Bezpečnostní riziko - vlastní zaměstnanci

organizací zßsadnÝ zmýnu strategie vzdýlßvßnÝ svřch pracovnÝk¨. Je to typ přestupku, z nýho× majÝ firmy stßle v...


organizacÝ zßsadnÝ zmýnu strategie vzdýlßvßnÝ svřch pracovnÝk¨.
Je to typ přestupku, z nýho× majÝ firmy stßle výtÜÝ strach: zamýstnanci, kteřÝ
prozrazujÝ svß sÝŁovß přihlaÜovacÝ jmÚna nebo hesla, kdykoliv jsou o to
po×ßdßni nýkřm, kdo předstÝrß, ×e je napřÝklad zamýstnanec firemnÝho IT
oddýlenÝ. Proti takovřm scÚnßř¨m nemohou ochrßnit ani ty nejlepÜÝ firewally na
trhu.
"ProŔ v¨bec zamykat dveře, kdy× je zamýstnanci s radostÝ otevřou cizinci, kterř
stojÝ za nimi?" ptß se Alex Ryanovß, bezpeŔnostnÝ ÜÚfka spoleŔnosti VeriCenter,
poskytovatele IT infrastruktury a spravovanřch slu×eb. Riziko, kterÚ
představujÝ zamýstnanci, je toti× znaŔnÚ. Mohou se stßt obýtÝ socißlnÝho
in×enřrstvÝ, co× je mˇdnÝ termÝn pro to, kdy× vßs nýkdo "napßlÝ". Mohou
ignorovat firemnÝ politiku tÝm, ×e opomenou zaÜifrovat citlivß data. Nebo si
mo×nß nainstalujÝ neautorizovanř software, kterř m¨×e naruÜit bezpeŔnost
systÚmu.
MyslÝte si, ×e jste dobře chrßnýni? Nedßvnß zjiÜtýnÝ organizace Computing
Technology Industry Association vßs mo×nß přesvýdŔÝ o opaku. V letoÜnÝ studii
CompTIA o informaŔnÝ bezpeŔnosti 59 % organizacÝ ·ŔastnÝcÝch se pr¨zkumu
uvedlo, ×e jejich poslednÝ bezpeŔnostnÝ incidenty byly vřsledkem lidskÚho
omylu. To je o 47 % vÝce firem ne× v předeÜlÚm roce.
Navzdory podobnřm statistikßm se mnohřm spoleŔnostem nedařÝ udýlat dost pro to,
aby svÚ zamýstnance patřiŔný proÜkolily. NapřÝklad agentura Internal Revenue
Service (IRS), kterß mß na starosti vřbýr danÝ v USA, mß nßsledujÝcÝ zkuÜenost:
VlßdnÝ inspektoři vydßvajÝcÝ se za pracovnÝky helpdesku IT, kteřÝ se pokouÜejÝ
opravit urŔitř sÝŁovř problÚm, zavolali stovce mana×er¨ a zamýstnanc¨ IRS a
po×ßdali je, aby jim poskytli svß jmÚna pro přihlßÜenÝ do sÝtý a doŔasný
zmýnili hesla na takovß, jakß sami navrhovali. Inspektoři přesvýdŔili 35
pracovnÝk¨, aby to bez dalÜÝch podmÝnek udýlali.
Tento stav v IRS přitom nastal i navzdory ·silÝ organizace o maximßlnÝ
vzdýlßvßnÝ zamýstnanc¨.
Dan Galik, ÜÚf bezpeŔnosti v IRS, tvrdÝ, ×e jeho agentura na zßkladý tÚto
zprßvy znovu o×ivila sv¨j program zamýřenř na zvyÜovßnÝ bezpeŔnostnÝho
povýdomÝ. Kromý ka×doroŔnÝch přezkouÜenÝ, pravidelný zasÝlanřch upozornýnÝ a
on-line kurz¨ nařÝzenřch v rßmci zßkonnřch předpis¨ agentura podle Galika
přidala i nýkolik vlastnÝch inovativnÝch přÝstup¨.
