Společnosti čelí celému spektru různých útoků, které ale v zásadě využívají buď chyb a slabin informačních systémů nebo nejslabšího prvku každého systému, jímž je člověk. Zatímco informační systémy lze relativně rychle opravit, upravit, nebo útoky odhalit a blokovat, s lidským chováním je to násobně náročnější i díky tomu, že neexistuje univerzální vzorec lidského chování. Navíc v porovnání s informačními systémy je člověk dinosaurus a své chování jen velmi obtížně mění. Ne nadarmo existuje pěkné české přísloví, které říká, že: „Starého psa novým kouskům nenaučíš.“

Chování uživatelů je slabým místem v nastavení bezpečnostní politiky. Víc než třetina zaměstnanců předpokládá, že se jich kybernetická bezpečnost nijak netýká a že se o ni postará za ně jejich firma. Svůj podíl na bezpečnosti osobních i firemních dat si nepřipouští. Zaměstnanci však zároveň mají v rámci běžné pracovní činnosti přístup k citlivým datům a někteří z nich mají i motivaci a tendenci tento přístup zneužívat – např. pro určitou skupinu jsou firemní data prostředkem nebo pomocníkem pro získání nového zaměstnání u konkurence Jedná se zejména o obchodní pozice, nebo zástupce střední managementu. Lidé na těchto pozicích jsou také často přesvědčení, že bezpečnostní politiky potlačují inovace, že jim jen ztěžují práci místo, nebo že náklady ztracené obchodní příležitosti jsou vyšší, než náklady na porušení bezpečnosti. Proto nakonec bezpečnostní pravidla obcházejí vědomě nebo je zcela ignorují.

Drtivá většina uživatelů ve firmách neví vůbec nic o aktuálních bezpečnostních problémech, jakým byl Heartbleed, jakým je Phishing nebo aktuálně třeba BadUSB. Zaměstnanci se poměrně často spoléhají na bezpečnostní opatření v jejich firmě a díky tomu se chovají méně opatrně, než by byli ochotni na svém domácím počítači. Uživatelé jsou doslova oslepeni falešným pocitem bezpečí při práci s informačními technologiemi v práci. Uživatelé také často používají firemní prostředky i pro osobní věci – nejčastěji jde o soukromé emaily, elektronické bankovnictví, sociálních sítě a také, zejména na konci roku, o nákupy na internetu.

Na nejslabší místo informačního systému, jeho uživatele, se tak zaměřují útoky metodou sociálního inženýrství. Ty se snaží obcházet technické prostředky, manipulují či klamou uživatele s cílem získat informace. A nepozornost uživatelů a jejich nevědomost jim v tom přímo napomáhají. Díky tomu jsou tyto typu útoků velmi nebezpečné a existuje jen omezené množství přímé ochrany.

Dříve se bezpečnostní politika soustředila na ochranu proti vnějším útokům a jejich aktualizace na aktuální trendy pokulhává. Téměř všechny firmy dnes již mají poměrně solidně chráněný vnější perimetr a nyní by se měly zaměřit na chování svých zaměstnanců. Každá společnost, která chce mít odpovídající bezpečnost firemních dat se musí zaměřit na ochranu na všech úrovních, nejen z venku, ale i zevnitř, zajistit ochranu ale současně obnovu dat, zabezpečit jednotlivá zařízení, ale také soustavě zvyšovat gramotnost uživatelů s cílem zvýšit jejich povědomí o bezpečnostních rizicích.

Žádné složité hackování, stačí obyčejný flash disk

Manipulace s daty a jejich vynášení z firem je překvapivě na okraji zájmu vedení firem. Samozřejmostí by v každé firmě měla být propracovaná politika přístupových práv. Přesto analýza firemních dat, kategorizace dle důležitosti nebo citlivosti, či soupis rizik, to nejsou často prováděné úkony. Management firem často otázku bezpečnosti podceňuje, považuje ji za druhořadou záležitost a jako pouhý doplněk práce firemního IT administrátora. Mělo by tomu přitom být naopak.

Výsledkem je, že stále velmi málo firem omezuje interní využívání přenosných médií nebo monitoruje pohyb informací jejich prostřednictvím. Díky tomu lze na společnosti s nejmodernějšími firewally, antiviry, filtrováním pošty snadno zaútočit například tak, že rozhodíme pár USB disků v jejich kancelářích. Nač se složitě probourávat přes síťové prvky, když za pár stokorun můžeme dosáhnout požadovaného výsledku?

Monitorování uživatelských aktivit je dnes ve firmách používáno spíše z ekonomických důvodů – tedy pro kontrolu vytížení počítačů prací, pro měření efektivity využití licencí či pro měření efektivity práce uživatelů v pracovních aplikacích. Stejně tak je však použitelné pro monitorování bezpečnostních rizik – erotické servery, internetová kasina, pochybné e-shopy, či služby sdílení souborů mohou být zdrojem nákazy. Stejně tak přenosná paměťová zařízení. Programy, které se na počítač z těchto zdrojů dostanou, mohou nejen obtěžovat, ale mohou ničit data, zpomalovat práci, krást osobní údaje a hesla….

Na proaktivní bezpečnost ve firmách neexistuje univerzální recept. Majitel nebo management firmy by se měl nejdříve zamyslet, jaká aktiva jsou ohrožena, čím je společnost nejvíce zranitelná a pak teprve uvažovat o tom, kterým hrozbám a jak se bránit. Monitorování rozhodně není samospasitelné, nezajišťuje totiž bezpečnost pouze tím, že ho nasadíme. Je třeba ho používat, tedy výstupy z něj důsledně kontrolovat.

Monitoring připojení a využívání výměnných zařízení

Vůbec prvním krokem v řešení problému používání periferních zařízení by tak mělo být získání informací o využívání výměnných zařízení ve vnitrofiremní síti. Tedy získání přehledu o aktuálním způsobu práce zaměstnanců s výměnnými zařízeními nutným k navrhnutí adekvátního dalšího postupu a přístupu společnosti k těmto zařízením. Monitoring se provádí speciální aplikací přímo na koncové stanici. Navíc aplikace může v případě zaznamenání nebezpečné aktivity dle potřeby generovat alertová upozornění. Na základě obdrženého alertového emailu je možné na situaci okamžitě reagovat a podniknout nezbytné kroky.

Výsledkem monitoringu by pak měla být bezpečnostní politika upravená o pravidla pro nakládání s výměnnými médii. Po seznámení uživatelů s novou bezpečnostní politikou a zavedení patřičných omezení slouží monitoring k dalšímu auditování stavu v síti a ověření funkčnosti opatření i bezpečnostní politiky. To odpovídá známému Demingově cyklu "Plan-Do-Check-Act", který je metodou postupného zlepšování.

Na základě znalosti využívání a připojování výměnných médií lze pak přistoupit k blokování jejich využití na koncových bodech. Blokování, respektive omezení přístupu, může být prováděno na základě několika kritérií – port, class (druh), HardwareID, SerialNumber. Blokování pak probíhá klasickým způsobem – definování pozitivních a negativních podmínek. Organizace tak snadno dosáhne toho, že na stanicích budou například používány pouze firemní zařízení a připojení neautorizovaných zařízení nebude možné.

Bezpečnost firemních dat je dlouhodobý úkol. Vždy je třeba myslet dopředu a řešení nepředstavuje jednorázové nastavení. Vždy je ale potřeba někde začít a pokud se rizikového chování uživatelů obáváte, má smysl o monitorování začít uvažovat.

Ing. Martin Ondráček