OCHRANA FIREMNÍCH DAT Ochraně firemních sítí proti útokům „zvenčí“ už většina firem věnuje patřičnou pozornost. Chtěné, ale i nechtěné úniky citlivých firemních dat vinou vlastních zaměstnanců však řada podniků stále podceňuje. Únik firemních dat v době, kdy mají informace cenu zlata, může mít pro podnik velmi nepříjemné následky.
OCHRANA FIREMNÍCH DAT Ochraně firemních sítí proti útokům „zvenčí“ už většina firem věnuje patřičnou pozornost. Chtěné, ale i nechtěné úniky citlivých firemních dat vinou vlastních zaměstnanců však řada podniků stále podceňuje.
Únik firemních dat v době, kdy mají informace cenu zlata, může mít pro podnik velmi nepříjemné následky.
Vyzrazení know-how nebo ztráta důvěry klientů mohou být jen některými z nich.
Podle nejnovějšího průzkumu bezpečnostní IT firmy McAfee přitom firmy věnují „vnitřní“ bezpečnosti stále malou pozornost. Ačkoliv mají podniky pro tuto oblast často jasně definovanou politiku, úniky dat se stávají stále větším problémem. Nejčastějšími cestami úmyslných i neúmyslných úniků jsou elektronická pošta, přenosná USB paměťová média nebo obyčejné tiskárny. Celkem 84 procent respondentů při dotazování v evropských firmách uvedlo, že jejich organizace má definovanou politiku týkající se zpracování citlivých informací, včetně skartace dokumentů (69 procent), jejich zamykání (47 procent) a ochrany heslem (51 procent). Přesto téměř 90 procent zaměstnanců přiznalo, že posílá mimo firmu firemní informace nebo dokumenty. Pětina pracovníků přiznává unik důvěrného nebo citlivého dokumentu na výstupu z tiskárny a téměř 40 procent lidí si každý týden odnáší v notebooku, paměťových kartách či dalších zařízeních mimo firmu až deset dokumentů.
Lidé nejčastěji mimo firmu vynášejí podnikové plány, finanční informace, údaje o zaměstnancích a firemní smlouvy. Třetina zaměstnanců přitom považuje posílání finančních informací o firmě mimo podnik za běžnou rutinu. Pětina takto posílá smlouvy.
DATA SE KRADOU I V ČESKU
Případy úniku firemních dat se odehrávají i v Česku. „Vím o několika případech, kdy obchodník odešel z firmy i s databází kontaktů. A to nejen těch, na kterých sám pracoval. O vynášení dat z porodnic směrem k pojišťovacím agentům ani nemluvím,“ sděluje své zkušenosti Mirek Holý ze společnosti Actinet Informační systémy. Velmi ale záleží na tom, s jakými informacemi firma pracuje. Ne každá data totiž mají například pro konkurenci cenu. „Pokud jde o klasickou výrobu, tak tam moc důvěrných informací není. Pozitivní informace a zkušenosti jsou veřejně známé a často i popsané v různých doporučeních. V mnoha případech je možné i odhadnout ceny, které firma nabízí. Respektive lze odhadnout, jak kalkuluje ceny,“ vysvětluje expert na IT bezpečnost Jiří Nápravník.
Naopak velmi cenné podle něj mohou pro konkurenční firmu být informace o zákaznících, případně jejich seznamy i s osobními údaji. Stejně tak by majitel firmy asi neměl radost z vyzrazení reklamní kampaně před jejím spuštěním, patentů, designu nových výrobků nebo třeba informací o chystaném propouštění nebo fúzi s jinou firmou.
Nápravník proto doporučuje firemním oddělením, která s takovými informacemi pracují, stanovit speciální bezpečnostní politiku. „Provozy, kde se pracuje na nových objevech, designu a podobně, jsou často odděleny od ostatních částí informačního systému. Panuje tam také zvláštní režim jak pro práci s počítači, tak pro přístup osob a používání mobilních telefonů, fotoaparátů nebo MP3 přehrávačů,“ dodává Nápravník.
USB, E-MAIL A TISK
„Aby mohli zaměstnanci-uživatelé informačního systému sami a bez zdržení plnit úkoly, potřebují, aby byla v informačním systému určitá volnost. A to pro tisk dokumentů, přijímání a posílání elektronické pošty, výměnu souborů a podobně. Na druhou stranu právě všechny tyto činnosti mohou být a jsou nejčastější cestou, jak je možné z firmy získat důvěrné informace,“ vysvětluje základní problém Jiří Nápravník. Zamezit zneužití těchto „kanálů“ je však poměrně složité. „Pokud je zaměstnanec opravdu zkušeným uživatelem informačních technologií, je velmi těžké mu ve vynesení firemních dat zabránit,“ upozorňuje Mirek Holý.
Přesto způsoby, jak alespoň významně snížit rizika ztráty informací, existují. Prvním krokem je podle Jiřího Nápravníka zabezpečení lokální sítě. To chrání firmu především před útoky zvenčí. Pak následuje stanovení jasných pravidel pro používání počítačů ve firmě. A to včetně sankcí, které hrozí při jejich porušení.
Dalším krokem zamezujícím odnášení informací je podle Mirka Holého odstranění veškerých vypalovaček, případně disketových jednotek z počítačů. Nejlepší je zakázat je i na úrovni operačního systému. Poněkud komplikovanější je to s kontrolou takzvaných USB portů. „Ty lze také zakázat v operačním systému,“ vysvětluje Holý. Problém ale může nastat, jestliže zaměstnanec potřebuje USB port například kvůli připojení fotoaparátu. Ten se totiž také dá využít jako disk k přenesení dat. Ke kontrole USB portů je proto možné využívat také speciální software. Ten umožňuje administrátorům spravovat přístup všech přenosných zařízení připojovaných k uživatelským počítačům. Mohou tak reagovat na aktuální potřeby zaměstnanců při práci.
