Proč mají úniky dat tak fatální následky? Zejména proto, že firmy na tuto eventualitu nejsou připraveny. Jejich majitelé si sice dobře uvědomují existenci rizika ztráty nebo zneužití firemních dat či údajů o zákaznících, většinou však hrubě podceňují míru vlastního ohrožení, a naopak přeceňují náklady, které souvisejí s jejich potlačováním. Chybou je také zúžení problematiky bezpečnosti dat pouze na ochranu před viry a malwarem.
Na rozdíl od velkých společností jsou malé podniky, které zpravidla nedisponují vlastní bezpečnostní politikou a dostatečným know-how, vůči bezpečnostním hrozbám mnohem náchylnější. Není divu, server Business Know-How uvádí, že až třetina firem s malým počtem zaměstnanců například nepoužívá na svých počítačích ani základní antivirovou ochranu. Podceňuje se také vzdělávání a kontrola zaměstnanců.
Zranitelnost menších firem neláká pouze kybernetické zločince a obchodníky s citlivými údaji, data jsou v nebezpečí i bez nich. Jedním z kritických bodů je samotná správa dat, jejímž hlavním nepřítelem je nepořádek. Firmy, v jejichž správě dat panuje chaos, si přímo koledují o ztrátu nebo únik choulostivých informací. Dalším nebezpečím jsou pak samotní zaměstnanci. Ti mohou buď záměrně, nebo nechtěně způsobit zaměstnavateli škodu, která by pravděpodobně nenastala v případě aktivní prevence.
Jaké jsou nejčastější typy hrozeb pro bezpečnost citlivých dat?

1. Hacking a malware

Nebezpečí zvenčí nikdy není radno podceňovat. „Jsem přesvědčen o tom, že existují pouze dva druhy společností – takové, do kterých se již hackeři nabourali, a ty, do nichž se teprve nabourají. Obávám se, že v blízké době budou existovat pouze společnosti, do jejichž systémů hackeři pronikli, a společnosti, do nichž proniknou znovu,“ řekl ředitel FBI Robert Mueller na březnové konferenci o počítačové bezpečnosti v San Franciscu.
V malých firmách, které nemají vlastní IT bezpečnostní oddělení, musí částečně převzít zodpovědnost sami zaměstnanci a dodržovat základní pravidla. Společnosti, které se stanou obětí kyberzločinců, v zásadě doplácejí buď na nedostatečné firewallové zabezpečení, neaktualizovaný antivirový program nebo na slabá hesla, kterými jsou citlivá data zabezpečena. I přes vzrůstající počítačovou gramotnost se můžeme i nadále setkat v databázi hesel s kombinacemi typu „heslo“ a „123456“. S tím souvisí také zabezpečení bezdrátového připojení. Máte v kanceláři wifi připojení přes WEP, nebo používáte šifrování WPA2? Pak riskujete vinou jednostranné autentizace neoprávněný přístup do vaší sítě.

2. Neúmyslné zveřejnění a sociální inženýrství

Typický problém, kterému lze aspoň částečně předejít proškolením zaměstnanců a omezením jejich přístupu k citlivým údajům. Pravděpodobně není ve vašich silách uhlídat všechny, zejména pak externí pracovníky, aby nesvěřovali firemní informace čtenářům svého blogu nebo kamarádům na sociální síti Facebook. Abyste takovému jednání zamezili, je potřeba o těchto rizicích zaměstnance informovat. Poměrně novým trendem je sociální inženýrství (sociotechnika), což je způsob manipulace lidí s cílem získat od nich informace důvěrného charakteru nebo je přinutit k vykonání požadované činnosti. Objekt nejzranitelnější sociotechnikem v organizaci je zpravidla právě zaměstnanec. Ve všeobecnosti velkou část bezpečnostních rizik identifikovaných v rámci organizace reprezentuje lidské chování – chyba, nepozornost, nedbalost, nevědomost. To podporuje i zjištění z průzkumu stavu informační bezpečnosti v organizacích na Slovensku z roku 2011 organizovaného společností Eset. V něm 63 procent organizací označilo za příčinu výskytu bezpečnostního incidentu chování zaměstnanců.

3. Ztracené, zničené nebo ukradené nosiče dat

Ohrožena jsou jak data v elektronické, tak samozřejmě i v papírové podobě. Typickými příklady jsou ukradený chytrý telefon s databází kontaktů klientů, rozbitý pracovní notebook nebo ztracená složka se smlouvami. Pokud se takový incident stane, v lepším případě o data jen přijdete, v horším je může někdo zneužít a vaši firmu tím značně poškodit.

