Ignorance: 3/4 českých firem nechrání svá data
Více než třem čtvrtinám českých firem lze snadno ukrást data. „Zhruba 75 % firem nemá zpracovanou bezpečnostní strategii, která by zamezila odcizení důležitých firemních dat. Počet útoků na informační zabezpečení firem se během krize naopak zdvojnásobil. Svá data komplexně chrání pouze 5 % společností," říká Petr Hněvkovský, expert na bezpečnostní problematiku společnosti S&T CZ. Zjištění vyplývají z šetření společnosti S&T CZ, která analyzovala bezpečnostní incidenty, jež řešili její experti během posledních dvou let.
Před útoky jsou nejlépe chráněny především banky, telefonní operátoři, státní správa nebo energetické společnosti. (viz tabulka 1) „Naopak nejhůře jsou na tom strojírenské podniky, kde je bezpečnost často zanedbána. Ale právě výrobní podniky jsou ve velkém ohroží, protože vlastní cenné výrobní znalosti a postupy," dodává Petr Hněvkovský.
Tabulka 1: Které sektory se umějí úspěšně bránit
- Finance
- Energetika
- Telekomunikace
- Státní správa
- Výroba
Zdroj: S&T CZ
Terčem útoků jsou informace, které se dají snadno prodat nebo využít jako konkurenční výhodu. „Nejvíce jsou ceněna data o zákaznících či obchodní tajemství různého charakteru. Tuzemské firmy bohužel často podhodnocují cenu svého know‑how a tím pádem i jeho ochranu. Paradoxně je pak často lépe střežen vozový park firmy než klíčová výrobní technologie, na které prosperita společnosti stojí," dodává Hněvkovský. (viz tabulka 2)
Tabulka 2: Jaká data se nejčastěji kradou
- Data o zákaznících
- Obchodní tajemství
- Intelektuální vlastnictví
- Finanční informace
- Data o zaměstnancích
Zdroj: S&T CZ
Zloději používají sofistikované špionážní metody
Firmy investují nejčastěji pouze do základních technologických bezpečnostních nástrojů, přičemž úplně zapomínají, že více než 80 % bezpečnostních incidentů vznikne selháním lidského faktoru. (viz tabulka 3) „Firewally a antiviry data neochrání, to je jen nejnutnější základ, něco jako dveře do domu, ale bez pořádných zámků. Firemní know-how ochrání sofistikované systémy, které umějí upozornit na potenciální rizikové chování uživatelů," říká Petr Hněvkovský.
Tabulka 3: Nejslabší místa v zabezepečení firem
- Zaměstnanec
- Administrátor
- Žádná nebo jen formální kontrola reality vůči předpisům
- Přehlížení varovných hlášení
- Audit změn
Zdroj: S&T CZ
Tyto systémy monitorují a vyhodnocují všechny události, které by mohly mít vliv na bezpečnost firmy - od pohybu osob po přístup k citlivým datům a využívání různorodých informačních zdrojů. „Když systém zaznamená přihlášení od zaměstnance v časných ranních hodinách a přitom je zvyklý se hlásit kolem deváté, je to minimálně podezřelé. Pokud dále pokračuje v nestandardních činnostech, vyvolá to událost, kterou je nutno prozkoumat," komentuje Petr Hněvkovský.
Pro útočníka je totiž nejdůležitější, aby nebyl odhalen a mohl potají shromažďovat data. „Proto dnes zloději dat používají sofistikované metody útoků, jako například trojské koně nebo zachytávače stisků klávesnice," vysvětluje Hněvkovský. Pro firmy představují riziko i pohodlní zaměstnanci. „Více než 85 % uživatelů používá stejné heslo pro vstup do nejrůznějších aplikací, Facebookem a e-mailem začínaje a vstupem do firemní sítě konče. Pohodlnost zaměstnanců tak může ohrozit bezpečnost firmy. Útočník totiž získané přístupové heslo použije například v okamžiku, kdy se dotyčný připojí k firemní síti," varoval Petr Hněvkovský. Zaměstnanec ani nemusí vědět o tom, že se právě on stal pro firmu nebezpečným, a v krajních případech dokonce může být obviněn z průmyslové špionáže.
Tuzemské firmy čekají, až přijde katastrofa
Podle zkušeností společnosti S&T CZ se tuzemské firmy začnou zabývat bezpečnostní politikou, až když jim jsou důležitá data odcizena nebo když neprojdou bezpečnostním auditem. „Manažeři nejsou obyčejně schopni vyčíslit hodnotu rizika. Řídí se stupnicí od 1 do 5, nikoli penězi, přičemž ztráty se mohou vyšplhat do stovek milionů korun," sdělil Petr Hněvkovský. Náklady na komplexní bezpečnostní řešení přitom představují pouze zlomek této částky.
K přehodnocení děravé bezpečnostní strategie nepomáhá ani to, když únik dat poškodí jejich konkurenci. „Manažeři žijí v iluzi, že jim se přece něco takového stát nemůže," dodává Petr Hněvkovský. Přitom rok 2009 je považován za přelomový, protože bylo zmapováno více škodlivého programového kódu než ,užitečného‘.
Avšak ani existence důmyslných monitorovacích systémů není zárukou, že je firma vůči útokům imunní. Podle průzkumu S&T CZ více než polovina firem navrhovaná řešení nevyužije. „Firmy jsou k jejich pořízení většinou donuceny informačním auditem a ne z vlastního rozhodnutí. Přitom data z bezpečnostních incidentů lze použít i pro obnovení provozu nebo jako soudní důkaz v rámci žaloby na osobu, která se pokusila data ukrást," uzavřel Petr Hněvkovský, expert na bezpečnostní problematiku ze společnosti S&T CZ.