Díky časté publicitě, které se v médiích dostává virům a útokům tzv. "hackerů", se mohou manažeři domnívat, že to jsou hlavní hrozby, které ohrožují jejich firemní data.Proto je také mnoho firem, u kterých ochrana informací zatím spočívá v tom, že:

. mají nainstalován antivirový program,
. pořídily si tzv. "firewall" (zařízení, které omezuje možnosti dostat se z Internetu do vnitřní počítačové sítě).

Všimněme si, že všechno jsou to opatření chránící data pouze před externím útočníkem. Tedy před někým, kdo se nachází mimo firmu a útočí zvenčí prostřednictvím napojení IS firmy na okolní prostředí - přes Internet, telefonní linky spojené přes modemy k počítačům, diskety nebo e-mail. Přirovnal bych tato opatření k umístění hradeb či stráže na přístupové cesty zvenčí. To je samozřejmě dobře. Zkusme se však zamysleme nad tím, zda to stačí - zda je skutečně "uvnitř hradeb bezpečno"?

Motivace externího útočníka
Pokud zaútočí externí útočník - jaké obvykle bývají následky jeho "úspěšného" útoku?

V případě napadení počítačovým virem: Z přibližně 50 tisíc známých virů je pouze několik stovek těch, které ničí data na napadeném počítači. Většinou se tedy vir pouze rychle šíří a různými způsoby se zviditelňuje (obrázky, nápisy, "padající písmena", nezvyklé zvuky, apod.).

V případě průniku hackera: V drtivé většině pouze pozmění úvodní internetovou stránku zvolené firmy nebo instituce (pro tuto činnost se dokonce ustálilo v angličtině nové sloveso - "deface"). Typy stránek, které si hackeři nejčastěji vybírají, mají obvykle některý z atributů:

. jsou hojně navštěvovány (informační portály, zábavní servery, apod.),
. jde o stránky vážených institucí (úřady, ministerstva, apod.),
. byly dávány jako vzor (např. vítězná internetová prezentace veřejné správy okresu, ...)
. používají web-server od firmy Microsoft (zvláště ceněnou hackerskou "trofejí" bylo nedávné proniknutí na jeden z internetových serverů samotné společnosti Microsoft).

Vyplývá to z motivace, jakou externí útočník obvykle má - chce zviditelnit své schopnosti:

. "Podívejte, jak jsem dobrý - sice mě nikdo nezná, ale umím toho mnoho!"
. "Jsem lepší než váš správce systému, příp. antivirový program!"
. "Zahoďte ten nekvalitní a děravý $W, který používáte!" - nepřátelé největšího výrobce operačních systémů občas s oblibou využívají podobnosti písmene S se symbolem dolaru.

Následkem útoku je hlavně ostuda firmy. Je však vnímaná spíše jako ostuda administrátora (nebo firmy, která poskytuje web-hosting), celkový skutečný dopad je malý. Proč vlastně hacker obvykle nepřekročí pomyslnou hranici trestného činu? Pro hackera je to souboj se správcem systému a softwarem, který je použit pro zabezpečení systému. Je to hra doprovázená vzrušením z nebezpečí, že může být chycen. Pokud však nepůsobí jinou škodu, nemůže být významně potrestán a může svoji vášeň provozovat dál. Je jako rybář bez povolenky, jehož největší vášní je lov, a proto pouští chycené ryby zpět do vody. Pokud si rybu nechá, tak již překročil zákon. Navíc chycená ryba jej může usvědčit.

Informace nad zlato
Většina z nás si již dnes uvědomuje význam a hodnotu informací, neboť víme, jak je pracné shromáždit použitelný vzorek dat, a tušíme možnosti jejich využití či zneužití. U databází klientů se tento problém začíná týkat i nás osobně.

Proto jsou zneklidňující množící se zprávy typu "...byla zcizena data z databáze klientů společnosti XYZ ..."

Když však analyzujeme tyto "bezpečnostní incidenty", co bývá nejčastěji jejich příčinou? Ve velké většině jde o zanedbání povinností z neznalosti nebo z lenosti, teprve na dalším místě je úmyslný čin. Co je ale významné - viníkem je interní pracovník. Tím míním nejen zaměstnance, ale kohokoli s podobným přístupem k informačnímu systému zevnitř firmy (pracovník servisní firmy, děti hrající si s firemním počítačem při návštěvě rodiče v zaměstnání, apod.).

Útočící zaměstnanec
Pokud interní pracovník útočí na firemní data s cílem firmě uškodit nebo sobě polepšit, jde vždy o souhru faktorů:

. motivace pro útok (pocit křivdy, msta, nouze, ...),
. charakterové předpoklady (slabé morální zábrany),
. potřebné znalosti a nástroje,
. nedostatečné zabezpečení informací.

Znalosti potřebné k průniku již dnes nemusí nutně být na úrovni znalostí systémového administrátora - stačí běžné znalosti ze školy, čas a schopnost hledat na Internetu, kde jsou ke stažení volně dostupné "hackerské" nástroje - programy, které běžným uživatelským postupem umožňují:

. zachytit a prohlížet vzájemnou komunikaci počítačů ve firemní síti,
. stáhnout databáze zašifrovaných hesel ze serveru nebo z PC,
. hesla rozšifrovat (metodou porovnávání s existujícími slovy ze slovníku nebo tzv. "brutální silou" - zkoušením všech možných kombinací).

Interní pracovník má, na rozdíl od externího hackera, podstatně větší možnosti přístupu k internímu systému, neboť část dat v systému potřebuje ke své práci.

Dokonce jsou časté i případy, kdy si propuštěný zaměstnanec připraví "díry do systému", kterých zneužije ve svůj prospěch po odchodu z firmy.

Chybující zaměstnanec
Zatímco úmyslně útočících zaměstnanců je naštěstí relativně málo, více či méně chybující a nedbalí jsou všichni. Každý pracovní den se všichni pracovníci svými občasnými chybami a zanedbáním nevědomky pokoušejí způsobit nedostupnost, poškození, zničení či prozrazení firemních informací. Ačkoli nejde "útok", jsou dopady podobné.

Závěr
Spíše než externí útočníci jsou podstatně větší hrozbou pro integritu a důvěrnost informací firmy její interní pracovníci.

Ochrana proti chybám a útokům interního pracovníka je však komplikovanější. Tím, že musí mít zaměstnanec možnost se systémem pracovat, je bezpečnost dat neustálé dolaďování kompromisu mezi tím, co mu dovolit a co ne.

Pokud chce manažer klidně spát, měl by začít postupně budovat systém řízení bezpečnosti informací, který spočívá v opakujícím se cyklu činností,

. nastavení organizace a politiky řízení bezpečnosti,
. analýza rizik a plán bezpečnostních opatření,
. realizace ochranných opatření a budování povědomí o bezpečnosti u zaměstnanců,
. monitoring a pravidelná kontrola.

Pozn.: Autor článku, Pavel Novotný, je senior konzultantem oddělení Information Risk Mamagement společnosti KPMG ČR. Podílí se na projektech informační bezpečnosti především pro finanční sektor, sektor telekomunikací a sektor utilit.