Celosvětová síť poradenských společností KPMG systematicky vyhodnocuje po celém světě bezpečnostní incidenty spojené se ztrátou dat. Studie KPMG Data Loss Barometer sleduje, o jaké ztráty se jedná, kde k nim dochází a jaký mají dopad na postižené osoby. V tomto článku bychom chtěli čtenáře seznámit s aktuální situací a trendy, zamyslet se nad vývojem pro nejbližší období a ukázat, jak je možné citlivá data chránit. Incidenty spojené se ztrátami dat jsou totiž nejen finančně nákladné, ale mohou závažně poškodit pověst společnosti.

Jak významný je problém ztráty dat?

Důvěra a rostoucí závislost společností na technologiích přispívají ke vzniku bezpečnostních incidentů, nových rizik a citlivých oblastí. Ochrana dat je proto nejen různorodější, ale i obtížněji kontrolovatelná. S tím, jak se široká veřejnost více seznamuje s podvody a hrozbami pro jejich osobní informace, zákonitě roste i její zájem o danou tematiku. Roste také počet mediálních zpráv, které o porušení bezpečnostních předpisů informují.
Krádeže PC nebo cílené útoky hackerů jsou již dnes běžnou součástí našeho života. V boji proti externím hrozbám jsou klíčová technická opatření jako například zabezpečení počítačových sítí. Nicméně i interní opatření hrají důležitou roli. To, jak jsou implementace a dodržování přísných interních opatření důležité, dokládá počet interních incidentů.
Při identifikaci nejcitlivějších dat a souvisejících interních a externích hrozeb je nezbytné se řídit a dodržovat principy řízení rizik. Pouze pochopení daných rizik může vést ke správným krokům, které tato rizika sníží a cenná data ochrání. K zajištění efektivních technických a procesních opatření je také nezbytné, aby si zaměstnanci byli plně vědomi svých povinností v oblasti informační bezpečnosti. Většina sledovaných incidentů byla způsobena buď činností hackerů, nebo ztrátou a krádeží přenosného média či ohrožením internetu nebo sítí. Činnost hackerů je stále organizovanější a incidenty s ní spojené mají největší dopad.

Nepřítele dnes hledejte hlavně uvnitř

Podle nejnovějšího výzkumu KPMG Data Loss Barometer 2009 počet úniků dat způsobených zaměstnanci stoupl v prvních šesti měsíců letošního roku o více než padesát procent. Stále více a více lidí se ocitá v pokušení ukrást svému zaměstnavateli důležitá data – data, která by mohla být použita při spáchání trestného činu nebo v rámci konkurenčního boje. Lidé jsou často nejslabším článkem v řetězci. Je tedy více než kdy jindy důležité udržet pevnou kontrolu nad osobami, které mají přístup k citlivým interním systémům a datům.
Ekonomické tlaky a lákavé nabídky od organizovaného zločinu vedly některé zaměstnance k tomu, že se odhodlali ke krádeži. Například zaměstnanec jedné americké firmy v personálním oddělení ukradl osobní informace o nejméně deseti svých kolezích. Informace předal svému příbuznému, který je použil k otevření bankovních účtů a k nakoupení zboží za tisíce dolarů. Nebo počátkem tohoto roku senior manažer pracující v jedné finanční instituci v Japonsku, který disponoval privilegovaným přístupem k firemním systémům, ukradl a prodal celou firemní zákaznickou databázi.



Tento nárůst je ovšem v kontrastu s klesajícím trendem v počtu hlášených ztrát dat v letošním roce. Bylo zaznamenáno téměř o třetinu méně případů než v prvních šesti měsících roku 2008. Existují dvě možná vysvětlení. Za prvé, po sérii několika vysoce medializovaných incidentů v roce 2007 si řada organizací uvědomila, že své informace musí více chránit. Za druhé, pozornost médií se přesunula k problematice finanční krize a ekonomické recese.



Dopad, který sebou přináší ztráta dat, nicméně stále roste s více než 110 miliony postiženými lidmi během prvních šesti měsíců letošního roku. Velká část z tohoto čísla se však týká prolomení systému ve firmě Heartland Payment Systems, kde hackeři pravděpodobně získali přístup k více než sto milionům údajů z kreditních a debetních karet. Tento incident je v současné době jedním z největších úniků dat v historii USA.

Vládní sektor pokulhává

Zatímco se v řadě odvětví daří počet případů ztráty dat snižovat, velkou výjimku tvoří vládní instituce. Zde nastal osmnáctiprocentní nárůst počtu incidentů ve srovnání s rokem 2008, a téměř třicetiprocentní oproti roku 2007. To je znepokojující především vzhledem k velké pozornosti, která se takovým případům dostává jak ze strany veřejnosti, tak i médií.



Odvětvím, které, jak se zdá, s problematikou úspěšně bojuje, jsou finanční služby – případy ztrát informací klesly o více než dvě třetiny. Podvodníci s identitou či zločinci si vysoce cení finanční informace a duševního majetku. Je proto povzbudivé vidět, že banky a další instituce kladou větší důraz na ochranu svých dat. Přes tento pokrok je však třeba varovat před sebeuspokojením. V době, kdy je podvodné jednání obecně na vzestupu, zločinci budou i nadále hledat způsoby, jak získat přístup do osobních účtů. Finanční společnosti si proto nemohou dovolit, aby tuto oblast pustili ze zřetele.

Notebook a paměťová karta

Krádeže laptopů jsou i nadále nejběžnějším narušením zabezpečení dat. I přesto se celkový počet těchto nehod snížil téměř na polovinu oproti roku 2008. Došlo také k významnému poklesu (o dvacet procent) v počtu incidentů způsobených ztrátou přenosných médií (USB klíče, BlackBerry, mobilní telefony atd.).



