Problematika informační (ne)bezpečnosti se týká každého jedince a každé organizace. Bohužel, na někoho její důsledky dopadají přece jen více než na jiné hráče na trhu. Těmi nejpostiženějšími jsou v dané oblasti především malé a střední firmy...

V čem jsou specifické?

Paradoxně to tak nejsou ani domácí uživatelé, kteří si bezpečnostní problémy působí především svou neopatrností nebo nevzdělaností (často spíše neochotou se vzdělávat). Jak opakovaně ukazují průzkumy, doma se lidé při práci s počítačem chovají o poznání bezpečněji než v práci. Důvodů je několik. Lidé dobře vědí, že doma by na případné problémy byli sami (respektive že by museli draze platit zásah externího technika či složitě někoho shánět po známých), kdežto v práci považují řešení jakéhokoliv problému za otázku jednoho telefonátu. Navíc si jsou dobře vědomi, že doma nemusí mít díky svým nedostatečným znalostem počítač zajištěný úplně nejlépe (takže pravděpodobnost problému je vyšší), kdežto v práci se o bezpečnost stará „někdo“, kdo za ni zodpovídá.
Velké organizace zase mají svoji výhodu právě ve velikosti: dostávají různé množstevní slevy (srovnejte cenu jedné licence bezpečnostního programu při nákupu pro deset a třeba pro tisíc počítačů), mohou si dovolit vlastní bezpečnostní pracovníky, specializovaná školení, nakupování dražších technologií… Výdaje přepočtené „na hlavu“ jdoucí do bezpečnosti jsou v případě malých a středních organizací vyšší než u velkých firem, ale paradoxně za ně dostávají méně.
A pak tu máme ještě jednu skutečnost, která hovoří v neprospěch malých a středních organizací. Jedním z trendů v oblasti útoků proti ICT technologiím je zaměřování se na tzv. měkké cíle. Tedy na hůře chráněné objekty, na menší organizace, na slabší hráče… Má to svoji logiku: každý útok proti gigantům typu Microsoft, Amazon či CNN je sice široce medializován, ale o to více je jeho strůjce pronásledován. A útočník nemá pochopitelně zájem na svém dopadení. Navíc by byl blázen, kdyby útočil proti silně opevněným cílům, když je kolem tolik jiných příležitostí. Vidět je to třeba na případu phoshingu, kdy se prvotním cílem staly atraktivní velké americké banky, ale nynější vlna útoků směřuje proti menším finančním ústavům nebo proti bankám neamerickým (takto třeba v roce 2006 přišel phishing i do Česka).

Nejčastější chyby

Zatímco velké firmy mají ICT bezpečnost automaticky mezi svými prioritami, menší hráči na trhu ji odsouvají přinejlepším na druhou kolej.
Každopádně nepřítelem číslo jedna je nekoncepčnost. Mohli bychom také hovořit o podcenění nebezpečí. Je to s podivem, ale stále ještě v praxi lze setkat s přístupem „mám problém, něco nasadím, mám další problém, nasadím něco jiného“. Nebo firmy podlehnou marketingovému vábení a rozhodnou se pro produkt, který je sice levný, třeba i ověnčený mnoha certifikáty a oceněními, ale pro konkrétní použití naprosto nevhodný.
Vždy je zapotřebí stanovit si, co vlastně potřebujeme, co chceme, kam jdeme – a pak teprve hledat cesty, jak toho dosáhnout. Toto přitom v případě malých a středních organizací může být paradoxně mnohem jednodušší než u velkých. Příkladem budiž třeba topologie sítě, která bývá v případě velkých značně nepřehledná i při použití sofistikovaného manažerského softwaru (neb těžko převedete do přehledné vizuální podoby několik tisíc počítačů). V síti jsou desktopy, notebooky na cestách, pracovníci připojující se z domova, někdy i z dovolené, data přenášená na PDA asistentech. Bezpečnostní firmy někdy doporučují řešit situaci způsobem „zakázat, co se dá“, ale ve velké organizaci i tak vzniká příliš mnoho šablon.
Malá firma naopak dokáže poměrně přesně definovat podobu svého informačního systému i svá nejcennější aktiva. Proto je velká škoda, že se tak málokdy děje (a že tak fakticky nevyužívá jednu ze svých největších výhod). Po této definiční fázi může následovat výběr optimálního řešení, které nemusí být na první pohled nejlevnější, ale rozhodně bude nejvhodnější (ostatně, nejlevnější řešení se zpravidla časem vyvine tak, že nakonec nejlevnějším není).
Nepříjemnou skutečností se ale může stát fakt, že malé sítě bývají často silně decentralizované. V takovém případě se opravdu špatně spravují a řídí, protože zde neexistuje žádný přesně definovaný „obranný val“. Jsou zde různé počítače, různá přístupová práva apod. – přičemž vzhledem k velikosti chybí centralizovaný systém, který by toto všechno držel pod kontrolou.

