Více než polovina českých firem není spokojena s ochranou dat, většina z nich s tím ale nic nedělá
Pohozené vytištěné stránky, špatně odeslaný e-mail, ztracený flash disk nebo ukradený notebook. Citlivá data mohou uniknout všelijak a hrozí to všem společnostem bez ohledu na jejich velikost. Přesto třetina českých firem nemá stanovená pravidla pro práci s citlivými údaji a 38 procent společností nesleduje, co se s takovými daty děje. I když více než polovina firem není se svým zabezpečením spokojená, tři čtvrtiny z nich s tím neplánují nic dělat. Ukazuje to průzkum společnosti Safetica uspořádaný ve spolupráci s odborným partnerem Unie středních a malých podniků mezi 750 tuzemskými společnostmi, jehož výsledky poskytla týdeníku Euro.
„Dopady úniků dat mohou být různé, od těch menších až k těm nejhorším průšvihům. Menší incidenty jsou spojeny především s velkými finančními ztrátami pro danou společnost.
Nejhoršími jsou pak trvalé poškození dobrého jména a následný bankrot společnosti.
Často se to stává v případech, kdy společnost například ztratí klíčové lidi, kteří si odnesou citlivé informace. Tito lidé založí konkurenční společnosti, přetáhnou zákazníky a původní firma potom mnohdy skončí,“ uvádí Jakub Mahdal, šéf společnosti Safetica Technologies, která se prevenci úniků dat věnuje. Inspirace ze Západu Podniky se úniky dat nechlubí, jde přece jen obvykle o jejich selhání a v sázce jsou vztahy s obchodními partnery. Přesto by zveřejňování podobných událostí prospělo. Zvlášť proto, že by vedení tuzemských společností kladlo větší důraz na prevenci. V Česku je totiž obvyklé, že firmy začnou bezpečnost řešit, až když k úniku citlivých informací dojde.
Větší pozor už si dávají mimo jiné na ministerstvu školství. Ke konci roku 2011 se kvůli chybě úřednice dostala na internet jména bezmála 900 znevýhodněných romských studentů, kteří byli při studiu podporováni dotacemi. Vzhledem k tomu, že součástí dat byly i citlivé informace, hrozila ministerstvu pokuta až deset milionů korun. Úřad pro ochranu osobních údajů nakonec v polovině loňského roku vyměřil pokutu 450 tisíc korun.
„Životy 2200 lidí jsou veřejně přístupné na internetu a kdokoli může získat všechny jejich osobní údaje. Jména, data, adresy, e-maily, telefonní čísla, jejich kompletní životopisy, kde studovali, kde pracovali. A to pomocí pár kliknutí myší,“ takovým způsobem upozornila na únik dalších citlivých dat skupina Anonymous v březnu loňského roku.
Stalo se to slovenské finanční skupině Penta, přes jejíž web se daly téměř rok objevit životopisy lidí ze Slovenska, Polska i Česka, kteří se ve skupině ucházeli o zaměstnání.
Podle zástupců Penty, která byla tehdy propírána v tisku i kvůli zapletení do korupční kauzy Gorila (Euro 3/2012), za to mohla externí firma, jež spravovala webové stránky.
Jak ukazují zmíněné příklady, IT bezpečnost nestojí jen na ochraně proti útokům zvenčí, které provádí mimo jiné hackerská skupina Anonymous. „Bohužel žijeme v zemi, kde bylo a stále je normální krást. Zvláště pokud se jedná o něco tak nehmotného, jako jsou firemní informace. Je možné, že vedení firem s něčím takovým počítá jako s nevyhnutelnou součástí podnikání. Moje zkušenost je, že vám do očí tvrdí, že se proti tomu ani nelze bránit. Druhým a neméně důležitým faktorem je tedy celková nízká informovanost o možnostech zabezpečení, která se směrem na západ zlepšuje, a tento trend nyní přichází i k nám,“ komentuje česká specifika Mahdal.
