Kybernetické útoky dnes spojuje jeden společný jmenovatel: zaměřují se na citlivá nebo cenná data. Nemusí však vždy jít o škodlivý malware, pokusy o phishing nebo zneužití jiného druhu zranitelnosti. Značná část útoků je vedena přímo na zaměstnance dané společnosti, nebo dokonce samotnými zaměstnanci vůči svému zaměstnavateli. Poměrně konzervativní statistika organizace PrivacyRights.org uvádí, že z více než pěti tisíc potvrzených průniků k interním datům se na více než třech a půl tisících z nich záměrně nebo nevědomě podíleli lidé pracující uvnitř napadené organizace.

Pavel Matějíček

manažer technické podpory společnosti ESET

Rovněž statistiky škod způsobených těmito útoky potvrzují, že obavy ze zneužití citlivých dat jsou namístě. Podle nezávislého Ponemon Institutu se průměrné škody způsobené kybernetickým útokem zaměřeným na citlivá firemní data pohybují okolo čtyř milionů dolarů (100 milionů korun), a to v této sumě není započteno 1,5 milionu dolarů (dalších skoro 30 milionů korun) za ztrátu dobrého jména firmy. Tato čísla dokazují, že zavedení bezpečnostních opatření má své opodstatnění a při dodržení několika základních pravidel jde o nákladově nejefektivnější možnost, jak ochránit svá data:

1/ Organizace by měly vědět, která data jsou pro ně nejcennější. Klasifikace dat pomůže určit, které údaje nevyžadují striktní ochranu a naopak které je potřeba označit za informace značné hodnoty, jejichž únik by mohl firmu vážně poškodit.

2/ Výměna informací je v dnešní době nutnost, bez které nelze vydělat peníze. Ale jakékoliv ukládání a přesun dat bez ochrany jsou hazardem, který si firmy nemohou dovolit. Šifrování dat je základním a cenově efektivním opatřením, které zabezpečí obsah bez ohledu na to, je-li uložen na přenosných zařízeních nebo na osobních počítačích, případně v e-mailové schránce.

3/ Existence jasných a srozumitelných pravidel a směrnic umožní zaměstnancům a obchodním partnerům pochopit, jaké zásady je třeba dodržovat, aby správně zabezpečili firemní data. Tyto interní dokumenty by měly obsahovat informace o způsobech a postupech při zpracování dat a určit, kdo by neměl mít přístup k určité části firemních systémů, databází a citlivých informací. Měly by také stanovit jasnou roli a odpovědnost jednotlivých zaměstnanců nebo celých oddělení ve firmě.

4/ Informace o odpovědnosti by měly být uvedeny ve smlouvách, a to jak v zaměstnaneckých s interními zaměstnanci, tak v obchodních s externími dodavateli.

5/ Důvěřujte, ale prověřujte. Se spolehlivým řešením prevence proti ztrátě dat a pravidelným bezpečnostním auditem, který vám pomůže včas odhalit zranitelná místa, si organizace mohou zachovat přehled o dění ve svých sítích a odstínit potenciální rizika.

6/ Mnoho bezpečnostních incidentů, při nichž dochází k úniku dat, je způsobeno špatně informovanými zaměstnanci. Pokud pro ně budete pravidelně pořádat školení o bezpečnosti práce, poskytnete jim potřebné informace, nástroje a osvědčené postupy pro manipulaci s citlivými daty.

7/ Pokud se zaměstnanec necítí být dostatečně motivován, může velmi rychle propadnout nespokojenosti a hledat si novou práci, nebo se dokonce chce mstít svému bývalému zaměstnavateli. Vytváření a udržování příjemné firemní kultury přispějí nejen ke zmírnění těchto rizik, ale vedou také ke zvýšení výkonnosti zaměstnanců.

Chcete-li se dozvědět více o ztrátě dat a jak se tomuto problému vyhnout, můžete si přečíst doporučení ve whitepaperu společnosti ESET, který se věnuje tomuto tématu. Nabízí více statistických dat, hlubší vhled do tématu a přehled nástrojů, které vám pomohou rozpoznat hrozby a ochrání cenná data ve vašich firemních systémech.

Pavel Matějíček, manažer technické podpory, ESET

 

Sloupek byl publikován v ICT revue 10/2016