Podle výsledků několika nezávislých průzkumů analytických a konzultačních společností se potenciální odvety od bývalých zaměstnanců obává až 75 % manažerů. Tímto problémem je zasažený především IT sektor.
Zatímco zaměstnanec, který pracoval ve výrobě nebo logistice, při odchodu z firmy předá čipovou kartu nebo jiný identifikační prostředek, takže na své pracoviště již nemá přístup, pracovníci v IT mohou škodit na dálku. Je mnoho případů, kdy sice zaměstnavatel propuštěnému pracovníkovi IT oddělení zrušil přístupová práva do firemní sítě, ale ten do ní před propuštěním nasadil program na zachycení přístupových jmen a hesel. Tyto údaje následně využil pro přístup do firemní sítě a mohl začít realizovat svůj plán škodlivých akcí. Může používat e-mailové schránky svých kolegů, odstrašovat uchazeče o své místo, sabotovat různé firemní procesy a podobně.
Krádež dat
Průzkumy také ukázaly, že více než 60 % zaměstnanců si z firmy odneslo důležitá data. Nejčastěji uváděnými důvody byla vize jejich využití v novém zaměstnání, využití obchodních kontaktů, využití informací pro vlastní podnikání a také případná pomsta zaměstnavatelům.
Nejatraktivnějšími informacemi jsou databáze obchodních kontaktů a dokumenty. Tyto a mnohé další nekalé praktiky propuštění zaměstnanci mohou činit samozřejmě pouze v případě, pokud jim to nastavení bezpečnostních politik ve firmě dovolí.
Pro ilustraci nastíníme situaci, která je hlavně v malých firmách více než běžná. Pracovník má na svém přenosném počítači, který používá v práci a často si ho bere i domů, nejen aplikace, ale i dokumenty a často dokonce komplexní údaje v lokálních databázích, případně v souborech dokumentů tabulkových procesorů. V lepším případě má zaměstnanec jen dokumenty a údaje, které potřebuje ke své práci, v horším případě postupně shromáždil většinu IT agendy své firmy. Předtím, než předá firemní notebook, si mohl zkopírovat údaje na soukromá paměťová média. Pokud používal v rámci BYOD (Bring Your Own Device) vlastní zařízení, toto mu dokonce zůstane.
Dvousečná legislativa
Ptáte se, co může zaměstnavatel udělat, aby pracovníkovi zabránil tyto údaje zneužít? Odpověď je alarmující: pokud taková situace nastala, snad s výjimkou vyhrožování právními kroky nemůže udělat vůbec nic. Jedinou ochranou je v takovém případě legislativa.
Pokud pracovník údaje svého bývalého zaměstnavatele zneužije a poskytne jejich konkurenci nebo médiím, vystavuje se riziku trestního stíhání. Samozřejmě je to třeba pracně dokázat a ztráta prestiže firmy při takovém procesu, kdy vyjde najevo, že organizace si neumí ochránit svá digitální aktiva, je možná ještě větší než přímá škoda. Legislativa je dokonce dvousečná zbraň, která se v konečném důsledku může obrátit proti zaměstnavateli.
Nespokojený zaměstnanec poskytne některé údaje od svého bývalého zaměstnavatele vyšetřovateli, prokurátorovi, či finančnímu úřadu. Tento scénář je natolik kontroverzní, že ho nebudeme dále ani rozvíjet.
Jak zabránit zneužití dat
Pokud zaměstnavatel podcení prevenci, v okamžiku propuštění zaměstnance je prakticky bezmocný. Jestliže však firma podstoupí důslednou analýzu rizik a přijme důsledné opatření ohledně správy klientských zařízení, nejenže signifikantně sníží riziko odplaty bývalých zaměstnanců, umožní bezproblémové převzetí agendy, ale ve většině případů podstatně zvýší produktivitu.
Důležitý je hlavně audit zabezpečení dat, zejména těch citlivých, jejichž únik by znamenal oslabení firmy v konkurenčním boji. Formy útoků jsou stále sofistikovanější, takže firmy musejí na ochranu vynakládat mnoho úsilí a nákladů.
Problémem je často už samotný odchod
Vážným problémem pro firmu, v níž si každý spravuje svůj počítač sám, může být i odchod pracovníka, který je spokojený a nemá ani v nejmenším úmysl bývalému zaměstnavateli škodit. Problémem je převzetí agendy. I v případě, že byl migrující pracovník svědomitý a pořádkumilovný a má snahu svou agendu zodpovědně odevzdat, bude pro jeho nástupce poměrně velkým problémem se vyznat v organizaci jeho dokumentů a složek na počítači, který po odchozím pracovníkovi „zdědí". Případně tuto agendu dostane jako archiv na nějakém paměťovém médiu nebo v cloudovém úložném prostoru.