Kdo je vlastně šéf?

Dalším problémem bývá nezodpovědnost. Často proto, že není přesně definována – nebo ani z objektivního hlediska nemůže být. Ve firmě čítající několik málo desítek osob se bude vzhledem k nutnosti zastupitelnosti a vzhledem ke kumulování funkcí těžko oddělovat jedna část systému od druhé.
Vzniká tak obtížně řešitelný problém se stanovováním odpovědností. Protože dobře víme, že když každý dělá všechno, tak se velmi jednoduše může stát, že nakonec nikdo nedělá nic. Stanovit zodpovědnou osobu je přitom velmi důležité – nemusí mít přitom titul „bezpečnostního ředitele“ (ve dvacetihlavé firmě by se tak každý stal ředitelem…). Ale měla by být obeznámena se situací, měla by mít poradní hlas, měla by sledovat, zdali jsou přijímaná opatření jednak v souladu se strategií firmy a jednak jsou-li vůbec účinná.
Spíše problémem než chybou bychom mohli nazvat skutečnost, že malé a střední organizace téměř nepracují s daty, která získají provozováním bezpečnostních technologií. Bezpečnostní prvky sbírají různé logy, které mohou při správném zpracování prozradit probíhající útok nebo přípravu k němu. V malé či střední organizaci se ovšem získané logy (pokud se vůbec sbírají) zpravidla dále nezpracovávají – není pro ně k dispozici odpovídající systém nebo jsou považovány za nepříliš důležité. Přitom sběr a vyhodnocování dat patří ve velkých organizacích k základním stavebním kamenům bezpečnosti.
Teď pravděpodobně vyvstává logická otázka: je v takovéto situaci vhodný outsourcing? Jak asi čekáte, neexistuje jednoznačná odpověď.
Outsourcing je vždy tak kvalitní, jak kvalitní podklady pro něj připravíte. Snadno se pak může stát, že příprava prostředí pro outsourcing bezpečnosti je zvláště u malé firmy náročnější než vlastní zajištění bezpečnosti. Samozřejmě, že se outsourcing v případě malých a středních organizací přímo nabízí, protože za velmi rozumnou finanční částku mohou získat přístup k technologiím, na které za normálních okolností dosáhnout pouze velké firmy. Na druhé straně ale nelze outsourcovat úplně všechno (i velké organizace používají outsourcing jen k vytěsnění některých činností), takže je vždy nutné hledat vyvážený kompromis. V zásadě se ale outsourcing dá doporučit jako jedno z řešení, které rozhodně stojí za úvahu.

Nejen software a hardware

Důležité je uvědomit si, že nasazené komplexní bezpečnostní řešení neznamená, že máme komplexně vyřešenou bezpečnost! Nejde jen o to nainstalovat si nejnovější verzi nějakého komplexního bezpečnostního balíku, protože tím ošetříme pouze softwarovou část ICT bezpečnosti.
Instalace softwaru je jednou, nikoliv jedinou nezbytností k zajištění bezpečnosti. Další je třeba jeho konfigurace v souladu s bezpečnostní politikou. A vlastně i stanovení celé bezpečnostní politiky plus její kontrola. Možná to někomu připadá jako zbytečná byrokracie, ale to je jen zdání, které klame. Bezpečnostní politika nemusí mít podobu fasciklu zvícího tloušťky telefonního seznamu, který nikdo nikdy nebude číst, ale stačí ji mít sumarizovanou v několika jednoduchých a snadno zapamatovatelných bodech. Takováto politika v konečném důsledku pomůže mnohem více než sebedražší a sebelépe nakonfigurovaný software. Což ostatně platí i u velkých firem...