JednÝm z nich byla hra ve stylu kvÝzu, kterß probÝhala loni v listopadu a býhem
nÝ× se pracovnÝci pokouÜeli dßt sprßvnÚ odpovýdi na tÚmata vztahujÝcÝ se k
bezpeŔnosti.
"MusÝte přijÝt s nýŔÝm, co se uchytÝ," řÝkß Galik. Zde je nýkolik dalÜÝch
praktik, kterÚ se při ÜÝřenÝ poselstvÝ napřÝŔ r¨znřmi firmami ukßzaly jako
·ŔinnÚ.
OsobnÝ přÝstup
"MnozÝ zamýstnanci se strachujÝ o bezpeŔnost svřch domßcÝch stroj¨. Vyu×ijte
jejich znepokojenÝ, abyste tak podpořili obecnÚ bezpeŔnostnÝ principy, je×
mohou břt aplikovßny jak doma, tak v prßci," řÝkß Ryanovß. "Je to zp¨sob, jak
lidi přinutit, aby se o bezpeŔnost zaŔali zajÝmat sami osobný." Ryanovß
zamýstnanc¨m posÝlß e-mailovÚ newslettery s tipy, kterÚ je varujÝ před
poslednÝmi podvody nebo viry, kterÚ by mohly jejich pracovnÝ Ŕi osobnÝ PC
postihnout.
"Firmy mohou rovný× vyu×Ýt osobnÝch přÝklad¨, aby ukßzaly, Ŕeho se pokouÜejÝ
dosßhnout na celofiremnÝ ·rovni," řÝkß expertka na IT bezpeŔnost Candy
Alexanderovß, konzultantka ve spoleŔnosti Alexander Advisory. Organizace mohou
napřÝklad zamýstnanc¨m řÝci, ×e ochrana hesel nenÝ o nic mݲ d¨le×itß ne×
ochrana PIN jejich kreditnÝch nebo debetnÝch karet.
Jestli×e si m¨×ete dovolit ten luxus dostat zamýstnance do uŔebny na ÜkolenÝ,
doporuŔuje Ryanovß troÜku ×ivÚ akce, aby bylo sdýlenÝ dostateŔný jasnÚ. JejÝ
studenti býhem lekcÝ hrßli urŔitÚ role, napřÝklad hackera a kancelßřskou
asistentku. Hackerovi dala za ·kol vyvinout na asistentku tlak, aby prozradila
heslo svÚho poŔÝtaŔe, a to pomocÝ technik, je× pou×ÝvajÝ skuteŔnÝ socißlnÝ
in×enřři.
Firmy by rovný× nemýly podce˛ovat sÝlu publicity, tvrdÝ to alespo˛ expert na
bezpeŔnost IT Jim Litchko. Poukazuje na situaci, kterß se odehrßla v jednÚ
agentuře, kde si jeden ·řednÝk v rozporu se stanovenou politikou přinesl disk,
kterř, jak se ukßzalo, obsahoval virus. Agentura jej okam×itý propustila a
ka×dÚmu o tom dala výdýt.
"Pro lidi, kteřÝ si cenÝ svÚho zamýstnßnÝ, je to velmi ·ŔinnÚ zd¨raznýnÝ
d¨le×itosti bezpeŔnosti," vysvýtluje Litchko, prezident spoleŔnosti Litchko &
Associates, IT konzultaŔnÝ firmy.
Zamýstnanci by takÚ mýli mÝt mo×nost řÝdit se jednoduchřmi pokyny, pokud majÝ
podezřenÝ, ×e se setkali s bezpeŔnostnÝmi problÚmy. Litchko tvrdÝ, ×e jedna
spoleŔnost dßvala na svÚ poŔÝtaŔe nßlepky poskytujÝcÝ informace o typickřch
podvodech spoleŔný s ŔÝslem, na kterÚ volat o přÝpadnou pomoc.
