Obvyklým postupem organizací je snaha zabezpečit firemní síť a firemní data proti napadení zvenčí a zabránit tak jejich ztrátě. To jsou samozřejmě podstatná a potřebná opatření, ale zdaleka ne dostatečná. I přes dokonalé zabezpečení proti útokům zvenčí, organizace často překvapí útoky zevnitř. Jak se říká, nejnebezpečnější jsou ti, kdo sedí mezi židlí a klávesnicí - tedy lidé. Je třeba si uvědomit, jakým způsobem pracují zaměstnanci s daty, která jsou pro organizaci citlivá a důvěrná a jaká rizika z toho plynou. Cílem je získat jistotu, že data zůstávají na svém místě a neputují mimo organizaci, např. ke konkurenci, která je za ně schopna zaplatit nemalé částky. Statistiky ukazují, že firmy utrácejí miliony za bezpečnostní systémy, ale vlastní zaměstnance si nedokáží ohlídat. Ti tak způsobí z nedbalosti či úmyslně až 3/4 případů úniku citlivých dat.

Podle našich zkušeností by se společnosti měly držet klasického bezpečnostního mixu: provést analýzu rizik, klasifikovat data, provést organizačních opatření, zajistit proškolení zaměstnanců a realizovat fyzické a elektronické opatření k zabezpečení dat. Je také dobré, aby společnosti měly alespoň elementární procesy pro řízení bezpečnostních incidentů, plánování kontinuity provozu atp. Data musíme ve firmě chránit podle úrovně jejich citlivosti, důležitosti a v návaznosti na zjištěná rizika musíme také vědět, že tato ochrana funguje a zaměstnanci ji neobchází a dodržují. Všechna „informační aktivita“ by měla mít jasnou zodpovědnou osobu, protože pokud jsou důvěrná data „všech“, nikdo za ně necítí reálnou zodpovědnost a to je cesta do pekel.

Naši vlastní zaměstnanci

Důležitým aspektem je také loajalita zaměstnanců – spokojený pracovník nemá zájem poškozovat společnost. Vzhledem k faktu, že nejžádanějšími jsou takové informace, které lze rychle zpeněžit (nebo využít v konkurenčním boji), výraznou hrozbu představují například zaměstnanci, kteří hodlají z firmy odejít. Útoky hackerů jsou až výrazně za škodami způsobenými interními krádežemi. Nelze říct, že každý zaměstnanec je zloděj nebo něco podobného, ale každý zaměstnanec představuje reálné bezpečnostní riziko, které je třeba mít na paměti. Proto je nutné definovat různé úrovně přístupu k firemním datům. Zaměstnanec, který nemá přístupu k datům, je z logiky věci nemůže ani odnést, ani smazat či jinak poškodit. Každý by měl mít proto přístup jen k takovému množství dat, které reálně potřebuje ke své práci. Nedodržení tohoto jednoduchého pravidla vedlo i v mnoha známých firmách k velkým problémům.

Každá organizace zpracovává také zvláště citlivé nebo důvěrné informace. To jsou jednak osobní údaje (dnes obzvláště velmi žhavé v návaznosti na téma GDPR), know-how, výrobní postupy a podobné, ale také manažerské informace obsahující například strategické plány. Podobně jsou na tom také obchodní údaje, např. nabídky před uzavřením smluv nebo i smlouvy samotné. Takové informace musí požívat vyšší míru ochrany, a je nutné je chránit šifrováním, jelikož samotné nastavení přístupových práv již není dostatečné. Šifrování dat je ultimátním opatřením proti neoprávněnému přístupu a zneužití.

Není šifrování jako šifrování

Abychom zajistili, že šifrování dat ochrání před neoprávněným přístupem uvnitř organizace, musíme použít takový šifrovací nástroj, který dokáže oddělit přístup k datům (oprávnění) od vlastnictví šifrovacího/dešifrovacího klíče. Tím můžeme zajistit, že k datům bude mít přístup jen konkrétní uživatel, nebo jen vybraná skupina uživatelů. K nejcitlivějším datům firmy se tak nebudou moci dostat dokonce ani „všemocní“ administrátoři ICT systémů. Právě ochrana před těmito privilegovanými uživateli, ať už se jedná o interní nebo externí pracovníky, je také častou motivací realizace šifrování. Privilegované uživatelské účty představují jedno z nejvyšších rizik pro firemní informace a bohužel ne vždy je tak s nimi zacházeno. Kompromitací jednoho účtu totiž může firma přijít o vše co má – ať už se informace dostanou ke konkurenci, nebo jsou poškozeny například ransomwarem.

