GDPR – i vy si myslíte, že jste připraveni?

31. 1. 2018. (redaktor: František Doupal, zdroj: DCD Publishing a Trend Micro)
Že je na GDPR připraveno o sobě tvrdí 79 % společností. Možná si na to najali jednu z těch firem, které tvrdí, že mají to pravé a jediné ultimátní řešení schopné firmu kompletně ochránit. Takové ale neexistuje. Ochrana v souladu s GDPR je mnohem více než jen systémy typu Data Loss Protection. Je o lidech. O jejich ochraně, ale i jejich kontinuálním vzdělávání.

Jasný nepoměr vzniká ve chvíli, kdy se podíváme na čísla z nedávného výzkumu společnosti Trend Micro, která ukazují, kolik procent společností si neuvědomuje, jaká všechna data jsou brána jako osobní informace a spadají tedy pod GDPR. Až 42 % společností neví, že databáze emailových kontaktů pro účely marketingu také spadá pod GDPR a 67 % neví, že pokuta může být až 4 % z ročního obratu firmy.

Z výzkumu, který provedly společnosti Trend Micro a VMware ve druhé polovině minulého roku, jasně vyplývá, že největší hrozbou jsou zaměstnanci, jejich nevzdělanost v oblasti internetové bezpečnosti, případně nepozornost či zbrklost. Nejvíce úniků dat vzniká chybou ze strany zaměstnance, na druhém místě jsou hackerské útoky a až na třetím je úmyslné zveřejnění dat zaměstnancem.

Největšími hrozbami při nakládání s citlivými daty jsou:

  • ransomware (po ukradení dat musíte zaplatit pod pohrůžkou jejich smazání či zveřejnění);
  • internet of things, s nově přicházející érou chytrých zařízení, která získaná data ukládají do cloudu a jsou stále na síti, se rozšiřují možnosti pro hackerský útok;
  • útok skrze firemní emailovou schránku;
  • malware na často navštěvovaných webových stránkách – tzv. watering hole attack.

Šifrovat, šifrovat, šifrovat

Co je tedy potřeba k ochraně před těmito a jinými hrozbami? Především je potřeba počítat s tím, že dřív nebo později se do naší sítě někdo dostane. Žádné zabezpečení není 100%. Hackeři jsou vždy o krok napřed a mají proti nám výhody (těmi jsou mimo jiné v podstatě neomezený čas, který mají k přípravě útoku a relativně nízké náklady k jeho vytvoření). Vycházet musíme z toho, že útok je třeba co nedříve zaznamenat. Potřeba jsou tedy systémy k detekci útoku. Když už je škodlivý software a jeho stvořitel, tedy hacker u nás, potřebujeme jeho útok co nejrychleji zastavit, ideálně ještě před tím, než dojde k nevratným ztrátám a následně zjistit případný rozsah již vzniklé škody. Takže potřebujeme systém, který je schopný zjistit rozsah škod v co nejrychlejším čase a v souladu s nařízením GDPR ho reportovat. Tento nástroj je opravdu k nezaplacení.

Prevenci jsme nechali schválně na konec, protože jak moc je dobrá prevence důležitá, stejně tak moc je těžká a skládá se hned z několika kroků.

Tím, co lze zařídit poměrně snadno a je téměř nejdůležitější, je ochrana formou šifrování. Je potřeba soustředit se na data centra, tedy místa, kde jsou data uschována a zpracovávána. Šifrovat by se měly harddisky všech počítačů jako celky a u osob, u nichž se předpokládá, že budou vlastnit zranitelnější data, i samotné vybrané složky.

Mezi další základní body prevence by měly patřit pravidelné bezpečnostní audity, následně aktualizování všech systémů a jejich opravy. Virtuální patchování (záplatování) nám zkrátí čas potřebný k nasazení oprav výrobce a chrání náš systém okamžitě, dávno před tím, než výrobce daného softwaru opravu zveřejní.