Integrace povýdomÝ
"Firmy, kterÚ bezpeŔnostnÝ ÜkolenÝ pova×ujÝ za akci pořßdanou jednou roŔný, tÝm
opomÝjejÝ přÝle×itosti uŔinit z bezpeŔnosti souŔßst ka×dodennÝ vnitrofiremnÝ
kultury," myslÝ si Jonathan G. Gossels, prezident spoleŔnosti SystemExperts,
konzultaŔnÝ firmy zabřvajÝcÝ se sÝŁovou bezpeŔnostÝ. Gossels doporuŔuje zamýřit
se na neustßlÚ ÜkolicÝ aktivity. Poznamenßvß, ×e jeden z klient¨, velkß
chemickß firma, zaŔle˛uje bezpeŔnostnÝ prvky do svřch pravidelnřch kurz¨
profesionßlnÝho rozvoje.
"TÚmýř nikdo by si neudýlal Ŕas na to, aby mohl absolvovat bezpeŔnostnÝ kurz,
ale výnovat tomu 15 minut v rßmci jinÚho kurzu se ukazuje jako fungujÝcÝ model.
NavÝc je mo×nÚ poselstvÝ třkajÝcÝ se bezpeŔnosti přizp¨sobit prßvý tým lidem,
kteřÝ se kurzu ·ŔastnÝ," řÝkß Gossels.
Stejný tak byste nemýli dopustit, aby se z bezpeŔnosti stal problÚm typu "sejde
z oŔÝ, sejde z mysli", dodßvß Litchko.
"MusÝ jÝt o kontinußlnÝ proces. Nem¨×ete jen povýsit oznßmenÝ na nßstýnku a
nechat ji na zdi viset po celř rok. MusÝ jÝt o neustßlÚ a rozmanitÚ posilovßnÝ
povýdomÝ."
Ryanovß z firmy VeriCenter kromý svřch mýsÝŔnÝch bezpeŔnostnÝch newsletter¨
pravidelný posÝlß e-mailem rovný× souhrny novinek vztahujÝcÝch se k bezpeŔnosti
IT.
"DalÜÝm zp¨sobem, jak bezpeŔnost udr×et v povýdomÝ vÜech zamýstnanc¨, je vyu×Ýt
samotnou technologii k tomu, aby je upomenula," popisuje Joel Rakow, ÜÚf
oddýlenÝ odhalujÝcÝ elektronickou kriminalitu ve spoleŔnosti Tatum. Firmy mohou
vyu×Ývat ke zvřÜenÝ povýdomÝ o bezpeŔnosti odpovÝdajÝcÝ tipy a připomÝnky -
třeba hesla "NaÜe data představujÝ citlivÚ informace" nebo "Informace o
zßkaznÝcÝch jsou dostupnÚ jen v nalÚhavřch přÝpadech", kterÚ svÝtÝ na obrazovce
při aktivaci přÝsluÜnÚho spořiŔe.
"Podobný jako mnoho jinřch aktivit v rßmci IT by ani bezpeŔnostnÝ ÜkolenÝ
nemýlo břt provßdýno stylem éjedna velikost padne vÜem'," řÝkß Susan
Hanscheovß, mana×erka spoleŔnosti Nortel Government Solutions, kterß poskytuje
ÜkolicÝ programy o zabezpeŔenÝ informacÝ. Hanscheovß doporuŔuje ÜkolenÝ
zalo×enÚ na rolÝch, kde jsou poselstvÝ a akce zacÝleny na specifickÚ
posluchaŔe. JejÝ firma napřÝklad pou×Ývß osm podobný koncipovanřch program¨ k
tomu, aby roŔný proÜkolila 1 000 vlßdnÝch zamýstnanc¨. Kurzy pro vedoucÝ
pracovnÝky jsou odliÜnÚ od tých, je× jsou urŔeny pro mana×ery na seniorskřch
·rovnÝch, i od tých pro klasickÚ koncovÚ u×ivatele.
