facebook
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
 

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
Partneři webu
K2 atmitec
IT SYSTEMS 9/2016 , IT Security

Podceňované a přeceňované články firemní ochrany IT



SophosSvět okolo nás se neustále mění a platí to i z pohledu bezpečnosti informačních technologií. To, co ještě nedávno bylo považováno z pohledu ochrany za nice-to-have, je dnes naprostým základem. Postupy moderních počítačových zločinců jsou velmi různorodé a zdaleka se již neopírají o ustálené a dobře známé vektory útoku. Z tohoto důvodu je proto například nedostatečná ochrana založená na identifikaci prostřednictvím vzorů.


Firmy v závislosti na své velikosti, odvětví a dosavadních zkušenostech přistupují k zabezpečení různě. Některé využívají svá interní oddělení, jiné se spoléhají na outsourcing a některé ochranu neřeší vůbec. Každá organizace nicméně nějaké to riziko podceňuje, někdy více, někdy méně. I dnes se můžeme například setkat s představou My jsme nezajímaví, nám se nic stát nemůže. Nic přitom není vzdálenějšího pravdě, kybernetické zločince zajímají v nějaké podobě všichni – navíc nemusí jít ani o cílený útok.

Člověk? Člověk!

Zásadní omyl se týká představy, že útočníci jsou elementem za hranicemi podnikové informační architektury. Za značnou částí bezpečnostních incidentů ale stojí interní lidé. Může jít přitom jak o vědomý útok, tak o nevědomé selhání v důsledku špatného postupu. Podcenění vlivu lidského faktoru tak bezesporu patří mezi největší rizika. Bylo tomu tak vždy a vždy tomu tak pravděpodobně bude.

S lidskými zdroji velmi úzce souvisí i edukace uživatelů. Důležité je, aby proškolení pokrývalo nejen organizační postupy a možnosti nasazených technologií, ale také seznámení s tím, proč je ochrana důležitá a jaké dopady může bezpečnostní incident mít. Nesmí jít ale o zastrašování, cílem je umožnit uživatelům získat dostatečný pocit sounáležitosti a přijmout svůj díl zodpovědnosti. Samotné technologie nestačí.

V mnoha organizacích je na okraji zájmu ochrana mobilních zařízení včetně těch využívaných v konceptu BYOD. Naprosto neoprávněně, protože uživatelé často z mobilních zařízení přistupují do vnitřní síťové infrastruktury, k firemním systémům a hlavně k interním datům. Základem úspěšného zvládnutí rizik souvisejících s mobilními technologiemi je pokročilé řízení jak samotných zařízení včetně jejich životního cyklu, tak i bezpečnostních politik. V konceptu BYOD jde například o upřesnění bezpečnostních pravidel, protože uživatelé mají nad svými zařízeními maximální oprávnění a snadno si mohou „nainstalovat“ i nějaký ten škodlivý software. Aby nedošlo k nepochopení, cílem není BYOD zakázat, ale nastavit pravidla tak, aby byla rizika i nadále minimální. Zákazy obecně v bezpečnosti mají jen omezené možnosti – někdy se pak uživatelé přesouvají do sféry šedé IT, v rámci které některé restrikce obcházejí a situace tak může být paradoxně ještě horší.

Ta data nepřečteš!

Mobilních technologií, ale nejen jich, se úzce dotýká i šifrování dat. Stačí zapomenout telefon v taxíku a … raději nedomýšlet. Až dosud přitom byly nasazení a správa šifrování vnímány za příliš složitý a rozdílným způsobem přijímaný bezpečnostní nástroj. Podle nedávného průzkumu společnosti Sophos s názvem The State of Encryption Today 1 pouhých 29 procent IT manažerů uvedlo, že ve firmě chytré telefony šifrují. A pokud jde o počítače Macintosh, k jejich šifrování se přihlásilo pouze 43 procent respondentů. Vysokému riziku je tak často vystavena celá organizace.

Šifrování je navíc jedním ze základních předpokladů naplnění všeobecného nařízení Evropské unie o ochraně osobních údajů (General Data Protection Regulation, GDPR), které vstoupí v platnost 25. května 2018. Od tohoto data mohou všechny firmy uchovávající údaje o zákaznících nebo zaměstnancích z řad občanů Evropské unie čelit v případě narušení těchto dat významné finanční pokutě ve výši až čtyř procent svých ročních celosvětových příjmů. V širším kontextu, tedy nejen v souvislosti s GDPR, je proto důležité přijmout tzv. DLP opatření (Data Loss Prevention) předcházející zcizení dat.

Já se přihlásím tam, ty tam…

Podceňovaná je i otázka komplexní správy identit, rolí a oprávnění. Uživatelé dnes běžně přistupují do řady systémů, mnohdy pod sdílenými identitami. Čím rozsáhlejší toto prostředí je, tím větší je riziko negativních dopadů. Nemusí přitom jít jen o kompromitaci přístupových údajů vyžadující jejich okamžité zablokování nebo změnu. Riziková situace může souviset například s propuštěním zaměstnance, který se rozhodne mstít. Roztříštěná správa více systémů může být pomalá a „ukřivděný“ pak může v souladu se svými dosavadními oprávněními způsobit ledasco. Řešení v podobě centralizované správy identit nadneseně řečeno umožní zablokovat všechny přístupy daného uživatele dříve, než opustí kancelář nadřízeného. V reálném světě sice tento postup není přímočarý, ale i tak komplexní přístup k identitám může předejít řadě komplikací.

