Nedbalost, ale i špatné úmysly zaměstnanců jsou velkým rizikem pro bezpečnost dat ve firmách. Dokazuje to řada analýz, z nichž vyplývá například fakt, že více než polovina zaměstnanců má přístup k datům, k nimž by se vůbec neměla dostat, a 40 % zaměstnanců bez skrupulí poškodí zaměstnavatele či nadřízeného, budou-li z toho mít osobní prospěch. Výsledky nejzajímavějších z těchto studií vám nabízíme v tomto textu spolu s tipy, jak se proti zmiňovaným rizikům účinně bránit.
Výsledky studie The Insecurity of Privileged Users (TIPU) provedené Ponemon Institute na zakázku HP ukazují, že 52 % respondentů má přístup k chráněným a utajovaným podnikovým informacím nad rámec svých kompetencí či pracovní pozice a více než 60 % dotázaných uvádí, že privilegovaní uživatelé přistupují k citlivým nebo tajným datům spíše ze zvědavosti, než kvůli pracovním povinnostem. 40 % účastníků průzkumu si není jistých, zda má jejich firma přehled o specifických přístupových právech napříč celou podnikovou sítí, případně zda stávající práva splňují definovanou úroveň zabezpečení na jednotlivých stupních oprávnění přístupu k datům.
Společnost S&T CZ na základě analýzy DAP Services varuje, že 40 % zaměstnanců bez skrupulí poškodí zaměstnavatele či nadřízeného kvůli osobnímu prospěchu. Pravděpodobnost útoku zevnitř je přitom podle jejích zástupců třikrát vyšší než zvenčí. „Interní pletichy, tedy snaha získat nekalým způsobem nějakou výhodu uvnitř firmy, patří mezi nejrozšířenější bezpečnostní rizika. V závěsu je vynášení strategických informací mimo firmu, například podrobnosti o nabídkách klíčových tendrů,“ upozorňuje Petr Hněvkovský, bezpečnostní expert S&T CZ.
Za únikem dat způsobeným zaměstnanci ale nemusí být vždy jen zlý úmysl.
Nedbalost, ale i špatné úmysly zaměstnanců jsou velkým rizikem pro bezpečnost dat ve firmách. Další analýza Ponemon Institute – tentokrát provedená na zakázku Kingston Technology a zaměřená na stav zabezpečení USB disků – nabízí rovněž varující pohled: 62 % organizací podle ní uvádí, že během posledních dvou let jejich zaměstnanci ztratili důležité informace uložené na USB discích a 75 % zaměstnanců v evropských organizacích používá USB disky bez povolení zaměstnavatele.
A konečně ze studie Cisco Connected World Technology Report plyne, že 70 % zaměstnanců, kteří jsou obeznámeni s bezpečnostními pravidly firmy, připouští jejich občasné porušení, přičemž třetina z nich to odůvodňuje přesvědčením, že nedělají nic špatného. Zhruba 22 % jich uvádí, že potřebují přístup k nepovoleným programům a aplikacím, aby mohli dokončit svoji práci. A 19 % respondentů tvrdí, že dodržování pravidel není vynucováno.
„K intrikaření dochází v každé firmě,“ tvrdí Petr Hněvkovský a dodává: „Vynést tajnou informaci mimo firmu a ještě ji zpeněžit je rizikové a náročné, to si běžný zaměstnanec netroufne. U interního zneužití je to ale jinak: Upevnit svou pozici uvnitř firmy chce každý, s rostoucí nezaměstnaností budou interní pletichy narůstat.“
„Češi jsou poměrně soutěživí a ambiciózní, bohužel až 40 procent z nich bez skrupulí poruší pravidla hry, pokud jim to přinese osobní výhodu. Může za to přijetí neetických forem chování v české populaci jako zcela běžné součásti života,“ vysvětluje psycholog Jiří Šimonek z DAP Services. Vyplývá to z testování 84 tisíc zaměstnanců během posledních pěti let, které tato společnost provedla.
Pokud dojde ke krádeži dat, nejčastěji podle S&T CZ jde o rozvojové plány, informace o platech a odměnách, nabídky v rámci tendrů a o některé další klíčové informace užitečné k upevnění vlivu uvnitř firmy.
