Většina zástupců obce bezpečnostních firem v ČR shodně tvrdí, že největším rizikem pro podnikové sítě jsou její uživatelé. To není nikterak překvapivé a koresponduje s obecně přijímaným názorem. Jaká další místa jsou v současnosti kritická pro zabezpečení menších a středně velkých společností?
Podle Daniela Harrise, CEO ve společnosti Freedivision, pramení největší nebezpečí z používání mobilních zařízení jako jsou přenosné počítače a PDA. Toto vodítko však v podstatě opět jako na „viníka“ poukazuje na koncové uživatele. „Nejvíce zastoupenou kategorií rizik je v komerčním prostředí ztráta dostupnosti informací. Stávajícím nejslabším místem zabezpečení informační infrastruktury jsou většinou koncové body, kterým není věnována odpovídající pozornost a jejich bezpečnost je zcela chybně řešena odděleně od zbytku infrastruktury,“ říká k tomu Country manager pro ČR a SR ze společnosti Trend Micro Josef Holub.
Ne vše však může být svalováno jen na koncové uživatele. Ještě jiný názor má tedy Petr Odehnal, vedoucí oddělení virové analýzy Grisoftu: „V současnosti je nejkritičtějším místem zabezpečení SMB rychlost reakce. Pokud se objeví nový typ útoku, který si vyžádá změny v pravidlech a konfiguracích, tak je to například pro firmu s externí správou systému přece jen trochu složitější.“ Že riziko může pramenit také z podcenění či neznalosti zabezpečení ze strany provozovatele ICT systémů se shodně domnívají marketingový ředitel pro ČR a SR ve společnosti Eset Jaroslav Fabián i Security Practise Leader ve společnosti LogicaCMG Vladimír Páral.
Názor Territory Managera pro ČR & SR ve společnosti McAfee Vladimíra Brože je takový, že největší kritické místo představuje pocit falešného bezpečí. „Útočníci přesouvají svou pozornost právě na segment SMB. Devatenáct miliónů evropských firem z tohoto sektoru se pohybuje v prostředí rostoucí konkurence. Jsou stále více závislé na technologiích, a to je důvod, proč kybernetičtí zločinci přesouvají pozornost právě na ně. Nedávný průzkum iniciativy GetSafeOnline dokládá, že 44 % malých a středních firem už bylo napadeno. Přesto celých 60 % z nich není znepokojeno možností, že by se mohly stát terčem kybernetických útoků. Obecně totiž panuje chybné přesvědčení, že firmy kategorie SMB jsou příliš malé na to, aby byly jakkoli pro útočníky přitažlivé,“ vysvětluje.
MAJÍ ÚTOČNÍCI NAVRCH?
Taková byla otázka s pořadovým číslem dvě. Podle Vladimíra Brože (McAfee) nelze jednoznačně odpovědět. „Útočníci vedou většinou za předpokladu, že firma nebo koncový uživatel spoléhá pouze na čisté antivirové řešení. Minimum, co by měly firmy užívat, je antivir, antispyware, desktop firewall, antispamová a antivirová ochrana pošty – to vše s aktuálními updaty a s centrálním reportingem,“ doporučuje. Petr Odehnal z Grisoftu si zase myslí, že nejde ani tolik o vlastní nástroje, ale spíše o způsob jejich použití. „Klasické antiviry a firewally stačí, ale musí být správně konfigurovány a aktualizovány,“ tvrdí Odehnal.
Jednoznačně navrch mají a vždy mít budou útočníci dle Daniela Harrise z Freedivision. Klasické antivirové nástroje nejsou dostačující a je třeba kombinace hardwarových a softwarových opatření, myslí si. Podobný názor zastávají také Jaroslav Fabián z Esetu, Josef Holub z Trend Micro či Miroslav Křen, ředitel prodejů pro EMEA ve společnosti Kerio. „Pomyslný rozdíl mezi oběma tábory se zmenšil, změnil se způsob fungování antivirových programů, které dokáží reagovat na útoky nových virů bez nutnosti updatu vlastní databáze,“ rozvádí Křen svou tezi.
Jediným, kdo se domnívá, že společnosti s útočníky v oblasti zabezpečení drží krok, je Vladimír Páral z firmy LogicaCMG. Ten si myslí, že jsou k dispozici adekvátní nástroje a řešení, ale upozorňuje, že se útoky postupem času stávají velmi sofistikovanými, a proto i obrana proti nim není a nemůže být jednoduchá. „Jen antivirová ochrana rozhodně nestačí,“ dodává.
BEZPEČNOSTNÍ POLITIKA PRO SMB?
Zda lze v SMB firmách implementovat bezpečnostní politiky jako ve velkých společnostech a zda je to pro ně vůbec přínosem, na to jsme se zeptali nakonec. Odpovědi byly v tomto případě v úplném souladu, neboť ani jeden z respondentů danou myšlenku nezavrhl – spíše naopak. „Ano, i SMB firmy by měly mít jasně danou bezpečnostní politiku a její přínos podnik ocení už při prvním útoku,“ říká Jaroslav Fabián (Eset), „Dodržování základních bezpečnostních pravidel navíc není nákladné ani na čas, ani na finance,“ dodává. Josef Holub (Trend Micro) mu dává za pravdu: „Úroveň řízení informační bezpečnosti by neměla být ovlivněna formální velikostí společnosti. Bezpečnostní politika je nezbytným nástrojem pro řízení rizik spojených například s outsourcingem v provozu IT.“
Že je nutné stanovovat bezpečnostní pravidla v každé společnosti, si myslí také Daniel Harris (Freedivision), Vladimír Brož (McAfee) nebo Miroslav Křen (Kerio). Petr Odehnal (Grisoft) hovoří o tom, že implementace komplexní bezpečnostní politiky je velmi individuální a vždy záleží na konkrétním prostředí. „V každém případě se vyplatí mít alespoň nějaká základní pravidla definována,“ dodává však jedním dechem. Zavedení „security policy“ v menších firmách nakonec vítá také Vladimír Páral (LogicaCMG): „Doporučoval bych implementaci některého z dostupných standardů, typicky ISO27001. Rozsah implementace je samozřejmě nutné přizpůsobit velikosti dotyčné organizace. V opačném případě má organizace jen pouze další, byť specializovaný HW a SW, který nemá pod kontrolou, stejně jako řízení svojí IT bezpečnosti.“