zjistila, že:

  • 35 % respondentů má pocit, že musejí obejít zavedená bezpečnostní pravidla a postupy, aby mohli svou práci vůbec dělat
  • 63 % respondentů často nebo někdy posílá pracovní dokumenty na své soukromé e-mailové adresy, aby se k nim mohli dostat z domova.

Když důvěryhodní zaměstnanci obcházejí bezpečnostní pravidla, většinou nechtějí způsobit žádné problémy. Bez ohledu na jejich záměry mohou ale ohrozit důvěrná data, a tak vystavit organizaci - a případně i zákazníky - zbytečnému riziku. Organizace mohou toto riziko zmírnit, když vytvoří pravidla soustředěná na informace, která berou v potaz potřeby a skutečnosti podnikání a přizpůsobí se jim. Jakmile jsou taková pravidla nastolena, firmy by měly pravidelně porovnávat skutečné chování uživatelů a stanovená pravidla, získané znalosti by pak měly použít k chytrým úpravám pravidel tak, aby minimalizovaly rizika a maximalizovat produktivitu firmy. Když je bezpečnost pro uživatele co nejkomfortnější, méně pravděpodobně pak budou bezpečnostní pravidla obcházet.

Zaměstnanci se spoléhají na vzdálený přístup k důvěrným informacím

Není překvapivé, že výsledky studie tvrdí, že zaměstnanci se spoléhají na vzdálený přístup k firemním informacím, když jsou na cestách, čekají na letištích nebo pracují v kavárně:
  • 87 % respondentů často nebo někdy pracuje vzdáleně přes virtuální soukromou síť (VPN) nebo webový e-mail.
  • 56 % respondentů často nebo někdy přistupuje ke svému pracovnímu e-mailu prostřednictvím veřejné bezdrátové sítě (například bezdrátové připojení k internetu v kavárně, na letišti nebo v hotelu)
  • 52 % respondentů často nebo někdy přistupuje ke svému pracovnímu emailu pomocí veřejného počítače (například počítač v internetové kavárně, přístupu na letišti nebo v hotelu).

Vzdálený přístup k důvěrným datům vyžaduje silnější autentikaci než uživatelské jméno a heslo – které může být jednoduše a rychle prolomeno. Firmy mohou zachovat svou flexibilitu vzdáleného přístupu a zároveň ochránit důvěrné informace díky dvoufaktorové autentikaci VPN a webmailu. Firmy mohou navíc snížit riziko ztráty dat v mobilních prostředích, když vytvoří, budou monitorovat a prosazovat pravidla zaměřená na informace.

“Organizace musejí pochopit jednotlivé typy informací, ke kterým jejich zaměstnanci a další spolupracovníci potřebují přistupovat, potom určit důvěrnost této informace a ochránit je bezpečnostními pravidly, která jsou přiměřená s nimi spojeným rizikům,“ řekl Sam Curry, viceprezident divize správy a marketingu RSA. “Dobře chráněná informace je takový zdroj, který dává jednotlivým zaměstnancům a firmám důvěru k tomu, aby mohli dosáhnout větších úspěchů.”

Aby mohli zaměstnanci využít informací, musejí být informace volně přenositelné

Závěry studie ilustrují, že k tomu, aby byli zaměstnanci co nejproduktivnější a informace měla co největší hodnotu, je třeba, aby bylo s informacemi možno volně nakládat a přesunovat je:
  • 65 % respondentů často nebo někdy od svého stolu odchází a v ruce drží mobilní zařízení, jako je laptop, smartphone a/nebo USB flash disk, na kterých jsou uloženy důvěrné informace vztahující se k jejich práci (např. Data o zákaznících, jedinečné identifikační znaky jako číslo sociálního pojištění, finanční data podniku, data o kreditních kartách a informace důležité pro konkurenceschopnost, jako jsou návrhy produktů).
  • 8 % respondentů někdy ztratilo laptop, smartphone a/nebo USB flash disk s firemními nebo korporátními daty.

Pro připravenost podnikání je nezbytná mobilita, ale nechráněné informace – ať již uložené, v pohybu nebo používané – rizika zvyšují. Organizace mohou rizika snížit, když minimalizují rizika snížením využití důvěrných a jedinečných identifikačních znaků, ať již jsou kdekoliv: využívaná jednotlivými uživateli, uložená v korporátních systémových souborech a přenášená napříč firemními i nefiremními sítěmi. Firmy mohou také uvážit vytvoření automatické kontroly a vynucených akcí – schválit, auditovat, zrušit, dát do karantény nebo zašifrovat přenos – podle důvěrnosti dat.

