Nebezpečí pro firemní IT se přesunulo dovnitř

Aniž zodpovědné osoby v životě potkávají skutečného hackera nebo autora viru, investují do ochrany proti následkům jejich činnosti podstatnou část rozpočtu na IT bezpečnost. Není to chyba?

Nebezpečí pro firemní IT se přesunulo dovnitř


Často ale ignorují druhou skupinu hrozeb, kterou představují lidé, jež potkávají každý den – zaměstnanci společnosti a lidé pohybující se uvnitř. Z ochrany proti interním hrozbám se stává aktuální otázka.

Dnes se již nelze spoléhat na to, že veškerá nebezpečí pro společnost, její cenné prostředky a citlivá data, leží za bezpečnostním perimetrem, kdesi v elektronické divočině. Ochranný val tvořený firewallem, antiviry a různými antispywarovými nástroji vznikal v odlišné situaci, než jaká panuje v dnešní společnosti.

Ochrana perimetru získává trhliny zevnitř, protože standardní nástroje například nijak nechrání před únikem dat a ochrana před chybami zaměstnanců je velmi omezená.

I přes tuto skutečnost však trvá masivní mediální tlak na společnosti, aby investovaly převážnou část rozpočtů na ochranu před externími hrozbami. Tento trend je živnou půdou pro následky způsobené interními hrozbami – pod svícnem je totiž vždy největší tma.

Co to jsou interní hrozby

Pod interními hrozbami rozumíme aktivitu nebo naopak nedostatek aktivity osoby pohybující se uvnitř společnosti, vedoucí k poškození společnosti. Tato definice pokrývá především chování zaměstnanců organizace, původcem se však mohou stát také uklízečky, opraváři a další personál třetích stran, který má přístup do kanceláří společnosti.

Hrozbám pocházejícím od vlastních pracovníků lze zamezit, jejich hlavní nebezpečnost však spočívá v ignoraci ze strany vedení společnosti. Management se často spoléhá na kvalitu svých zaměstnanců a nepřipouští si, že by některý z nich mohl chtít vědomě poškodit společnost. Původů nebezpečného chování však může být celá řada, nejen úmyslných. Mohou přitom vést až ke krachu podniku.

Jak mohou zaměstnanci ohrozit společnost?

  • Nepozornost. S dnešním postavením IT v procesech společnosti stačí k velkým škodám i několik málo kliknutí. Pracovníci za počítačem mají dojem anonymity a často si neuvědomují zodpovědnost svého počínání.

E-mail odeslaný omylem na špatnou adresu, flash disk zapomenutý v městské dopravě nebo nedostatečná obezřetnost při dodržování bezpečnostní politiky jsou jen několika ukázkami, jak málo stačí ke způsobení škod z nepozornosti. Příkladem může být i loňský incident týkající se Slovenské armády. Plány cvičení, rozpisy dovolených či podpisové vzory nalezl na zastávce v okolí Nitry školák na cestě domů. Flash disk z daty zde ztratil pravěpodobně jeden z vojáků.

Za těmito chybami mohou stát problémy s nízkou motivací zaměstnance, příznaky vyhoření nebo zkrátka jen únava a vyčerpání zaměstnance.

  • Špatná ochrana proti krádeži. Pachatelé drobných trestných činů si často ani neuvědomují, k jakému bohatství se při zcizení notebooku nebo přenosných disků dostávají. Notebook z vykradeného auta prodají v nejbližší zastavárně za několik tisíc, data na něm však mohou mít v porovnání s cenou hardwaru obrovskou hodnotu. Přitom zdaleka ne všechny firmy považují šifrování dat na přenosných médiích a počítačích za standard.

Podle statistik americké FBI je každých 53 sekund ukraden nějaký notebook. Pouze tři přístroje ze sta naleznou cestu zpátky k majitelům. A ani u těchto šťastlivců není zřejmé, co se s daty během nedobrovolného výletu stalo.

Zaměstnanci, kteří notebook nechají ležet v autě nebo mu nevěnují dostatečnou pozornost ve veřejných prostorech, zvyšují riziko krádeže těchto zařízení, a tedy i riziko, že společnost bude krádeží poškozena.

  • Úmysl poškodit zaměstnavatele. Klasickým problémem je rozdílná představa společnosti a zaměstnance o jeho budoucím rozvoji a ohodnocení. Pracovník je buď méně motivován (a klesají jeho zapálení a pozornost) nebo v horším případě začíná přemýšlet, jak co nejrychleji společnost opustit a nejvíce z toho vytěžit.

Jednotliví zaměstnanci mohou mít podle významnosti a povahy své pozice během pracovní doby k dispozici citlivá data, která mohou zcizit pro rozjezd vlastního podnikání nebo jako vstupenku na lepší pozice u konkurenční společnosti.

Ani okamžité zamezení přístupu k datům po doručení výpovědi není spásným řešením – pracovníci si mohli zálohu dat v předtuše personálních změn pořídit dříve. Zhruba čtvrtina britských zaměstnanců by podle studie Harris Interactive při odchodu ze společnosti využila přístup k citlivým datům a vytvořila si zálohu.

  • Vydírání. Bezpečnostní riziko může u zaměstnance vzrůst také externím vlivem. Potřeba řešit nenadálou životní situaci či cílené vydírání mohou být spouštěčem nežádoucích aktivit zaměstnance.

V takových momentech může chování pracovníka zkratovat a z dříve bezproblémového jedince se stane bezpečnostní časovaná bomba, která se bude aktivně snažit překonat zabezpečení dat společnosti nebo bude sabotovat práci svých kolegů ve snaze organizaci poškodit.