Alexanderovß zvolila ke ÜkolenÝ podobnř přÝstup. ěÝkß, ×e ŔlenovÚ vedenÝ majÝ
rßdi vßleŔnÚ přÝbýhy, střednÝ mana×eři preferujÝ prezentace, kterÚ jim
poskytujÝ ·plnÚ seznamy potřebnřch akcÝ, a obyŔejnÝ koncovÝ u×ivatelÚ uvÝtajÝ
informace v malřch, snadno stravitelnřch dßvkßch.
Kdy× Alexanderovß pracovala v nýkdejÜÝ spoleŔnosti Digital Equipment, vyvinula
metodu, kterß spoŔÝvala v tom, ×e po pracovnÝcÝch po×adovala, aby na webu
spoleŔnosti nalezli deset polo×ek vztahujÝcÝch se k otßzce dodr×ovßnÝ
bezpeŔnosti. Ti, kteřÝ naÜli vÜech deset, byli zařazeni do slosovßnÝ, při ným×
mohli vyhrßt malř dßrek.
Mo×nß byste byli překvapeni, kdybyste zjistili, ×e tato nezßvaznß akce
přilßkala vÝce ne× 70 % pracovnÝk¨ organizace. "PozitivnÝ soutý× je skuteŔný
prospýÜnß," řÝkß Alexanderovß.
Rudolphovß ze spoleŔnosti Native Inteligence, kterß poskytuje slu×by zamýřenÚ
na povýdomÝ o IT bezpeŔnosti, zase uvßdÝ, ×e u soutý×ný pojatřch osvýtovřch
program¨ zaznamenala podobnř ·spých. ěÝkß, ×e napřÝklad jeden z jejÝch klient¨
implementoval program "zpravodajskřch jestřßb¨", v jeho× rßmci prvnÝ
zamýstnanec, kterř přijde s nýjakou novinkou třkajÝcÝ se IT bezpeŔnosti, zÝskß
nýjakou cenu. Ceny sahajÝ od lÝstk¨ do kina a× po pracovnÝ volna. Třm zamýřenř
na zvyÜovßnÝ bezpeŔnostnÝ povýdomÝ potÚ danou zprßvu distribuuje
prostřednictvÝm třdennÝho e-mailu nebo pomocÝ pravidelnÚho newsletteru.
Dýlejte si legraci
IT bezpeŔnost je vß×nÚ tÚma, avÜak ÜÚfovÚ bezpeŔnosti zjistili, ×e jistß mÝra
lehkovß×nosti pomßhß udr×et pozornost zamýstnanc¨.
Alexanderovß, podobný jako mnozÝ jinÝ, vyu×Ývala pro vzdýlßvßnÝ zamýstnanc¨ o
bezpeŔnostnÝch problÚmech webovß ÜkolenÝ a pro otestovßnÝ jejich znalostÝ pak
on-line kvÝzy. AŔkoliv tento materißl pokrřval vřznamnß tÚmata, stßle hledala
cesty, jak vyvolat ·smýv. NapřÝklad pro volbu odpovýdÝ z vÝce mo×nostÝ zařadila
mezi alternativy pro otßzku "Co je to socißlnÝ in×enřrstvÝ?" rovný×
"vysokoÜkolskř titul" nebo "prßce na vřletnÝ lodi" - zjevný ÜpatnÚ odpovýdi
opepřenÚ Üpetkou suchÚho humoru.
"NenÝ to a× tak hloupÚ," tvrdÝ Alexanderovß, "je to nýco, co lidi přinutÝ
zapamatovat si zßkladnÝ poselstvÝ." (pal) 6 1043

ProÜli by vaÜi zamýstnanci testem?
Jako Ŕlen vedenÝ IT konzultaŔnÝ firmy předpoklßdal Bruce Baird, ×e jeho
zamýstnanci majÝ výdomosti třkajÝcÝ se bezpeŔnosti na velmi sluÜnÚ ·rovni.