Je samozřejmé, že pokud jsou data zašifrována na datovém nosiči, jsou zde chráněna i při opuštění firmy. Například tedy, pokud realizujeme šifrování na koncových bodech, jako jsou notebooky, a jeden z těchto notebooků je zaměstnanci ukraden z auta, jsou data nečitelná a nedostupná i pro tohoto zloděje. Při správné volbě technologie lze tak jedním šifrováním vyřešit jak interní, tak externí hrozbu. I z pohledu GDPR je opravdu velký rozdíl, zda byla data v okamžiku ztráty zařízení šifrována nebo ne. Pokud data unikla díky tomu v zašifrovaném tvaru, není třeba takový incident ani oznamovat subjektům údajů.

Obdobným způsobem lze zajistit také data, která opouštějí organizaci prostřednictvím výměnných zařízení jako je USB disk. I na rozměrově malém flash disku dokáže zaměstnanec nebo nespokojený IT pracovník odnést kompletní data celé společnosti. Podle našich zkušeností ale jen malé procento podniků vůbec kontroluje připojení výměnných médií, téměř nikdo pak nechrání opouštějící data šifrováním. Přitom je poměrně běžné, že zaměstnanec pro získání výhody při změně zaměstnání opustí svého původního chlebodárce s napěchovanou USB pamětí. Na to si stěžují například pojišťovny, banky a poradenské firmy, právní kanceláře, ale i technologické firmy. Toto slepé místo většiny firem je třeba pečlivě hlídat.

Z výše popsaných důvodů je třeba šifrování nastavit tak, aby bylo na uživateli zcela nezávislé. Pokud totiž má chránit před neopatrností a chybou zaměstnance, nelze spoléhat na to, že sám správně zvolí, která data a jak chránit. Proto se osvědčila řešení, která stojí na transparentnosti (pro uživatele neviditelné), na online šifrování (neboli šifrování za letu, kdy dochází k šifrování a dešifrování do paměti v okamžiku práce s daty) a s centrálním řízením a depozitářem šifrovacích klíčů. Postupem času a dle zkušeností se nejvíce osvědčila metoda šifrování po souborech. Velmi důležité je, aby uživatel pracoval v běžném prostředí, které mu nepřipadá cizí a je na něj zvyklý. Veškeré soubory se jeví standardně (není na první pohled poznat, že se jedná o šifrované informace). Díky tomu se eliminuje možnost selhání lidského faktoru. Data zůstávají na nosičích vždy v šifrované podobě a nikdy neopouští úložiště dešifrované.

Centrálně řízené systémy také umožňují, aby se organizace dostala k datům vždy, kdy je třeba i v případě absence spolupráce uživatele. Konkrétní technologie key escrow mechanismů již záleží na vybraném řešení, vždy se ale ujistěte, že je řešení obsahuje a je plně v moci organizace. I pokud v konkrétním okamžiku má k určitým datům firmy přístup pouze 1 uživatel (např. prostřednictvím „osobního“ klíče při vytváření dat), jedná se vždy o firemní informační aktiva. Šifrování dat nemá za cíl popřít vlastnictví těchto aktiv a převést je na jednotlivé osoby či skupiny, ale pouze omezit množství osob, které k nim mají v daný okamžik přístup. Navíc, tyto skupiny nebo osoby se mohou v čase měnit a zaměstnanec může mít k určitým datům přístup například pouze po určitou dobu.

Jedna rada na závěr

Dnes je velmi aktuální problematika GDPR a spousta organizací se zabývá jeho řešením. V každé firmě se ale nachází mnoho jiných, pro firmu důležitých a citlivých dat, jejichž ztráta nebo vynesení může potenciálně způsobit velké škody. Nezaměřujte se proto při řešení GDPR jen na osobní údaje, ale využijte této šance v jenom kroku vyřešit ochranu i ostatních citlivých dat. K ochraně informací se můžete inspirovat i obecnými normami, jako je např. ISO27001 nebo zákonem o kybernetické bezpečnosti (pokud přemýšlíte jak začít, doporučuji dobře zpracovanou vyhlášku 316/2014 Sb.). Pokud jsou tyto postupy dobré pro kybernetickou obranu státu, jistě budou dobré i pro ochranu osobních údajů…

Martin Ondráček Autor článku je technickým ředitelem společnosti SODAT.