Image
9.4.2017 0 Comments

Ako ochrániť firemné tajomstvá

Kým dočítate túto vetu, vo svete ukradnú zhruba dve stovky hesiel a prístupových údajov používateľov. Útoky spôsobujú ročne biliónové škody a budú narastať. Počítačová kriminalita je s pribúdajúcim počtom zariadení pripojených na internet veľmi rýchlo rastúci biznis pre útočníkov. Firmy však naďalej podceňujú bezpečnosť a často nemajú jasno v tom, čo a ako chrániť.

Nároky na bezpečnosť stúpajú. Aktuálna štúdia Cybersecurity Ventures odhaduje, že v najbližších rokoch bude potrebovať ochranu až 100 miliárd ľudských hesiel a okolo 200 miliárd autentifikácií či prístupov do internetu vecí. V priemere si každý z nás musí dnes pamätať okolo 25 hesiel do osobných a pracovných systémov. Zdokumentované útoky ukazujú, že ich nechránime dostatočne. Len vlani útočníci ukradli viac ako 3 miliardy hesiel, čo je 95 hesiel ukradnutých každú sekundu. Do roku 2021 narastú škody spôsobené útokmi na neuveriteľných 6 biliónov dolárov ročne.

Čo vlastne chrániť?

Uvedomenie si možných škôd je kľúč k nastaveniu ochrany firemných tajomstiev. Spoločnosti zlyhávajú najmä v klasifikácii dát, ktoré majú chrániť. Najjednoduchšie je zamyslieť sa, aké škody by vašej firme napáchala krádež konkrétnych údajov. Nemusíte mať vo firme unikátny vývoj, aby ste boli pre útočníkov zaujímaví. Stačí, že vás chce odstaviť vaša konkurencia. Asi sa zhodneme, že tú má takmer každý, kto s niečím podniká na trhu.

 S najväčšou pravdepodobnosťou nepotrebujete chrániť údaje, ktoré zverejňujete na svojej webovej stránke, ako sú výročné správy či štatistiky. No faktúry, objednávky a zmluvy už môžeme považovať za citlivé údaje. Nehovoriac o metodike tvorby ceny. Predstavte si, že konkurencia zistí, že vaše výrobné náklady sú povedzme päť eur a predajná cena vášho výrobku 500 eur. Dôsledky pre vašu reputáciu by boli enormné. Väčšina firiem má nastavenú politiku na zaobchádzanie s citlivými súbormi, no len máloktorá ju aj využíva v praxi. Nedodržiavajú označovanie súborov podľa jednotlivých úrovní – ktorý je verejný, interný, tajný a dôverný.

Pokuty budú vyššie

Nezabúdajme ani na osobné údaje, ktorých ochranu vyžaduje zákon. Ani len túto základnú oblasť nemajú firmy zvládnutú, čo dokazujú desiatky zverejnených prípadov krádeží databáz. Firmy sa pri riadení rizika zamýšľajú nad tým, koľko by stálo bezpečnostné riešenie a aká vysoká pokuta im hrozí pri nedodržaní pravidiel. Keby potrebovali investovať napríklad dva milióny eur do bezpečnosti a hroziaca pokuta je vo výške 10-tisíc eur, vyhodnotia to ako prijateľné riziko. Pokuty však budú rásť. Európa si uvedomuje vysokú hodnotu osobných údajov. Nová regulácia GDPR (General Data Protection Regulation), ktorá vstúpi vo všetkých krajinách EÚ do platnosti v máji budúceho roka, dvihne hranicu pokuty za porušenie ochrany osobných údajov až na 4 % z celkového celosvetového ročného obratu spoločnosti za predchádzajúci kalendárny rok. Firmy budú mať zároveň povinnosť informovať zákazníkov o porušení ochrany ich osobných údajov v prípade napadnutia hackermi.

Klasifikácia citlivosti dát vo vašej firme je len prvý krok. Nasleduje určenie, ktorí zamestnanci k nim majú prístup, ktorí s nimi môžu narábať, ktorí ich môžu meniť. Nastavenie hierarchie a vytvorenie privilegovaných prístupov je kľúčové. Veľkým pomocníkom v tejto oblasti sú programy na správu hesiel a privilegovaných účtov.