4. Zaměstnanci

Potenciálním nebezpečím pro datovou bezpečnost jsou vlastní zaměstnanci, kteří záměrně kradou či zveřejňují citlivé informace. Tento problém v případě odhalení často končí u soudu a nedá se mu zabránit jinak než pečlivým výběrem pracovníků, jasně specifikovanou smluvní zodpovědností a kontrolou ze strany vedení.

Jak tedy účinně bojovat s hrozbami týkající se bezpečnosti dat? Odborníci na datovou bezpečnost radí malým firmám vypracovat základní bezpečnostní strategii, jejíž základní součástí je identifikace zranitelných míst ve firmě. Zjistěte si, jaká data máte uložená a kde, kdy byla naposledy zálohována a kdo k nim má přístup. Taková inventura vyžaduje často takřka detektivní přístup, přináší však překvapivá zjištění. Na konci procedury pak můžete vypracovat vyvážený mix opatření, která eliminují největší a často zcela zbytečná rizika.
Platí zásada, že citlivá data musí být rozmístěna na co nejmenším počtu počítačů a důsledně oddělena od ostatních dat a sítí. Každá kopie navíc přitom znamená ohrožení bezpečnosti. Dokumenty a další choulostivé informace by se neměly ukládat bez zašifrování. Ve Windows poslouží integrovaný nástroj BitLocker, existuje ale i mnoho dalších šifrovacích programů.
Abyste se vyhnuli úniku prostřednictvím škodlivého softwaru, používejte antivirovou ochranu. Některé antivirové programy obsahují ochranu před nevyžádanou poštou, spywarem a potenciálně nechtěnými aplikacemi. Bezpečnostní balík může dále obsahovat firewall a filtrování obsahu. Snažte se při internetové komunikaci používat ve vaší firmě šifrovací protokol SSL. Platí to zejména při zacházení s čísly platebních karet nebo finančními daty. Stejný přístup byste měli vyžadovat také od společností, s nimiž spolupracujete.
Vaše konkurenceschopnost nebo důvěryhodnost nemusí být nutně poškozena jen v případě, že se ven dostanou rozsáhlé složky dokumentů. Běžně se stává, že z firemních komunikačních kanálů nebo prostřednictvím vašich zaměstnanců unikne ven drobná, ale důležitá informace, kterou jste plánovali zveřejnit až ve správnou dobu, popřípadě si ji nechat úplně pro sebe. Nejnáchylnější k nechtěnému úniku jsou typicky sociální sítě. Ty jsou navrženy k jednoduchému, rychlému a efektivnímu sdílení informací, což je jejich výhoda a nevýhoda zároveň.
Každá společnost by měla dbát o to, co se objevuje na jejím firemním facebookovém nebo twitterovém účtu, a poučit zaměstnance o tom, že na sociálních sítích by měli oddělit svůj soukromý život od pracovního. Rizika tohoto fenoménu podceňuje nebo přehlíží mnoho internetových uživatelů. Je tedy naivní spoléhat na to, že mezi nimi vaši pracovníci nejsou.
Zaměstnanci by také neměli bez povolení stahovat a instalovat na firemní a další počítače s přístupem k citlivým datům software, který není nezbytný pro jejich práci. I přes filtry v podobě firewallu nebo antivirového programu může kvůli nepozornosti nebo neznalosti uživatele proklouznout malware, spyware a další hrozby.
Zvláštní kapitolou je trend BYOD (bring your own device neboli přines si vlastní zařízení). Nad notebooky, tablety a smartphony vašich zaměstnanců, které jsou běžně využívány k nakládání s citlivými firemními záznamy, nemáte jako zaměstnavatel téměř žádnou kontrolu. Proto je nutné v rámci bezpečnostní strategie omezit přístup k citlivým datům z nefiremních mobilních zařízení a zároveň poučit zaměstnance o pravidlech BYOD ve vaší firmě.
I malé společnosti, zachází-li s množstvím citlivých dat, se může vyplatit najmout si na kontrolu a tvorbu strategie ochrany dat externí firmu. To sice nutně vyžaduje investici, existuje ale vysoká pravděpodobnost, že kvalifikovaná společnost zvládne ohlídat více aspektů než vy nebo váš zaměstnanec IT, který se může plně soustředit jen na byznys. Jak je známo, řešit následky vážného selhání bezpečnosti dat vyjde mnohem dráž než prevence.

Jaroslav Fabián
Autor článku působí ve společnosti Eset.