Zloději mezi námi Při únicích dat se často jedná o „práci“ někoho ze zaměstnanců nebo externích spolupracovníků. Pak už je v podstatě jedno, jestli jde o omyl, nebo o úmysl. I když některé takové příklady jsou obzvláště vypečené.
„Setkal jsem se v praxi s tím, že IT pracovník napomáhal ochotně spolupracovníkům se závěrečnou finalizací nabídek pro tendry a jejich cenu okamžitě prodával konkurenčním společnostem. Kdyby se s tím nepochlubil při svém odchodu z pracovní pozice, společnost by dodnes nevěděla, proč stále prohrává výběrová řízení o pár korun,“ vzpomíná soudní znalec pro kybernetiku a ekonomiku ze společnosti Apogeo Esteem Ivan Janoušek.
Je vcelku snadné si představit, o jaký obrat kvůli krádeži svých údajů mohla firma prohrávající ve výběrových řízeních přijít. Není proto těžké uvěřit zprávě amerického výzkumného institutu pro bezpečnost dat Ponemon Institute, podle níž dosahují škody způsobené omylem v průměru každé firmě až třinácti milionů korun. To už je částka, která podniku znepříjemní život, pokud ho rovnou nepošle ke dnu.
Podle průzkumu společnosti Safetica až 20 procent firem považuje své zabezpečení za dostatečné, přestože používají jen firewall nebo anti-malware. Taková ochrana ale zdaleka nestačí vzhledem k tomu, že nejčastěji se kradou právě zmiňované nabídky v rámci tendrů, rozvojové plány, zprávy o platech a odměnách a klíčové informace o upevnění vlivu ve společnosti.
Papírová pravidla Základní pro ochranu dat je podle Ivana Janouška dokument zvaný Bezpečnostní politika společnosti, který v obecné rovině stanovuje hlavní požadavky na zabezpečení veškerého majetku firmy. Definuje, co, jak a před čím chránit, a současně stanovuje „majitele“ jednotlivých informačních aktivit. Zároveň je podle Jakuba Mahdala třeba zavést pravidla pro využívání pracovních nástrojů k soukromým účelům. Obdobně je nutné definovat používání některých zařízení – například flash disků, které jsou pro únik dat rizikové. Coby prostředek zabezpečení Mahdal doporučuje i snímkování obrazovek zaměstnanců nebo možnosti kopírování do schránky, třeba oblíbenou metodou Ctrl + c a Ctrl + v.
Ani úplně základní pravidla pro ochranu dat nemá podle průzkumu firmy Safetica 22,5 procenta firem. Z těch, které mají zásady stanovené písemně, navíc 27 procent podniků dále nehlídá, jak se předpisy naplňují.
Jakub Mahdal doplňuje, že podniky sice pravidla mít mohou, ale už nedají zaměstnancům k dispozici nástroje, které by jejich dodržení umožnily. Například požadují šifrování při kopírování na USB disk, ale neposkytnou k tomu potřebný software.
„Nejslabším a nejhůře zabezpečeným článkem je spojení mezi klávesnicí a židlí, člověka je velmi obtížné hlídat a zároveň nejvíce podléhá korozi, jakou je třeba korupce,“ doplňuje přehmaty zaměstnavatelů Janoušek. „Sebelepší předpisy únikům dat nezabrání. Jedině jednoznačná odpovědnost za příslušnou aktivitu společně se spokojeným pracovníkem může hrozbu značně eliminovat,“ dodává.
České firmy mají často problém s tím, že know-how se z fyzického světa přesouvá do virtuálního. Krádež informací zvýhodňujících konkurenci je o dost snazší než dříve. Přesto nejsou informační technologie při fungování firmy brané jako jeho rovnocenná součást, IT odborníci nebývají součástí vedení a jsou bráni spíše jako „nutné zlo“. „Potřebu investovat do bezpečnosti i kvůli tomu management nevidí až do okamžiku, kdy přijde opravdu velký problém. Pokud taková situace nastane, už bývá většinou pozdě. Kdyby se vedení zamyslelo, kdo má nejlepší možnost,záškodnickou činností‘ ohrozit stabilitu firmy, zjistilo by, že správce IT systému tak může učinit takřka okamžitě,“ uzavírá Janoušek.