Poněkud komplikovanější je hlídání elektronické pošty. Tu totiž zaměstnavatel podle zákona číst nesmí. „Mnoho ochránců lidských práv argumentuje tím, že se jedná o soukromou korespondenci a je nutné dodržovat tajemství doručovaných zpráv podle telekomunikačního zákona. Na druhou stranu je elektronická pošta nejsnazší cestou jak z firmy odeslat informace,“ říká Nápravník. Podle něj je možné zaměstnance sledovat (tedy s kým komunikuje a kontrolovat předmět zprávy) pouze po jeho předchozím upozornění.
Některé firmy však přes nezákonnost takového počínání sledují a vyhodnocují celý obsah zpráv. „Pokud pak zjistí, že zaměstnanec zneužívá interní informace, rozloučí se s ním z jiného důvodu, protože kontrolování obsahu zpráv nemohou přiznat,“ vysvětluje takové obcházení zákona Nápravník.
Legálnější alternativu sledování navrhuje Mirek Holý. Podle něj firma může odchozí elektronickou poštu filtrovat podobně jako spam. Stačí nadefinovat klíčová slova a při každém jejich výskytu v poště příslušnou zprávu zkontrolovat. „Existují i přímo dedikované produkty, které se na kontrolu obsahu odchozi posty specializují. Kontrolují navíc i obsah příloh e-mailů - například zip archivy nebo dokumenty z MS Office,“ tvrdí Holý.
Vedle zmiňovaných metod lze doporučit i šifrování citlivých dat. „Existují speciální softwarová řešení, která chrání data pomocí šifrování,“ doporučuje Holý. V takovém případě jsou při každém vytváření a pozměnění souboru data automaticky šifrována pomocí algoritmu a šifrovacího klíče. Na harddisku jsou pak data přístupná vždy pouze v zašifrované podobě. Zaměstnanec je tedy i při vynesení z firmy bez šifrovacího klíče nepřečte.
ZÁKLADEM JE LOAJÁLNÍ ZAMĚSTNANEC
Cest, jak „silou“ zamezit zaměstnancům zneužití nebo krádež dat, je mnoho. Bezpečnostní experti se ale shodují, že eliminace veškerých rizik je prakticky nemožná. „Ochrana dat není jen věcí technických omezení,“ upozorňuje Mirek Holý.
„Obecně by měl mít zaměstnanec přístup jen k těm informacím, které potřebuje ke své práci. I přes sebelepší opatření totiž může důležitá data například ofotit mobilním telefonem.“ Podle Holého je tak nejlepší obranou spokojený zaměstnanec a dobře navržený a v praxi důsledně používaný Information security management system.
„Dobrá firemní kultura musí být základem, počítačový program a nastavení informačního systému jsou již jenom doplňkem, který pomáhá chránit citlivé informace,“ tvrdí Jiří Nápravník.
„Je možné zakázat tisknout, je možné zakázat používání portů. Lze zakázat i elektronickou poštu a surfování na internetu. Majitel nebo manažer, který se k takovému kroku rozhodne, by měl ale nejdříve dobře zvážit, co mu přinese, jestliže svým podřízeným dá takovými opatřeními jasně najevo, že jim nevěří a chce je hlídat na každém kroku,“ pokračuje Nápravník. Podle něj se totiž již nejedna firma přesvědčila, že nejen „lumpové“, ale i za normálních okolností loajální zaměstnanci se začnou chovat podle toho, co jim nadřízený svými silně restriktivními opatřeními naznačil.
Nápravník má vzkaz i pro nepoctivé zaměstnance. „Vždycky platilo a stále platí jedno přísloví: Nic se nehodnotí hůř než zrada, nikým se nepohrdá tak jako zrádcem,“ varuje Nápravník. Proto by si měl zaměstnanec uvědomit, že pokud svému novému zaměstnavateli přinese důvěrné informace od stávajícího chlebodárce, rychle na to doplatí. Nový zaměstnavatel jeho informace využije a při nejbližší příležitost se jej zbaví. „Nebude riskovat, že dotyčný pracovník odnese informace i z jeho firmy,“ uzavírá Nápravník.
JAK OCHRÁNÍTE DATA
- kvalitní vnější zabezpečení lokální sítě
- přesně definovaná pravidla pro práci s počítači a přenosnými zařízeními
- zákaz instalování vypalovaček do počítačů
- omezení možnosti používání USB portů
- kontrola odchozí pošty - filtrování nebo kontrola adresátů a předmětu zpráv
- správa tisku
- šifrování dat při práci se soubory
- prevence - důsledný výběr zaměstnanců, dobrá firemní kultura
VÝSLEDKY PRŮZKUMU
- 88 procent respondentů používá firemní e-mail k zasílání zákaznických dat
- 84 procent organizací má definovanou politiku týkající se zpracování citlivých informací
- 38 procent dotázaných si odnáší mimo firmu citlivé dokumenty na přenosných zařízeních
- 26 procent pracovníků neskartuje důvěrné dokumenty poté, co s nimi přestanou pracovat
- 22 procent zaměstnanců půjčuje kolegům přenosná zařízení s citlivými dokumenty
- 21 procent respondentů připustilo únik důvěrného nebo citlivého dokumentu z výstupu tiskárny
Pramen: McAfee
