Firmy často opomíjejí na bezpečnost svých veřejně přístupných webových stránek a může jim tak hrozit únik citlivých dat. Vyplývá to z průzkumu Publish and be Damned 2012, který realizovala síť poradenských společností KPMG mezi firmami ze žebříčku Forbes Global 2000.
Podle průzkumu z bezmála 80 % zkoumaných firemních webů lze získat údaje, ke kterým by veřejnost neměla mít přístup. Jak? Prostřednictvím dokumentů, které firmy nabízejí návštěvníkům svých webů ke stažení. Slabým místem jsou zde tzv. metadata, které tyto dokumenty nesou.
Vedle toho, že mohou nevhodně prozrazovat například kontaktní údaje na konkrétní pracovníky, kteří dokument připravovali, rovněž mohou potenciálním útočníkům odhalit slabá místa v zabezpečení. Například poskytnutím informací o používaném softwaru a jeho verzi.
Průzkum přitom ukázal, že 71 % ze zapojených firem používá zastaralé a reálně či potenciálně zranitelné verze operačních systémů i běžných programů jako je třeba textový editor. To je pro potenciálního útočníka cenná informace, protože pak přesně ví, jak má efektivně udeřit.
Firmy a jejich zaměstnanci „ukazují karty“ útočníkům
Nejen v metadatech dokumentů mohou potenciální útočníci najít informace použitelné pro vhodné zacílení útoků. KPMG varuje, že servery, na kterých běží webové stránky firem, v některých případech veřejně poskytují informaci o softwaru, který je pohání.
Informace o použitém softwaru a technologiích také po internetu šíří zaměstnanci firem, když například přispívají do diskusních fór, kde se veřejně či neveřejně uchovávají informace například o používaném operačním systému, webovém prohlížeči a jeho doplňcích.
„Z tohoto pohledu jsou nejvíce ohroženy technologické a softwarové společnosti, jejichž zaměstnanci do on-line diskusí a skupin přispívají zdaleka nejvíce,“ uvedl ve zprávě pro média Radek Šichtanc z české pobočky společnosti KPMG.
KPMG též upozorňuje, že z webových stránek firem lze vyčíst, kde jsou uložené neveřejné soubory. „Navigace na webových stránkách firem odhalily množství klíčových slov, s jejichž pomocí experti dokázali detekovat cestu, kde se neveřejné soubory firem nacházejí,“ stojí ve zprávě pro média.
Nástup vládami podporovaných hackerů
KPMG ve zprávě pro média konstatuje, že firmy dnes už nečelí jen útokům ze strany nezávislých skupin nebo prostřednictvím předpřipravených nástrojů.
Hrozbou jsou vládami různých států podporované agentury, které se snaží dostat k citlivým informacím cizích firem, a získat tak konkurenční výhodu nebo cenné informace.
Relativní novinky jsou pak hackeři – aktivisté, kteří též mohou firmám odstavit webové stránky po odcizení a zveřejnění citlivých materiálů.
Mnohé firmy tak mohou potřebovat bezpečnostní analýzu nejen své vnitrofiremní počítačové sítě, ale také svých veřejně přístupných webových stránek a materiálů na nich dostupných.
Podle toho pak lze navrhnout konkrétní ochranné technologie, nástroje a postupy. „Výsledné řešení by mělo vždy reflektovat konkrétní situaci a mělo by být poplatné rizikům, která každá společnost u svého digitálního vlastnictví vnímá,“ uvádí ve zprávě pro média Radek Šichtanc z KPMG s tím, že obecně aplikovatelné řešení, které útokům zcela zamezí, neexistuje.
Zdroj: KPMG, ChannelWorld