Varování ironií V průzkumu společnosti Safetica přiznalo zkušenost s únikem dat 43 procent společností.
Podle Mahdala ale žijí podniky často v blažené nevědomosti, protože úniky dat často ani neodhalí. Obdobné průzkumy ze zahraničí ukazují, že data neuhlídá 80 procent firem. Tam je ale zároveň větší tlak na ochranu a leckdy i zákonná povinnost o podobných únicích informovat.
Díky tomu se například ví, že v americké kosmické agentuře NASA mezi lety 2010 a 2011 došlo k 5408 bezpečnostním incidentům. Jedním z nich byla i loňská krádež notebooku ze zamčeného vozu, kvůli čemuž měly uniknout citlivé údaje až o 40 tisících zaměstnancích agentury. Těm navíc hrozilo nebezpečí krádeže identity, protože NASA o svých lidech vede velmi podrobné údaje.
Ironií je, že ukradený laptop byl chráněný jen heslem pro spuštění počítače.
Svých patnáct minut „slávy“ si užila i auditorská společnost PricewaterhouseCoopers (PwC). Její zaměstnanec posílal údaje o auditu ve firmě Under Armour na nezašifrovaném disku poštou. A ta zásilku ztratila. Informace o výplatách většiny z 5400 zaměstnanců Under Armour se tím mohly dostat do rukou prakticky komukoli. Ironií osudu se tak stalo chvíli poté, co společnost PwC vydala varování, podle nějž osm z deseti firem trápí narušení bezpečnosti a 47 procent jich hlásí, že jejich data vynesou nebo omylem ztratí zaměstnanci.
Závěrem průzkumu PwC bylo, že podniky starosti o svou bezpečnost opomíjejí. Tentýž závěr platí pro české firmy ještě ve větším měřítku.
„Společnosti nejčastěji podceňují výši rizika. Říkají,nám se nic nestane‘,,o naše data nikdo nemá zájem‘ nebo,naši zaměstnanci by nic nevynesli‘. Možná by zaměstnanci skutečně nic nevynesli, ale nemělo by se zapomínat na lidskou chybu a omyl,“ upozorňuje Mahdal.
Škody ze ztrát dat způsobených lidskou chybou dosahují v průměrné firmě až třinácti milionů korun. Průzkumná procenta Vybrané výsledky průzkumu zabezpečení dat mezi českými firmami • 38 % firem nesleduje, co se děje s jejich citlivými údaji • 27 % firem s písemnými pravidly pro bezpečnost dat je dále nijak nehlídá • 78,7 % firem neplánuje rozšíření ani pořízení bezpečnostních řešení
Otázka bezpečí Majitel podniku se zabezpečenými daty by měl znát odpovědi na následující otázky. • Vím, kde mám uložená citlivá data? • Kdo má k datům přístup, jaké operace s nimi provádí a kam je kopíruje? • Jak jsem chráněn proti chybám a omylům zaměstnanců? • O co bych mohl přijít, kdyby se data dostala ke konkurenci nebo na veřejnost? • Jaké jsou zákonné požadavky na ochranu dat a jaké jsou sankce za jejich nedodržení? Jednám v souladu s těmito předpisy?
FIremní nastavení bezpečnosti Pravidla pro práci s citlivými údaji (v %)
Zdroj: Safetica Technologies
66,7 má
nemá 22,5
10,8 jen v základní podobě
Samostatná manažerská pozice se zodpovědností za bezpečnost dat ve firmách (v %)
neexistuje 20,4
15,7 existuje
63,9 je součástí jiné pozice
O autorovi| Jakub Křešnička, kresnicka@mf.cz
ČLÁNKY DO MAILU