V dobách hospodářského útlumu a propouštění zaměstnanců značně stoupá počet krádeží cenných firemních dat, tvrdí S&T CZ. Bez vědomí majitelů či vedení firem se kopírují přísně tajné informace, například databáze zákazníků, strategické plány, technologické koncepty či designy, průzkumy či výzkumy. „Krádeží cenných dat se snaží zaměstnanci zvýšit svoji hodnotu na trhu práce. I jinak loajální zaměstnanci mají tendenci si z firmy odnést informace, které by mohly být pro potenciálního zaměstnavatele zajímavé," varoval v tiskové zprávě Petr Hněvkovský, bezpečnostní specialista technologické společnosti S&T CZ.
Fakt, že stále větší množství zaměstnanců přistupuje k firemním datům s cílem je ukrást, potvrzuje i průzkum společnosti McAfee (celá verze studie Unsecured Economies: Protecting Vital Information je po registraci k dispozici zde). Podle něj 42 procent respondentů pokládá odcházející zaměstnance za největší ohrožení citlivých firemních dat. Riziko navíc představují i zaměstnanci, jimž reálně propuštění nehrozí: „Ti si vytvářejí často pouze ‚pojistku' pro případ, že by si museli hledat nové místo. Kromě zaměstnanců mají mnohdy k citlivým firemním datům přístup i třetí strany, které mohou mít stejnou motivaci či eminentní zájem o krádež dat," řekl Vladimír Brož, ředitel české a slovenské pobočky společnosti McAfee.
Nechráněná citlivá data jsou přitom v době recese tikající bombou, která může přijít firmy velmi draho. Průměrná roční ztráta firem vyplývající z narušení duševního vlastnictví byla v průzkumu společnosti McAfee stanovena na 88,3 milionu korun (4,6 mil. USD). Uvědomují si to i samy firmy, ale jen málo jich pro nápravu něco dělá. „39 procent respondentů je přesvědčeno, že životně důležité informace jsou v současné ekonomické situaci zranitelnější než dříve. Nicméně jen málo z nich věnuje na zabezpečení adekvátní množství prostředků," komentoval výsledky Vladimír Brož. Například v Británii 44 procent dotazovaných firem věnuje na zabezpečení méně než 5 procent z celkového rozpočtu na IT.
Interní zneužití se v ČR podceňuje
Jak se zdá, v Česku není situace o nic lepší. Podle technologické společnosti S&T CZ zájem o zabezpečovací technologie sice meziročně vzrostl o 43 procent, ale bezpečnostní opatření jsou často neadekvátní. „Loni byl zájem zejména ze strany větších firem, letos se o bezpečnostní technologie zajímají i firmy střední. Nicméně v mnoha firmách jde jen o základní ochranu proti narušení zvenčí, která neřeší zneužití dat uvnitř firmy. Interní zneužití dat je ve skutečnosti mnohem jednodušší, a proto je i nejčastějším způsobem úniku citlivých informací," vysvětlil Petr Hněvkovský.
Úniky citlivých firemních dat hrozí ve všech oborech. Jedinou ochranou je podle S&T CZ dodržování jednotné bezpečnostní politiky: to znamená vytvořit ve firmě prostředí, které únik dat znesnadňuje a upozorňuje na možná bezpečnostní rizika. Příkladem může být šifrování citlivých dokumentů, které umožňuje přístup jen klíčovým zaměstnancům. „V okamžiku odchodu zaměstnance se jeho šifrovací certifikát stává nefunkčním a dokument již neotevře ani na soukromém počítači. Dokumenty jsou totiž zašifrovány tak, že pro jejich otevření je třeba on-line ověření v centrální databázi," uvedl příklad řešení vhodný pro argumentaci u zákazníka Petr Hněvkovský.
Samo šifrování však nestačí, důležité je odhalit možné úniky dat v okamžiku, kdy k nim dochází, či krádeži dokonce předejít.
Chytnout zloděje za ruku či ho odpojit od sítě umožňují speciální „detektivní" systémy, které umějí rozeznat nestandardní chování zaměstnanců. Je-li někdo ve výpovědi či se chystá firmu brzy opustit, obvykle se jeho snaha neodejít s prázdnou projeví na jeho chování. „Dotyčný zůstává déle v práci či pracuje i o víkendech, stahuje nezvyklé objemy dat, přistupuje k citlivým datům či otevírá dokumenty, které ho dříve nezajímaly. Pokud tuto změnu chování systém zaznamená, ihned na možný únik dat upozorní a zablokuje přístupy k datům," uvedl Petr Hněvkovský. Už jen fakt, že zaměstnanci vědí, že data jsou takto hlídána, může přitom potenciální zloděje odradit.
Bezpečnostní politika místo restrikcí
Úniku dat z firmy se lze bránit i různými restrikcemi zaměřenými zejména na přenos dat. Na kapesní pevný disk či datovou klíčenku lze totiž přes port USB snadno nahrát gigabyty dat. Některé společnosti proto preventivně zamykají porty USB a mechaniky CD/DVD, jiné monitorují obsah veškerých tištěných dokumentů. Extrémem může být nařízení, že veškerá e-mailová komunikace musí být dávána na vědomí nadřízenému. „Takovéto drastické postupy se ale výrazně prodraží v důsledku ztráty efektivity práce. Mnohem vhodnější cestou je dobře navržená a vynucovaná bezpečnostní politika s použitím vhodných bezpečnostních řešení," vysvětlil Vladimír Brož.
Nejen v českých médiích chybějí zprávy o konkrétních případech, kdy zanedbání IT bezpečnosti způsobilo konkrétní firmě škody - ztrátu důležitých informací, firemního adresáře kontaktů, údajů o probíhajícím výběrovém řízení a podobně. „Je to pochopitelné, protože žádná firma se nebude chlubit tím, jak bezpečnost podcenila," uzavřel ve zprávě Petr Hněvkovský.
Mediální osvěta u zákazníků je tedy na vás, dodavatelích služeb. Třeba i vy znáte případy od svých klientů, kteří se s odcizením dokumentů, databází, či jiného majetku v podobě dat, setkali. Řekněte o tom i ostatním zákazníkům, a nabídněte jim řešení.