V Norsku se například ztratil USB klíč, který obsahoval záznamy o psychologických vyšetřeních – nakonec se našel na veřejném parkovišti. Je tedy možné, že podobné případy jsou tak běžné, že se hlásí pouze v případě mimořádných okolností, například když se ztratí paměťové karty, které obsahují miliony jmen. Takový případ se stal v Německu, kde telekomunikační společnost ztratila v roce 2006 disk obsahující údaje (jméno, adresa a kontaktní údaje) o sedmnácti milionech zákazníků. Incident ale ohlásila až v roce 2008 poté, co se objevily zprávy, že údaje byly nabízeny k prodeji na internetu.
Přenosná zařízení obsahují stále větší množství informací. Jen jeden závažný incident dělí společnost od potenciální katastrofy. Organizace by si měly plně uvědomit rizika a disponovat procesy a nástroji k ohlášení, řešení a analýze vnitřních incidentů.
Pokud se jedná o krádeže přenosných zařízení, zločinci se dnes už méně starají o samotná zařízení, ale věnují pozornost datům, která obsahují. Šifrování notebooků a dalších přenosných zařízení by proto mělo být to nejnutnější minimum. Nicméně náš výzkum ukazuje, že v roce 2009 nebyla provedena žádná ochranná opatření u nejméně 24 procent ztracených či odcizených přenosných zařízení.
Šifrování samozřejmě neplatí pro obyčejné tištěné kopie – příležitostné odkládání papírových dokumentů nadále představuje vážné bezpečnostní riziko. Případy nesprávné likvidace papírových kopií se tento rok zvýšily téměř o čtvrtinu, což naznačuje, že mnoho firem by se mělo znovu podívat na to, jak likvidují materiály důvěrného charakteru.

Neusnout na vavřínech

Přesto, že se v první polovině roku 2009 odehrálo méně incidentů ztráty dat, než se očekávalo, pokračující ekonomický pokles by mohl způsobit, že se počet incidentů opět přiblíží rekordnímu počtu v roce 2008 (703). Nebezpečné jsou především úmyslné krádeže dat.
Může stoupat také počet zveřejnění ztráty dat. Jedním z možných vlivů tohoto nárůstu mohou být změny v legislativě týkající se této problematiky. Je pravděpodobné, že řada národních vlád nařídí zveřejňování případů ztráty dat. Jedná se zejména o Evropskou unii, která směrnicí o soukromí v elektronické komunikaci zavedla oznamovací povinnost při incidentu se ztrátou či zneužitím dat. Většina hlášených případů zpracovaných našim průzkumem se stala v USA, nebo v menší míře ve Velké Británii. To se může změnit. Média se začnou více zajímat, jakmile budou tyto zákony schváleny, a o případech z Evropy i Asie uslyšíme častěji.

Taktika boje

Žádná společnost napříč podnikatelskými sektory není imunní vůči hrozbě úniku dat. Obecně rozšířená důvěra v technologie tato rizika v budoucnu jen zvýší. Taktika se dnes soustředí na prevenci spíše než na řešení incidentu v momentě, kdy nastane.
Následující čtyři oblasti vnímáme ze současného pohledu na zabezpečení před ztrátou dat jako klíčové:

Hackeři představují trvalé nebezpečí

Největší hrozbou pro ochranu dat je neoprávněný přístup. Cílená a často organizovaná činnost hackerů navíc zvyšuje pravděpodobnost, že získaná data budou použita k trestným činům či podvodnému jednání. Pouze důsledné řízení rizik zahrnující pravidelnou identifikaci hrozeb a slabých míst spolu s nastavením příslušných kontrol může účinně fungovat jako ochrana sítí a systémových zdrojů před hackery. Kontroly se musí pravidelně monitorovat a testovat, zda fungují spolehlivě a nadále plní potřeby společnosti.

Interní kontroly jsou nezbytné

Lidské nebo procesní chyby způsobují významné množství ztrát. Je téměř nemožné, aby se zcela zamezilo například krádeži notebooku, který jeho majitel zapomněl ve vlaku, nebo ztrátě CD během poštovního doručování. Riziko vzniku chyb se může ale významně snížit tím, že se zavedou vhodné a jasně definované postupy pro používání a nakládání s daty. Zaměstnanci by měli porozumět tomu, co se od nich očekává. Jejich znalosti se pak musí pravidelně testovat a doplňovat pomocí školicích a vzdělávacích programů.

Přenosná média jsou vysoce citlivá

Notebooky, přenosná média a další mobilní prostředky jsou vystaveny zvýšenému riziku ohrožení dat. Bezpečnostní směrnice, které tato rizika řídí, musí pro všechny uživatele jasně stanovit, kdy, kde, jak a jaká data se mohou přenášet. Musí také stanovit příslušné kroky v případě, že se přenosné médium ztratí nebo je zcizeno. Jeho ztráta nebo krádež totiž automaticky neznamená, že vaše informace budou zneužity. Postupy na ochranu dat, jako například šifrování, mohou zabránit tomu, aby se vaše data dostala do nesprávných rukou.

Správná a rychlá reakce na incidenty je klíčová

Dobré jméno patří mezi nejcennější aktiva společnosti. Jeho poškození může ohrozit důvěru zákazníků, nebo znamenat i konec podnikání. Aplikací vhodného postupu se však může poškození dobrého jména minimalizovat. Krizový plán musí obsahovat postupy, jak incidenty identifikovat, eskalovat a řešit, a to nejen v rámci IT, ale napříč celou společností, včetně komunikace incidentů směrem k veřejnosti a dalším zainteresovaným osobám.

Jan Krob působí jako senior advisor, Tomáš Kudělka jako senior manažer oddělení Poradenských služeb společnosti KPMG Česká republika.