NicmÚný konverzace s dřÝvýjÜÝm kolegou s jeho d¨výrou zacloumala.
Baird, provoznÝ viceprezident ve spoleŔnosti T2 Software Services, toti× od
bezpeŔnostnÝho experta Todda Knappa zjistil, ×e hackeři mohou nastavit telefony
tak, aby předstÝrali, ×e volß legitimnÝ firma (ukazatel Caller ID je nastaven
na jinou firmu, tak×e volanř nabude dojmu, ×e mu volß zßstupce inkriminovanÚ
spoleŔnosti).
"Jednou z výcÝ, jÝ× výnujeme pozornost, kdy× najÝmßme konzultanty, jsou jejich
schopnosti při osobnÝm styku - hledßme lidi, kteřÝ se, kdy× mluvÝ s klienty,
zeptajÝ: ,Jak vßm mohu pomoci?' A jestli by, pokud si myslÝ, ×e mluvÝ s
klientem a ve skuteŔnosti tomu tak nenÝ, nemohli ne·myslný předat hacker¨m
informace," vysvýtluje Baird.
MnohÚ firmy pou×ÝvajÝ takzvanÚ penetraŔnÝ testy, aby zjistily, nakolik dobře
jsou jejich technologie schopny odrazit přÝpadnÚ vetřelce. NýkterÚ z týchto
organizacÝ nynÝ vyu×ÝvajÝ podobnÚ techniky k tomu, aby odhalily, jak dobře
dokß×Ý zachytit potencißlnÝ problÚmy jejich zamýstnanci. Vřsledky, alespo˛
podle uveřejnýnřch zprßv, nejsou přÝliÜ povzbudivÚ.
"Zjistili jsme, ×e spousta firem výnovala mno×stvÝ penýz i Ŕasu na vybudovßnÝ
silnÚ, bezpeŔnÚ infrastruktury, ale nevýnovaly přÝliÜ mnoho Ŕasu zabezpeŔenÝ na
straný svřch zamýstnanc¨. Ti nejsou podrobný informovßni o tom, Ŕemu výnovat
zvřÜenou pozornost v dobý, kdy hackeři pou×ÝvajÝ stßle sofistikovanýjÜÝ metody
nabourßvßnÝ do podnikovřch informaŔnÝch systÚm¨," řÝkß Knapp, prezident
spoleŔnosti RocketReady, kterß kromý jinřch slu×eb a produkt¨ zajiÜŁuje
testovßnÝ připravenosti.
Zamýstnanci RocketReady vyu×ÝvajÝ k tomu, aby zÝskali informace a přÝstup do IT
infrastruktury firmy a k tam obsa×enřm dat¨m, stejnou techniku jako zlomyslnÝ
hackeři.
Ti nejprve sbÝrajÝ informace z dostupnřch zdroj¨, jako jsou třeba webovÚ
strßnky vyhlÚdnutřch firem. Potom se vydßvajÝ za zßkaznÝky, potencißlnÝ
klienty, představitele partnerskřch firem, obchodnÝ cestujÝcÝ Ŕi dokonce za
zamýstnance, aby tak zÝskali specifickÚ detaily, jako jsou napřÝklad
identifikaŔnÝ ŔÝsla zamýstnanc¨ a akronymy pou×ÝvanÚ pouze pracovnÝky uvedenÚ
firmy - tyto informace jim potom pomohou při realizaci ·tok¨.
Baird nechce, aby se zamýstnanci T2 stali obýtÝ podvod¨. Od tÚ doby, co mu
firma RocketReady ukßzala, jak jednoduÜe se dß falÜovat Caller ID, Baird zvřÜil
poŔet firmou sponzorovanřch ÜkolenÝ zamýřenřch na tento problÚm a vy×aduje, aby
se zamýstnanci ka×doroŔný ·Ŕastnili kurz¨ na toto tÚma.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.