Často ale ignorují druhou skupinu hrozeb, kterou představují lidé, jež potkávají každý den – zaměstnanci společnosti a lidé pohybující se uvnitř. Z ochrany proti interním hrozbám se stává aktuální otázka.
Dnes se již nelze spoléhat na to, že veškerá nebezpečí pro společnost, její cenné prostředky a citlivá data, leží za bezpečnostním perimetrem, kdesi v elektronické divočině. Ochranný val tvořený firewallem, antiviry a různými antispywarovými nástroji vznikal v odlišné situaci, než jaká panuje v dnešní společnosti.
Ochrana perimetru získává trhliny zevnitř, protože standardní nástroje například nijak nechrání před únikem dat a ochrana před chybami zaměstnanců je velmi omezená.
I přes tuto skutečnost však trvá masivní mediální tlak na společnosti, aby investovaly převážnou část rozpočtů na ochranu před externími hrozbami. Tento trend je živnou půdou pro následky způsobené interními hrozbami – pod svícnem je totiž vždy největší tma.
Co to jsou interní hrozby
Pod interními hrozbami rozumíme aktivitu nebo naopak nedostatek aktivity osoby pohybující se uvnitř společnosti, vedoucí k poškození společnosti. Tato definice pokrývá především chování zaměstnanců organizace, původcem se však mohou stát také uklízečky, opraváři a další personál třetích stran, který má přístup do kanceláří společnosti.
Hrozbám pocházejícím od vlastních pracovníků lze zamezit, jejich hlavní nebezpečnost však spočívá v ignoraci ze strany vedení společnosti. Management se často spoléhá na kvalitu svých zaměstnanců a nepřipouští si, že by některý z nich mohl chtít vědomě poškodit společnost. Původů nebezpečného chování však může být celá řada, nejen úmyslných. Mohou přitom vést až ke krachu podniku.
Jak mohou zaměstnanci ohrozit společnost?
- Nepozornost. S dnešním postavením IT v procesech společnosti stačí k velkým škodám i několik málo kliknutí. Pracovníci za počítačem mají dojem anonymity a často si neuvědomují zodpovědnost svého počínání.
E-mail odeslaný omylem na špatnou adresu, flash disk zapomenutý v městské dopravě nebo nedostatečná obezřetnost při dodržování bezpečnostní politiky jsou jen několika ukázkami, jak málo stačí ke způsobení škod z nepozornosti. Příkladem může být i loňský incident týkající se Slovenské armády. Plány cvičení, rozpisy dovolených či podpisové vzory nalezl na zastávce v okolí Nitry školák na cestě domů. Flash disk z daty zde ztratil pravěpodobně jeden z vojáků.
Za těmito chybami mohou stát problémy s nízkou motivací zaměstnance, příznaky vyhoření nebo zkrátka jen únava a vyčerpání zaměstnance.
- Špatná ochrana proti krádeži. Pachatelé drobných trestných činů si často ani neuvědomují, k jakému bohatství se při zcizení notebooku nebo přenosných disků dostávají. Notebook z vykradeného auta prodají v nejbližší zastavárně za několik tisíc, data na něm však mohou mít v porovnání s cenou hardwaru obrovskou hodnotu. Přitom zdaleka ne všechny firmy považují šifrování dat na přenosných médiích a počítačích za standard.
Podle statistik americké FBI je každých 53 sekund ukraden nějaký notebook. Pouze tři přístroje ze sta naleznou cestu zpátky k majitelům. A ani u těchto šťastlivců není zřejmé, co se s daty během nedobrovolného výletu stalo.
Zaměstnanci, kteří notebook nechají ležet v autě nebo mu nevěnují dostatečnou pozornost ve veřejných prostorech, zvyšují riziko krádeže těchto zařízení, a tedy i riziko, že společnost bude krádeží poškozena.
- Úmysl poškodit zaměstnavatele. Klasickým problémem je rozdílná představa společnosti a zaměstnance o jeho budoucím rozvoji a ohodnocení. Pracovník je buď méně motivován (a klesají jeho zapálení a pozornost) nebo v horším případě začíná přemýšlet, jak co nejrychleji společnost opustit a nejvíce z toho vytěžit.
Jednotliví zaměstnanci mohou mít podle významnosti a povahy své pozice během pracovní doby k dispozici citlivá data, která mohou zcizit pro rozjezd vlastního podnikání nebo jako vstupenku na lepší pozice u konkurenční společnosti.
Ani okamžité zamezení přístupu k datům po doručení výpovědi není spásným řešením – pracovníci si mohli zálohu dat v předtuše personálních změn pořídit dříve. Zhruba čtvrtina britských zaměstnanců by podle studie Harris Interactive při odchodu ze společnosti využila přístup k citlivým datům a vytvořila si zálohu.
