Zabezpečení firemních systémů a spravovaných dat patří dnes mezi nejvyšší priority firem a bezpečnostní řešení ukusují podstatnou část rozpočtů na IT. Celosvětové náklady jsou astronomické a dále výrazně porostou
Před několika dny publikovaná předpověď analytické společnosti Gartner odhaduje pro letošek sedmiprocentní meziroční růst celosvětových nákladů na informační bezpečnost na celkových 86,4 miliardy dolarů. V příštím roce se má po celém světě utratit za zabezpečení podnikových systémů i počítačů koncových uživatelů plných 93 miliard dolarů, a to především za outsourcing zabezpečení IT, řízené služby v oblasti zabezpečení IT, konzultace a implementaci bezpečnostních řešení, stejně jako za ochranu IT infrastruktury, bezpečnostní testy aplikací nebo zabezpečení komunikace. Společně s řešeními pro ochranu uživatelských koncových zařízení (antiviry, firewally ad.) je trh informační bezpečnosti podmnožinou celkového trhu kybernetické bezpečnosti, který podle agentury Gartner dosáhne v následujících pěti letech (2017 až 2021) celkové hodnoty jednoho bilionu amerických dolarů. Trh kybernetického zabezpečení přitom zahrnuje například i biometrické bezpečnostní systémy, řešení pro zabezpečení internetu věcí nebo bezpečnostní systémy pro průmyslové segmenty (automobilový či letecký průmysl ad.) a armádu.
Mezi hlavní příčiny masivních investic do zabezpečení informačních systémů lze počítat především neustále rostoucí riziko útoků. Společnost Accenture v této souvislosti ve svojí studii Building Confidence z roku 2016 uvádí, že 70 procent ze dvou tisíc dotazovaných firem napříč státy a obory považuje bezpečnost za jednu z hlavních priorit, řešených nejvyšším managementem. Svojí bezpečnostní strategii plně důvěřuje 75 procent manažerů odpovědných za kybernetickou bezpečnost ve firmách. V průměru je ale každá z firem vystavena více než stovce kybernetických útoků ročně, z nichž plná třetina skončí úspěšným prolomením zabezpečení firemních IT systémů. To mimochodem znamená dva až tři úspěšné útoky za měsíc. Paradoxní je, že jen necelá třetina (28 procent) firem by investovala další peníze do opatření, která by zmírnila finanční ztráty způsobené kybernetickými útoky, a jen 17 procent firem je ochotno investovat do školení svých zaměstnanců v oblasti kybernetické bezpečnosti.
Poptávka tažená legislativou
Firmy tedy nejsou příliš nakloněny dalšímu zvyšování investic do zabezpečení svých informačních systémů, ale stále častěji jsou k tomu tlačeny legislativou. Velká změna v tomto ohledu nastane nejpozději v příštím roce, kdy vstoupí v platnost nová evropská regulace GDPR (General Data Protection Regulation, tedy Obecné nařízení o ochraně osobních údajů). Český zákon o kybernetické bezpečnosti (zákon č. 181/2014 Sb., platný od 1. ledna 2015) se totiž vztahoval pouze na provozovatele významných informačních systémů a kritických součástí infrastruktury státu. Také pokuty udělované za velké úniky osobních dat zákazníků byly poměrně mírné (z mediálně známých případů vzpomeňme například pokutu ve výši 3,6 milionu korun udělenou české pobočce T-Mobile za únik osobních dat 1,2 milionu klientů).
S nástupem GDPR bude ovšem muset výrazně posílit zabezpečení každý správce osobních dat, včetně malých e-shopů či provozovatelů webových služeb vyžadujících registraci. Podle závažnosti případného narušení ochrany osobních dat a také s ohledem na kvalitu jejich zabezpečení v rámci firemních databází a informačních systémů může být udělena pokuta až do výše 20 milionů eur nebo čtyř procent z celkového ročního obratu společnosti.
Internetový obchodník Mall.cz měl tedy ještě celkem štěstí, že se úroveň jeho zabezpečení zákaznických účtů rozhodli hackeři otestovat už letos v srpnu.
Gartner uvádí, že nástupem GDPR bude v roce 2018 motivováno až 65 procent rozhodnutí o nákupu bezpečnostních řešení na prevenci před ztrátou dat (Data Loss Prevention, DLP). Investovat bude muset ale i řada firem a organizací, které již DLP systémy využívají. Bude totiž třeba rozšířit jejich současné funkce především o nástroje na zjišťování, jaká data jsou v rámci firemních systémů spravována, a jejich klasifikaci, aby bylo možné vyhovět poměrně striktním nárokům GDPR.
Pomáhá cloud a segmentace sítí
Kvalitnější zabezpečení firemních systémů nemusí v každém případě představovat jen zvýšení investic do IT infrastruktury a nákup nových bezpečnostních zařízení nebo softwarových řešení. Podstatné posílení zabezpečení může v některých firmách a organizacích přinést již samotné nastavení a vyžadování striktního dodržování bezpečnostních politik. Mnoho firem a organizací například často ani nemá přehled o nasazených bezpečnostních řešeních, nemluvě o jejich centralizované správě a nepřetržitém monitoringu bezpečnostních hrozeb a pokusů o narušení zabezpečení firemní sítě. Často nejsou nastavena pravidla pro přístup k zařízením, aplikacím a datům nebo politiky pro připojování soukromých zařízení do firemní sítě či naopak používání pracovních zařízení k soukromým účelům. Všechna taková opomenutí mohou již brzy pro firmy znamenat výrazný finanční postih.