Velmi důležitá je celková přívětivost ochrany ke koncovým uživatelům. Nasazené technologie a přijaté postupy by měly být pro uživatele maximálně transparentní a snadné. Žádné výrazné snížení výkonu zařízení, žádná drastická omezení komplikující běžnou práci i soukromý život. Všichni to sice podvědomě vědí, ale mnohé organizace berou tzv. user experience jako velmi okrajovou záležitost.

Z běžného provozního pohledu je zásadní nepodcenit ochranu proti rizikům přicházejícím z prostředí internetu. Současné hrozby včetně malwaru či phishingu jsou stále sofistikovanější a díky pokročilým prvkům sociálního inženýrství jsou „úspěšné“ i u některých poučenějších uživatelů. Řešením jsou vedle důrazu na lidský faktor technologie spadající do kategorie bezpečnosti nové generace, kam patří například synchronizovaná ochrana sítí a koncových bodů umožňující efektivní spolupráci jednotlivých bezpečnostních prvků. Zásadním přínosem těchto technologií je schopnost zachytit hrozbu ještě dříve, než může způsobit nějaké škody.

Je to dobré! … ne, není!

S bezpečností samozřejmě souvisí i přeceňování přijatých opatření. Vedle již zmíněných rizik spojených s lidským faktorem, a tedy falešného přesvědčení ve stylu „máme nasazené bezpečnostní technologie, jsme dostatečně chráněni“, jde zejména o ustrnutí v minulosti. Například ještě před několika lety bylo v menších organizacích možné za dostatečnou ochranu považovat použití antivirové ochrany na počítačích koncových uživatelů. Dnes je situace naprosto odlišná, je sice pořád lepší antivirus než nic, ale sám o sobě už nestačí. Bohužel některé firmy si stále ještě myslí opak.

Obdobné je to i s tradičním pojetím ochrany síťové infrastruktury. Dříve byly firewally dostatečnou ochranou – rozdělení mezi interními prvky a vnějším světem bylo jasné a přímočaré. Současnost je mnohem méně jednoznačná, a to jak díky využívání cloudů, tak i mobilnímu způsobu práce. I nadále je firewall důležitý, ale nemůže být jediným prostředkem ochrany.

Přeceňování kvality přijatých opatření může souviset i s právními předpisy. Například v případě využití cloudů je třeba mít na paměti, zda je takové řešení legální, případně jakému rozhodnému právu podléhá. Zejména v případě využití veřejných cloudů by si měly firmy prověřit, do jaké míry mohou – v souladu se smluvními podmínkami – jejich data využívat další organizace včetně poskytovatele dané cloudové služby. Trochu to připomíná situaci s licenční smlouvou EULA, se kterou sice každý souhlasí, ale prakticky nikdo ji nečte.

Bezpečnost není zadarmo a firmy zcela pochopitelně vyhodnocují, zda se jim investice vyplatily. Mezi nejčastější příčiny rozladění přitom podle studie organizace Ponemon Institute z roku 2015 patří nedostatečná odbornost interních oddělení (44 procent), dodatečné zvýšení nákladů (32 procent) nebo falešně-pozitivní reakce bezpečnostních mechanismů (26 procent). Za zmínku určitě stojí i fakt, že vyšší náklady spojené s údržbou uvedla jen čtyři procenta respondentů.

Předchozí odstavce by mohly vést k domněnce, že situace okolo bezpečnosti je složitá až příliš. Při správném přístupu k ochraně podnikové informační architektury jako celku je ale efektivně zvládnutelná. Samotné bezpečnostní technologie jsou jen základem komplexní ochrany. Důležitým, ale přesto jen základem. Co ale musí všechny organizace pochopit, je, že IT bezpečnost je spolu s dalšími oblastmi prostředkem pro zajištění kontinuity podnikání.

Michal Hebeda Michal Hebeda
Autor článku působí jako Sales Engineer ve společnosti SOPHOS. Michal je zkušený IT profesionál s více než 15letou zkušeností především z oblasti IT bezpečnosti.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Ransomware, hybridní spisy, docházkové systémy a text mining

IT Systems 3/2020Březnové vydání IT Systems jsme připravovali v situaci, kdy je prakticky celý svět zasažen pandemií nového koronaviru. Ať bude další vývoj pandemie jakýkoli, je zřejmé, že nás koronavir zastihl v mnoha ohledech nepřipravené. Podobně nepřipravení jsme ovšem často i proti virům v kybernetické podobě. I proto jsme jako téma na obálku aktuálního vydání zvolili ransomware, tedy vir, který představuje vážnou hrozbu pro informační systémy, na nichž jsme stále více závislí.