Bezpečnostní incidenty ve firmách se prodražují

5. 6. 2014

Sdílet

 Autor: © rvlsoft - Fotolia.com
Cena, kterou firmy platí za bezpečnostní incidenty, při nichž dojde k úniku dat, neustále roste. Průměrná cena za takový incident je 3,5 milionu dolarů, o 15 procent víc než loni.

(PR článek)

Americká výzkumná agentura Ponemon Institute zveřejnila výsledky každoročního globálního průzkumu Cost of Data Breach Study. Průzkum se zaměřuje na společnosti, jež v posledním roce postihl únik dat; aktuální, již devátý ročník tohoto průzkumu zahrnul 314 takových firem z deseti zemí světa. Rozsah úniků dat se u těchto firem pohyboval v rozmezí 2500 až víc než 100 tisíc kompromitovaných záznamů.

Hlavní zjištění průzkumu Cost of Data Breach Study:

  • Průměrná finanční ztráta, vycházející na jednu osobu (tedy celková cena následků incidentu děleno počtem osob, jejichž data byla kompromitována) se meziročně zvýšila o 9 procent, na 145 dolarů. Podle státu se pohybuje mezi cca 200 dolary (201 USD v USA, 195 USD v Německu) a 51 USD (Indie).
  • Nejčastější příčinou útoků (podle klasifikace autorů průzkumu) je záměrný útok (42 % případů). Na dalších místech jsou selhání lidského faktoru (31 %) a systémová chyba (29 procent).
  • Následky záměrných útoků jsou horší oproti ostatním následkům ostatních incidentů: průměrná ztráta, vycházející na jednu osobu je v případě záměrného útoku 159 dolarů (průměr celého průzkumu, tzn. napříč všemi státy). V případě selhání lidského faktoru a systémové chyby je to 117 resp. 126 dolarů na jeden kompromitovaný záznam. Tento poměr se napříč zeměmi liší jen zanedbatelně.

Většina incidentů nemusela nastat

„Významnou část veškerých úniků dat mají na svědomí nedostatky v oblasti zabezpečení přístupu k datům a systémům. Je to přitom nepochopitelné, protože právě posílení autentizace je velmi jednoduše a levně řešitelná úloha,“ Petr Šnajdr, bezpečnostní expert ESET software.

Aktuálním příkladem bezpečnostního incidentu, kde došlo k masivnímu úniku dat, je kauza aukčního portálu eBay. Únik dat se týkal téměř 150 milionů uživatelů a unikla data včetně přístupových údajů. „Tento incident by představoval jen marginální problém, kdyby patřil mezi poskytovatele internetových služeb, kteří svým zákazníkům nabízejí jako doplňkový bezpečnostní prvek dvoufaktorovou autentizaci,“ dodává.

Tuto možnost v poslední době zavedly například společnosti Google, Facebook, Apple, Twitter a další, a jde o zásadní posílení bezpečnosti. Uživatel totiž musí kromě běžných přihlašovacích údajů zadat také jednorázové heslo, které mu daná služba doručí například formou SMS zprávy. V kauze eBay by to znamenalo, že útočník, který by se snažil dostat k účtu uživatele na základě jeho kompromitovaného hesla, by stejně neuspěl, protože by neznal jednorázové heslo. Naopak, majitel účtu by se o pokusu o nelegitimní přístup okamžitě dozvěděl.

„Ze způsobu útoku na eBay se navíc dá vyvodit, že adekvátní autentizací nebyly chráněné ani kritické firemní systémy eBay. To je opravdu alarmující,“ konstatuje Petr Šnajdr.

ESET Secure Authentication

bitcoin školení listopad 24

Řešením pro ochranu přístupu k systémům a datům je například moderní řešení pro dvoufaktorovou autentizaci ESET Secure Authentication. Jde o řešení pro tzv. dvoufaktorovou autentizaci, fungující na bázi jednorázového hesla. Tradiční zabezpečení heslem je tedy posíleno o druhé heslo, vygenerované zabezpečenou aplikací na mobilním telefonu (event. tabletu) uživatele. ESET Secure Authentication je jednoduše nasaditelné (standardní nasazení je možné kompletně – na serverové i klientské straně - realizovat do deseti minut) a uživatelsky přátelské. Jeho výhodou je, že nevyžaduje používání hardwarového tokenu, ale umožňuje využít existující infrastrukturu - smartphone. V případě, že uživatel nedisponuje chytrým telefonem, je standardně k dispozici alternativní způsob zabezpečení jednorázovým heslem: heslo se vygeneruje na serveru a je uživateli doručeno jako SMS.

V nové verzi je řešení ESET Secure Authentication nabízí systémovým architektům a vývojářům možnost integrovat zabezpečení přístupu k datům a systémům také do prostředí, v němž není k dispozici Active Directory společnosti Microsoft. Tuto možnost dává vývojářská sada (SDK – Software Development Kit) pro programovací jazyky .NET, PHP a Java; ve všech případech ESET nabízí také návody jak pro vývoj, tak pro nasazení, a příklady použitelného kódu.