Ťažké heslo nie je vždy dobré riešenie

Mnohé firmy robia chybu v tom, že ťarchu bezpečnosti prekladajú na plecia zamestnancov. Nútia ich používať zložité heslá, a to do mnohých firemných systémov. Stretli sme sa s prípadmi, keď firma žiadala od ľudí zmenu hesla každých tridsať dní, pričom nemohli použiť ani rovnakú kombináciu troch znakov nasledujúcich po sebe (január, február) z predchádzajúcich dvanástich hesiel a vylúčené boli aj všetky slovníkové heslá (najčastejšie používané heslá). Na prvý pohľad to môže vyzerať ako zodpovedná a predvídavá bezpečnostná politika, no nie je to tak. V tomto prípade firma už prekročila tenkú hranicu únosnosti a vystavila sa veľkému riziku, že zamestnanci si na zachovanie prehľadnosti začnú heslá značiť na papieriky či do nezabezpečených dokumentov v počítači.

Ako odbremeniť zamestnanca od nutnosti používať množstvo rôznych hesiel do firemných systémov a aplikácií? Zraniteľnosť zamestnanca sa s každým ďalším prístupom zvyšuje a hrozba škody pre vašu firmu rastie. Aj tu vám môže pomôcť bezpečnostný softvér. Vyberte si riešenie, ktoré si pamätá heslá za vašich zamestnancov. To znamená, že zamestnanec zadá iba jedno heslo do softvéru, ktorý automaticky „odomkne“ všetky ďalšie systémy a aplikácie vo firme, ku ktorým má mať daná pozícia prístup. Zamestnanec teda žiadne ďalšie prístupy nepozná a nik mu ich ani nemôže ukradnúť. Softvéru môžete zveriť aj ďalšie citlivé údaje, ako sú čísla firemných kreditných kariet či prístupy do internetbankingu. Ani fluktuácia zamestnancov s privilegovanými účtami tak už nemusí byť pre vašu firmu hrozbou z pohľadu informačnej bezpečnosti.

Môžete si takmer blahoželať. Ak ste tieto kroky absolvovali, dostali ste pod kontrolu správanie sa zamestnanca vo firemnom prostredí. Pamätá si jedno silné heslo do bezpečnostného softvéru a žiadne ďalšie už nepozná. No čo v prípade, že sa na zjednodušenie života rozhodne používať silné firemné heslo aj do všetkých súkromných účtov? Ak ho bude používať na všetkých portáloch, je len otázkou času, kedy ho niekto „hackne“ a získa tak prístup aj do vašich firemných systémov. Dobrý bezpečnostný softvér vyrieši aj túto záležitosť, a to jednoduchým automatickým pravidelným pregenerovaním všetkých hesiel v stanovenom období, a to nielen tých, ktoré zamestnanec používa, ale aj tých, ktoré nepozná.

Ondrej Kis, Thycotic Produkt manager spoločnosti ALEF


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

5 tipov ako vybrať správny firemný firewall

19.09.2019 00:15

Kybernetickú bezpečnosť dnes čoraz viac firiem berie ako prioritu najvyššieho manažmentu. Napriek tomu mnoho organizácií stále nevie, ako správne budovať bezpečnostnú architektúru. Kľúčom k maximálne ...

Bezpečnosť

Google Nest Hub Max s Face Match vás sleduje naozaj stále

18.09.2019 00:10

Google Nest Hub Max sa javí ako pomerne inteligentné zariadenie. Má niekoľko zaujímavých funkcií, okrem iného dokáže zobraziť kalendár alebo obsah prispôsobený osobe, ktorá sa naň pozerá. To všetko b ...

Bezpečnosť

6 najväčších podnikových e-mailových hrozieb

17.09.2019 00:05

V roku 2019 je podľa niektorých odhadov poslaných a prijatých okolo 300 miliárd obchodných a osobných e-mailov každý deň a toto číslo do budúcnosti porastie, hlavne vo firemnej sfére. Rastúca e-mailo ...

q

Žiadne komentáre

Vyhľadávanie

AMCHAM 2019

Najnovšie videá

SlovakiaTech 2019

IT GALA stvorec 2019