A v neposlední řadě je třeba myslet na zaměstnance, protože právě oni jsou nejdůležitější a zároveň nejzranitelnější součástí každé firmy. Všichni, kdo byť jen minimálně přijdou do styku s daty, by měli být proškoleni, jak zamezit útoku na počítači nebo mobilním zařízení. Protože třetí nejčastější hrozbou byl útok skrze firemní emailovou schránku, řekněme si, jak mu předcházet. Každému sem tam přijde nějaký spam, a na nabídky, které se netýkají pracovních záležitostí, by uživatel vůbec klikat neměl. Co když ale přijde email, který se tváří jako zpráva od kolegy? Zpráva může obsahovat údajný link na „kompromitující fotku nadřízeného“, „seznam nejlepších zaměstnanců měsíce“, „fakturu“, a mnoho dalšího. Takové emaily, které už vypadají opravdu hodně věrohodně, mají na svědomí nemalé finanční ztráty. Každý z těchto emailů má přesto stále znaky, podle kterých lze určit, že jde o podvodný email.

Vzdělaní zaměstnanci

Mnohdy by prostě stačilo přemýšlet, seznam nejlepších zaměstnanců přece obvykle nechodí, z této adresy vám email ještě nikdy nepřišel, tohoto člověka neznáte, v textu emailu je překlep v místě, kde by ho majitel emailového účtu nikdy neudělal. Pokud vás takové věci napadnou, jsou to ukazatelé toho, že email je pochybný. K takovéto úvaze však nedojde zaměstnanec sám, a proto jsme zpět u toho, že je třeba všechny pravidelně a kontinuálně vzdělávat.

Myslíte si, že máte splněno všechno? Otestujte své zaměstnance naší jednoduchou aplikací.

Společnost Trend Micro připravila pro zájemce stránku, na níž běží run-time aplikace Phishinsight, která vám umožní otestovat své zaměstnance, kolegy, týmy. Phishinsight vznikla jako celý projekt rozšíření povědomí o možných hrozbách a jejich snadném proniknutí do systémů, pokud jsou firmy a jejich zaměstnanci nepozorní. Na stránce naleznete návod v podobě videa a potřebná vysvětlení k aplikaci. Po registraci si v aplikaci snadno vytvoříte podvodnou kampaň. Po sběru informací vám aplikace dá i vyhodnocení a vy tak předem víte, zda vám drahá bezpečnostní řešení opravdu pomohou, nebo zda a jak moc máte křehké základy firemní bezpečnosti.

K vyzkoušení na https://phishinsight.trendmicro.com/en/.

Autor: Pavlína Volková, Regional account manager ve společnosti Trend Micro

Štítky: 
Téma měsíce, GDPR, Trend Micro
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Jak COVID-19 (podle výrobců) ovlivnil ukládání a zálohování dat

7. 5. 2021. (redaktor: František Doupal, zdroj: DCD Publishing)
Jak se události z posledních měsíců promítly do přístupu k ukládání a zálohování dat jsme zjišťovali přímo u poskytovatelů souvisejícího hardwaru, softwaru a služeb. Některé z nastíněných trendů pravděpodobně vytuší každý, řada z nich vás však možná překvapí. Čtěte více

Trendy v tiskárnách a multifunkcích v polovině roku 2020

29. 9. 2020. (redaktor: František Doupal, zdroj: DCD Publishing)
Tiskárny a multifunkce jsou nedílnou součástí drtivé většiny firem, úřadů i domácností. Spolu se spotřebním materiálem jsou navíc také velmi důležitým prodejním artiklem. Jak se trh vyvíjí a jaké trendy můžeme v době, kterou stále výrazně ovlivňuje současná koronavirová situace, sledovat nebo již brzy očekávat? Čtěte více

Trendy v segmentu ukládání a zálohování dat – co nás čeká a nemine?

1. 7. 2020. (redaktor: František Doupal, zdroj: DCD Publishing)
Práce s daty je široká oblast rozprostírající se napříč různými segmenty produktů a služeb. V případě hardwaru se kromě NAS serverů a specializovaných úložišť stále setkáváme také s páskovými řešeními, ale jednoznačným trendem je růst důležitosti cloudu, softwaru a služeb… Čtěte více

Internet věcí v roce 2020: Jaký je a kam se bude ubírat

12. 5. 2020. (redaktor: František Doupal, zdroj: DCD Publishing)
IoT lze bez nadsázky označit za jednu z nejrychleji se rozšiřujících a rozvíjejících ICT technologií dneška. Celá oblast internetu věcí v sobě skrývá obrovský potenciál pro všechny zúčastněné, ať již hovoříme o výrobcích a dodavatelích, poskytovatelích služeb, partnerech či implementátorech nebo koncových zákaznících. Na současnost a budoucnost IoT jsme se ptali odborníků z různých oborů české IT scény. Čtěte více