  • Sociální inženýrství. Lze částečně klasifikovat také jako vydírání, u kterého si však napadená osoba není vědoma toho, že se stala obětí útočníka. Schopný pachatel tak získá v podobě zaměstnance prodlouženou ruku do nitra společnosti a může si dělat cokoliv, k čemu má přístup zneužitý pracovník.

Iluze neexistující hrozby

Manažeři společností často oponují tím, že znají perfektně lidi, se kterými pracují. Může se jednat i o dlouholeté známosti a osobní vztah. Ani to ale nezaručuje, že takový zaměstnanec nemůže být zdrojem rizika. Naopak i osoba na zodpovědné pozici s vynikajícími vztahy s okolím může selhat.

Jeden příklad za všechny: Robert Moffat, tehdejší senior viceprezident jedné ze skupin giganta IBM, vynášel citlivá korporátní data své známosti z investorské skupiny New Castle Funds. Byl součástí několikačlenné skupiny, která tímto činem sledovala osobní zisk. Jeden z kandidátů na výkonného ředitele IBM tak místo povýšení skončil ve vězení.

 

Fakta versus fikce

Loajalitu a spolehlivost zaměstnanců zkoumala mezinárodní společnost Gallup, která se zabývá výzkumem a poradenstvím v oblastech psychologie, managementu a dalších. Její studie vycházející z dotazníku Gallup Management Journal Survey ukazuje, že představy vedení společnosti o angažovanosti pracovníků mohou být realitě velmi vzdáleny.

Pouze 27 % zaměstnanců pracuje se zájmem a nadšením pro danou věc a přináší společnosti rozvoj a inovaci. Druhou skupinu tvoří pracovníci, kteří se necítí být spoluzodpovědní za úspěch podniku. Soustředí se na plnění předepsaných úkolů, avšak nemusí plně využívat svůj potenciál. Jde o většinu (59 %) zaměstnanců.

Poslední a rizikovou skupinu tvoří 14 % pracovníků, kteří chodí do práce negativně naladěni a svou aktivitou se snaží společnosti spíše škodit než prospívat. Mohou záměrně zdržovat a sabotovat práci kolegů.

Samozřejmě není třeba okamžitě začít podezřívat všechny zaměstnance, že se snaží poškodit společnost. Je však dobré na tato čísla pamatovat při přípravě bezpečnostních opatření.

Vzhledem k tomu, že zaměstnanci jsou nedílnou součástí společnosti, nelze je nikdy zcela odstínit jako zdroj interních rizik. Jejich chování a záměry jsou náhodnou veličinou, na kterou se nevyplatí zapomínat.

 

Důležité je zajímat se

Problémem současné situace je nevyváženost nasazení ochrany proti vnějším a vnitřním hrozbám. Výrobci a dodavatelé těchto řešení narážejí ve firmách na finančně napjaté rozpočty, ve kterých na řešení interní bezpečnosti nezbývá prostor, ale také na neochotu a nedůvěru v to, že hrozbou se může stát některý z lidí, kterého každý zná a denně vídá.

Pokud společnost ignoruje existenci interních hrozeb, vystavuje své zájmy a zdroje riziku. O tom, jak interní hrozby rozpoznávat pomocí softwarových nástrojů a jak se jim bránit, budou detailně informovat následující pokračování seriálu v dalších vydáních našeho časopisu.

 

 

Proč by se měly společnosti obávat interních hrozeb

  • 30–40 % času stráveného na internetu v zaměstnání nemá nic společného s prací.
  • 25,5 % zaměstnanců považuje pracovní dobu za nejlepší čas pro vyřizování osobních záležitostí on-line a 75 % při tom necítí žádnou vinu.
  • 57 % pracovníků, kteří mají účet na sociální síti, se jim během dne v práci věnuje.
  • Průměrně tak stráví na sociální síti 40 minut denně, což je ročně zhruba týden ztraceného času.
  • 23 % zaměstnanců britských firem by si při odchodu ze zaměstnání odneslo data o zákaznících.
  • Podle stejného průzkumu by si 17 % pracovníků odneslo informace a plány k vytvářenému produktu.

Data pocházejí ze statistik společností Morse, IDC a Harris Interactive.

 

Wikileaks a ti druzí

Mediálně nejznámějším případem úniku citlivých dat je aféra stránek WikiLeaks, kde jsou zveřejněny diplomatické depeše různých států světa. Část jich vynášel z americké armády svobodník Manning, když je maskoval jako CD s hudbou Lady Gaga. Projekt WikiLeaks oznámil, že se zaměří i na soukromý sektor.

Dva bývalí zaměstnanci britské pobočky operátora T-Mobile ilegálně ukradli a prodali záznamy o milionech zákazníků. Britský úřad ICO, dohlížející na bezpečnost dat, jim vyměřil pokutu ve výši 73 000 liber. Společnost T-Mobile v tomto případě pokutována nebyla, protože podle vyjádření úřadu měla vyvinuty dostatečné mechanizmy pro nápravu a minimalizaci škody.

Že i uklízečka může ohrozit citlivá data, se přesvědčili předloni v pražské nemocnici v Motole. Místo úklidu žena spolu se svým komplicem odnesla tři počítače s údaji o zákrocích a datech pacientů přímo z operačního sálu.

 

Josef Halíček pracuje ve společnosti Safetica Technologies.

Úvodní foto: Liv Friis-larsen - Fotolia.com










Komentáře