„Setkáváme se často s nulovým zabezpečením interních dat. V případě jejich zneužití se pak velmi těžko hledá viník, a i pokud se najde, bez pádných důkazů nelze takového pracovníka kvůli zneužití interních informací propustit,“ upozorňuje soudní znalec Ivan Janoušek ze znaleckého ústavu Apogeo Esteem. Nízké zabezpečení lze zřejmě mnohdy přičíst na vrub i faktu, že si manažeři neradi připouštějí zrádce ve vlastním týmu: „Je to přirozené: Stejně jako každý rodič vidí (i manažer) vlastní děti v lepším světle než okolí. O to více je třeba být na pozoru, protože intriky mohou rozložit celý pracovní tým,“ vysvětluje Šimonek.
Situace se ale postupně mění a firmy investují do řešení, která jejich data pomáhají chránit i před nebezpečím zevnitř. „Zaznamenáváme meziročně zhruba 30procentní nárůst prodejů. Tyto systémy monitorují a vyhodnocují všechny události, které by mohly mít vliv na bezpečnost firmy – od pohybu osob po přístup k citlivým datům a využívání různorodých informačních zdrojů,“ vysvětluje Hněvkovský. Lze tak snadno zjistit aktivity jednotlivých uživatelů a včas vyhodnotit nestandardní situace.
„Nová generace zaměstnanců obohacuje firmy o nové myšlenky, metody práce i netradiční pohled na řešení pracovních úkolů. Zároveň má ale svá očekávání ohledně používání informačních technologií, která se mohou významně promítat do firemní IT bezpečnosti,“ říká Jiří Devát, generální ředitel Cisco Česká republika, a dodává: „Pro firmy nastal čas přizpůsobit svá bezpečnostní pravidla nastupujícím trendům a modelům chování – odměnou jim kromě vyšší bezpečnosti bude také větší produktivita a spokojenost zaměstnanců.“
Organizace se podle Ponemon Institute snaží udržet problém s oprávněností přístupů k datům pod kontrolou různými způsoby. Dvacetsedm procent respondentů průzkumu TIPU prozradilo, že jejich organizace ke kontrole sdílení správcovských oprávnění či zvýšených oprávnění vybraných uživatelů využívá technologie monitorující správu identit a přístupů, u 24 % organizací se pak kombinují tyto technologie s dalšími procesy. Zároveň však 15 % respondentů přiznalo, že přístupy nejsou zcela kontrolované a v 11 % případů nejsou organizace schopny vůbec detekovat nesprávné sdílení přístupových práv.
Hlavní překážku pro lepší kontrolu přístupových práv privilegovaných uživatelů představují podle respondentů neustálé změny požadavků, nekonzistentní schvalovací procesy, vysoké náklady na sledování přístupů a složité ověřování změn oprávnění. Zlepšení aktuálního stavu pak může přinést sledování privilegovaných uživatelů v případě jejich použití administrátorských oprávnění, identifikace porušení bezpečnostních pravidel a centrální správa přístupů v celé organizaci. Téměř 80 % respondentů uvedlo, že nasazení řešení pro správu bezpečnosti informací a aktivit (SIEM) bylo rozhodující pro podstatné zlepšení správy, administrace a sledování přístupových práv privilegovaných uživatelů.
Představitelé společnosti HP, která si provedení průzkumu u Ponemon Institute objednala, ihned upozorňují na své léky řešící uvedenou situaci: Nabízejí komplexní bezpečnostní řízení a správu privilegovaných uživatelů prostřednictvím nástroje Security Intelligence Platform, jež je podle nich klíčovou součástí řešení HP IT Performance Suite, které umožňuje IT administrátorům optimalizovat provoz a vylepšit výkon síťové infrastruktury. HP IT Performance Suite nabízí ucelený přehled o celé IT infrastruktuře a automatizuje její správu.
Své řešení zaměřené na ochranu firem před hrozbami ze strany jejich zaměstnanců nabízí i česká společnost Safetica Technologies, a to konkrétně se svým produktem Safetica Endpoint Security. Safetica podle svých autorů chrání před únikem dat a dohlíží na pracovní činnost zaměstnanců. Cílem je odhalit rizikové chování zaměstnanců dlouho před tím, než mohou firmu ohrozit. Pokud se problém objeví, software by měl zabránit nejhoršímu – tedy vynesení citlivých informací z firmy či poškození zájmů společnosti. Klientovi podle představitelů výrobce software současně zajistí cenné důkazní materiály pro případný spor s problémovými zaměstnanci.