Vše na serveru nebo v cloudu
Momentálně nejúčinnějším řešením, jak se vyhnout potenciální pomstě bývalého zaměstnance, je umístit všechny dokumenty a údaje na firemní server, případně do cloudu, ať už privátního nebo veřejného. Každý pracovník by měl mít přístup k údajům a aplikacím pouze v rozsahu, který potřebuje pro výkon své práce. Údaje jsou organizované podle jednotných pravidel, ať už podle projektů, poboček firmy, nebo jiným způsobem, tak aby byla struktura souborů a dokumentů přehledná. Potom při odchodu pracovníka, který tato pravidla dodržoval, nenastane žádný problém. Jeho nástupce, když mu při nástupu tato pravidla vysvětlí, se v agendě rychle zorientuje.
Problém s převzetím agendy je tedy vyřešený, problém případného úniku dokumentů zatím ne. I v případě, že jsou dokumenty uložené ve sdíleném prostoru na firemním serveru nebo v cloudu, je ve většině případů možné (například příkazem „save as" v aplikaci kancelářského balíku) vytvořit lokální kopii dokumentu. Takový postup se využívá třeba v okamžiku, pokud budete potřebovat s dokumentem pracovat off-line, takže dokument si z firemní sítě stáhnete před nastoupením do letadla.
Nejbezpečnější scénář je, pokud jsou na firemním serveru nebo cloudové platformě vytvořené virtuální desktopy VDI (Virtual Desktop Infrastructure), tedy model architektury, ve kterém jsou klientské operační systémy provozované ve virtuálních počítačích a pracovníci k nim přistupují pomocí rozhraní s definovanými oprávněními. Jediným úkolem klientského zařízení je zprostředkovat prezentační rozhraní, tedy přenášet od serveru ke klientovi obsah obrazovky a od klienta povely zadávané uživatelem prostřednictvím klávesnice a myši. VDI tak poskytuje plně funkční a individuálně přizpůsobené pracovní prostředí, přičemž správce si zachovává plnou kontrolu nad virtuálními počítači a aplikacemi. Výhodou je centralizace údajů – jsou bezpečně uložené na centrálním serveru namísto počítačů zaměstnanců.
Nejvyšší úroveň ochrany představují zařízení typu „zero client" čili po našem „nulový klient". Neobsahuje nic z klasické architektury počítače, tabletu ani smartphonu. Nenajdete zde procesor v klasickém pojetí ani operační paměť či disky. Malá a levná krabička obsahuje pouze zákaznický čip schopný zprostředkovat prezentační vrstvu. Vše s výjimkou zobrazování a snímání reakce uživatele přes klávesnici a myš se odehrává na serveru, kde se klientský počítač virtualizuje. Zařízení typu zero client se postupně prosazují hlavně v oblastech, kde je kritickým faktorem bezpečnost. Zdůrazňujeme, že na klientském zařízení se nikdy fyzicky nenacházejí žádné údaje, takže ani jeho případné fyzické odcizení v žádném případě nezpůsobí únik dat.
Virtualizovaná infrastruktura je použitelná pouze přímo ve firmě, pro dynamický byznys, kdy mnoho pracovníků cestuje s notebooky ke klientům či obchodním partnerům, se nehodí, protože je závislá na rychlém a spolehlivém internetovém připojení.
Vynikajícím kompromisem jsou platformy pro sdílení dokumentů, které umožňují i práci off-line a po opětovném připojení k firemní síti či cloudové platformě se dokumenty synchronizují. Abychom nebyli v začarovaném kruhu, kdy si kvůli modernímu a mobilnímu stylu práce může zaměstnanec stáhnout všechny dokumenty, které ho zajímají, je třeba vymezit mu přístup pouze k dokumentům, které ke své práci potřebuje.
Zajímají vás informační technologie a chcete získat nadhled?
Odebírejte náš Newsletter, který posíláme zpravidla dvakrát do měsíce a který obsahuje výběr unikátních článků nejen našich autorů, ale také ze sítě mezinárodního vydavatelství IDG.
» Přihlaste se zdarma! [Odběr můžete kdykoli zrušit]