Zaměstnanci si navzájem věří

Pro celkovou bezpečnost je naprosto nezbytná fyzická bezpečnost, a přesto RSA v rámci studie zjistila, že lidé někdy otevírají doširoka dveře (a bezdrátové sítě). Studie odhalila, že:
  • 34 % respondentů podrželo bezpečnostní dveře v práci pro někoho, koho neznali.
  • 40 % respondentů, když si zapomnělo vstupní kartu nebo klíč, pustil do práce někdo, kdo je neznal.
  • 66 % respondentů zaměstnaných ve velkých firmách (enterprise respondents) uvedlo, že jejich podnik nabízí interní bezdrátovou síť v konferenční místnosti a kancelářích pro hosty. 19 % respondentů z těch, kteří takovouto bezdrátovou síť mají, přiznalo, že přístup k síti je naprosto otevřený a není třeba žádné oprávnění.

Pravidla pro fyzický přístup nejsou vždy odpovídající, aby zaručila, že se do budovy dostanou jen oprávněné osoby (zaměstnanci a spolupracovníci). A i když jsou pravidla pro kontrolu fyzického přístupu dodržována, ne všichni s oprávněným přístupem do budovy by měli mít nezbytně přístup k firemním informacím. Aby se minimalizovala rizika, kontrola fyzického přístupu by měla být doplněna kontrolou logického přístupu. Organizace mohou svá důvěrná data chránit implementací dvoufaktorové autentikace na vnitřní bezdrátové sítě, počítače, domény, porty a aplikace a když budou prosazovat kontrolu dovoleného přístupu.

Role zaměstnanců se často mění

Firmy se neustále mění. Každý den se transformují role v rámci podniku, konzultanti a dodavatelé přicházejí a zase odcházejí. Studie nám sděluje, že bezpečnost někdy s těmito změnami nedrží krok:
  • 33 % respondentů změnilo práci v rámci podniku a stále měli přístup k účtům/zdrojům, které již nepotřebovali
  • 72 % účastníků výzkumu uvedlo, že jejich firma/organizace zaměstnává brigádníky a/nebo dodavatele, kteří potřebují přístup k zásadním firemním organizacím a systémům. Necelá čtvrtina (23 %) respondentů se dostala do takové oblasti firemní sítě, do které by podle svého názoru neměla mít přístup.

Přístup k vysoce důvěrným datům nebo jedinečným identifikačním údajům by měl být omezen jen na ty osoby, které je skutečně potřebují znát. Firma může takto snížit rizika zneužití, když ke kritickým informacím umožní přístup založený na pracovní zařazení zaměstnanců. Firmy by měly zajistit, že změna pracovní pozice – včetně dodavatelů a konzultantů – se neprodleně odrazí ve změně přístupových práv. Nakonec by měly firmy snížit informační rizika centrální a pevnou správou zaměstnaneckých účtů (insider credentials), včetně uživatelských jmen a hesel, jednorázových hesel a digitálních certifikátů, a vytvořením hlídacích aplikací (watch lists), které sledují a hlásí pokusy o neschválené připojení.

“Holistická bezpečnostní strategie, která je zaměřená na osoby, bere v potaz lidi, procesy a technologie a zahrnuje mechanismus zpětné vazby,“ řekl Christopher Young, viceprezident a hlavní ředitel skupiny pro identitu a zajištění přístupu RSA. “Dnes už nestačí stanovit pravidla; je potřeba měřit a porovnávat skutečné jednání zaměstnanců a daná pravidla. Jen tak je možné zaručit, že bezpečnost a podnikání jsou jednotné.“

O společnosti RSA

RSA, Divize bezpečnosti EMC, je expertem v oblasti bezpečnosti zaměřené na informace a umožňuje ochranu informací po celou dobu jejich životního cyklu. RSA umožňuje zákazníkům finančně výhodně zajistit své klíčové informační zdroje a online identity, bez ohledu na jejich umístění a během každého kroku. Zákazníci mohou díky produktům RSA spravovat bezpečnost informací a s nimi spojených událostí, a tak snížit náročnost kompatibility.

Autor článku