Safetica Endpoint Security nabízí manažerům neustálý přehled o dění ve společnosti a především o tom, kdo pracuje s jakými daty. Nezatěžuje je však zbytečnými detaily; zasílá pravidelné souhrny výsledků a v případě nebezpečí je ihned varuje. Každý manažer si přitom sám může vybrat, na co bude upozorněn – a detaily může zkoumat až v okamžiku reálného podezření.
V současné době produkt Safetica Endpoint Security distribuují partneři výrobce ve 45 státech světa. A plánována je další expanze.
Také pohled na USB disky a nutnost jejich zabezpečení se postupně mění. Podle výše zmíněného průzkumu Ponemon Institute v současnosti 34 % USB disků používaných v evropských organizacích používá šifrování dat, přičemž 49 % evropských organizací tvrdí, že jejich USB disky vyhovují hlavním bezpečnostním standardům.
A ještě pohled z jiného úhlu: 68 % zaměstnanců podle Ponemon Institute potvrzuje, že jejich organizace má nějaká pravidla pro používání USB disků – ale 37 % evropských organizací prý tato pravidla nevynucuje. 46 % zaměstnanců pak nedodržuje důležitá bezpečnostní pravidla pro práci s USB disky, mezi která podle představitelů společnosti Kingston Technology patří: používání hesel, blokování USB portů (pro neschválená zařízení), kontrola zařízení na viry a další malware, monitorování USB disků a šifrování dat.
Kingston Digital Europe samozřejmě také nabízí své řešení pro zajištění bezpečnosti USB disků: Koncem loňského roku představila rodinu USB flash disků Kingston DataTraveler 6000, které chrání citlivá data podle požadavků normy FIPS 140-2 (Federal Information Processing Standard), v jejímž rámci je certifikován pro Level 3. DataTraveler 6000 využívá patentovanou technologii Secured by Spyrus, která podporuje 256bitovou šifru AES na hardwarovém základě s využitím režimu blokového kódování XTS. Podle výrobce jde o nejbezpečnější USB flash disk na současném trhu a splňuje předpisy pro nakládání s uloženými daty v organizacích poskytujících finanční služby a ve vládních úřadech. Pro své chráněné USB disky nabízí Kingston i software určený pro jejich centrální správu v organizaci.
Společnost Gallup, která se zabývá výzkumem a poradenstvím v oblasti psychologie, managementu a sociologie, člení zaměstnance ve firmách na základě svých anket typicky do třech skupin. V první z nich jsou zaměstnanci, kteří pracují se zájmem a nadšením pro danou věc. Ti zpravidla řídí rozvoj a inovace ve společnosti a je jich cca 27 %. Druhou skupinou jsou zaměstnanci, kteří pracují bez vášně a zájmu o úspěch společnosti a nevyužívají plně svůj potenciál. Takových je podle výzkumu Gallupu 59 %. A poslední skupinu tvoří zaměstnanci aktivně vystupující proti společnosti. Do práce chodí negativně naladění, snaží se škodit v tom, co dělají oni i jejich spolupracovníci, a často se tak mstí za domnělé křivdy jim způsobené. Těch je dle výzkumu 14 %.
Ani další dostupné statistiky nejsou zcela optimistické. Podle IDC 30-40 % přístupů na internet v pracovní době není stráven pro účely související s prací. Podle průzkumu Morse se pak 57 % dotázaných pracovníků v práci věnuje osobním aktivitám na sociálních sítích. Dle staršího průzkumu KPMG (z roku 2009) skončí 70 % ukradených dat u konkurence.
I když připustíme, že podobná varování hrají do noty poskytovatelům bezpečnostních produktů a služeb, vždy stojí za to položit si otázku, nakolik může některý z nastíněných problémů existovat i v mé organizaci. A pokud není dosud řešen, zda a jak vážně může ohrozit její fungování.
Málokteré téma je tak rozporuplné jako bezpečnost IT: Na jednu stranu se o ní stále mluví a všichni si uvědomujeme, kde...