Aktuální masivní vlna útoků ransomwaru typu WannaCry, která se rozšířila po celém světě a v menší míře zasáhla i Českou republiku, zase ukázala, jak extrémně je důležité vytvářet si pravidelně zálohy všech důležitých systémů a dat, umístěné ideálně v jiné lokalitě a dostupné pouze ve vysoce zabezpečené dedikované síti. Pokud má firma k dispozici aktuální zálohy, může se relativně rychle a bez vysokých nákladů vypořádat i s tímto typem útoku, který za sebou nechává zašifrovaná, a tedy již trvale nedostupná data.
Svůj význam v souvislosti s ransomwarovými útoky opět potvrdila osvědčená praktika zabezpečení firemní infrastruktury s využitím lokálních virtuálních sítí (Virtual Local Area Network, VLAN).
Menší VLAN sítě, dedikované například pro různé provozní a výrobní aplikace, lze snadněji řídit i zabezpečit a v případě úspěšného útoku lze postižená zařízení rychle izolovat od ostatních, a zajistit tak provozuschopnost klíčové infrastruktury podniku.
Rostoucí množství stále sofistikovanějších kybernetických útoků i zpřísňující se legislativa pomáhají rovněž zrychlit digitální transformaci firem a jejich přechod do cloudu nebo přinejmenším širší nasazení virtualizačních technologií. Především menší firmy budou mít stále větší problém zabezpečit svoji infrastrukturu na špičkové úrovni, a proto se budou častěji obracet na velké poskytovatele cloudových služeb, kterým se, alespoň zatím, zásadní problémy se ztrátou dat a dostupností systémů vyhýbaly. Experti ovšem varují, že právě veřejné cloudové služby, jejichž popularita neustále roste, mohou být dalším cílem útoků. Nicméně hlavní nadnárodní poskytovatelé cloudových řešení mají k dispozici neskonale větší a účinnější prostředky, jak případným útokům čelit. Největší bezpečnostní riziko je tak opět na straně firmy jako uživatele veřejných cloudových služeb, pokud nenastaví a nebude vynucovat jasná bezpečnostní pravidla, jak s cloudovými aplikacemi a daty pracovat.
IT pod kontrolou
Podobně jako GDPR vyžaduje mít pod dokonalou kontrolou všechna osobní data zpracovávaná v rámci podnikových systémů, je pro spolehlivé zabezpečení firemní sítě extrémně důležité získat detailní kontrolu nad všemi systémy a koncovými zařízeními. Tento požadavek se možná v době, kdy jsou zaměstnanci vybaveni často hned několika (mobilními) zařízeními, jeví jako neuskutečnitelný, ale opak je pravdou.
Moderní systémy na správu mobilních zařízení (Mobile Device Management, MDM) mohou spravovat inventář počítačů, smartphonů i tabletů s různými operačními systémy, zabezpečit v nich obsažená data, zajistit bezpečnou, šifrovanou komunikaci s podnikovými systémy a v případě ztráty nebo kompromitace daného zařízení bezpečně smazat jeho obsah. V souvislosti s důrazem kladeným na bezpečnost osobních dat budou MDM řešení bezpochyby nabývat na významu.
Jelikož jsou původci podstatné části úniků citlivých dat sami zaměstnanci (včetně například i zmíněného vynesení zákaznických dat z T-Mobilu), je třeba nejen striktně kontrolovat nakládání s citlivými daty, včetně jejich kopírování, odesílání e-mailem nebo ukládání na externí paměťová média. Slouží k tomu právě výše zmíněné DLP systémy, které klasifikují firemní data a řídí možnosti, jak s nimi nakládat. Pokud danou operaci (například odeslání souboru s citlivými daty e-mailem) rovnou nezastaví, zanechají o ní alespoň záznam.
Za únikem citlivých dat z firmy přitom nemusí být vždy jen špatný úmysl. Lze jmenovat přinejmenším desítky případů, kdy se na veřejně dostupné cloudové službě objevily volně ke stažení důvěrné firemní prezentace, nabídky, rozpočty nebo databáze klientů. Nejčastěji jde o důsledek striktních firemních politik pro nakládání s daty, aniž by byly zaměstnancům poskytnuty snadno použitelné nástroje na bezpečné sdílení dat a týmovou spolupráci. Zaměstnanci pak sami hledají cestu, jak si práci usnadnit, nejčastěji ovšem za použití – po stránce bezpečnosti – zcela nevhodných postupů a nástrojů. Tento velmi nebezpečný fenomén, nazývaný také jako stínové IT (Shadow IT), lze potlačit jen zavedením efektivních nástrojů, určených pro konkrétní potřeby zaměstnanců, se kterými budou umět zaměstnanci zacházet a které jim budou skutečně usnadňovat práci.
O autorovi| Radek Kubeš, spolupracovník redakce
ČLÁNKY DO MAILU