- Vydírání. Bezpečnostní riziko může u zaměstnance vzrůst také externím vlivem. Potřeba řešit nenadálou životní situaci či cílené vydírání mohou být spouštěčem nežádoucích aktivit zaměstnance.
V takových momentech může chování pracovníka zkratovat a z dříve bezproblémového jedince se stane bezpečnostní časovaná bomba, která se bude aktivně snažit překonat zabezpečení dat společnosti nebo bude sabotovat práci svých kolegů ve snaze organizaci poškodit.
- Sociální inženýrství. Lze částečně klasifikovat také jako vydírání, u kterého si však napadená osoba není vědoma toho, že se stala obětí útočníka. Schopný pachatel tak získá v podobě zaměstnance prodlouženou ruku do nitra společnosti a může si dělat cokoliv, k čemu má přístup zneužitý pracovník.
Iluze neexistující hrozby
Manažeři společností často oponují tím, že znají perfektně lidi, se kterými pracují. Může se jednat i o dlouholeté známosti a osobní vztah. Ani to ale nezaručuje, že takový zaměstnanec nemůže být zdrojem rizika. Naopak i osoba na zodpovědné pozici s vynikajícími vztahy s okolím může selhat.
Jeden příklad za všechny: Robert Moffat, tehdejší senior viceprezident jedné ze skupin giganta IBM, vynášel citlivá korporátní data své známosti z investorské skupiny New Castle Funds. Byl součástí několikačlenné skupiny, která tímto činem sledovala osobní zisk. Jeden z kandidátů na výkonného ředitele IBM tak místo povýšení skončil ve vězení.
Fakta versus fikce
Loajalitu a spolehlivost zaměstnanců zkoumala mezinárodní společnost Gallup, která se zabývá výzkumem a poradenstvím v oblastech psychologie, managementu a dalších. Její studie vycházející z dotazníku Gallup Management Journal Survey ukazuje, že představy vedení společnosti o angažovanosti pracovníků mohou být realitě velmi vzdáleny.
Pouze 27 % zaměstnanců pracuje se zájmem a nadšením pro danou věc a přináší společnosti rozvoj a inovaci. Druhou skupinu tvoří pracovníci, kteří se necítí být spoluzodpovědní za úspěch podniku. Soustředí se na plnění předepsaných úkolů, avšak nemusí plně využívat svůj potenciál. Jde o většinu (59 %) zaměstnanců.
Poslední a rizikovou skupinu tvoří 14 % pracovníků, kteří chodí do práce negativně naladěni a svou aktivitou se snaží společnosti spíše škodit než prospívat. Mohou záměrně zdržovat a sabotovat práci kolegů.
Samozřejmě není třeba okamžitě začít podezřívat všechny zaměstnance, že se snaží poškodit společnost. Je však dobré na tato čísla pamatovat při přípravě bezpečnostních opatření.
Vzhledem k tomu, že zaměstnanci jsou nedílnou součástí společnosti, nelze je nikdy zcela odstínit jako zdroj interních rizik. Jejich chování a záměry jsou náhodnou veličinou, na kterou se nevyplatí zapomínat.
Důležité je zajímat se
Problémem současné situace je nevyváženost nasazení ochrany proti vnějším a vnitřním hrozbám. Výrobci a dodavatelé těchto řešení narážejí ve firmách na finančně napjaté rozpočty, ve kterých na řešení interní bezpečnosti nezbývá prostor, ale také na neochotu a nedůvěru v to, že hrozbou se může stát některý z lidí, kterého každý zná a denně vídá.
Pokud společnost ignoruje existenci interních hrozeb, vystavuje své zájmy a zdroje riziku. O tom, jak interní hrozby rozpoznávat pomocí softwarových nástrojů a jak se jim bránit, budou detailně informovat následující pokračování seriálu v dalších vydáních našeho časopisu.
Proč by se měly společnosti obávat interních hrozeb
- 30–40 % času stráveného na internetu v zaměstnání nemá nic společného s prací.
- 25,5 % zaměstnanců považuje pracovní dobu za nejlepší čas pro vyřizování osobních záležitostí on-line a 75 % při tom necítí žádnou vinu.
- 57 % pracovníků, kteří mají účet na sociální síti, se jim během dne v práci věnuje.
- Průměrně tak stráví na sociální síti 40 minut denně, což je ročně zhruba týden ztraceného času.
- 23 % zaměstnanců britských firem by si při odchodu ze zaměstnání odneslo data o zákaznících.
- Podle stejného průzkumu by si 17 % pracovníků odneslo informace a plány k vytvářenému produktu.
Data pocházejí ze statistik společností Morse, IDC a Harris Interactive.
Wikileaks a ti druzí
Mediálně nejznámějším případem úniku citlivých dat je aféra stránek WikiLeaks, kde jsou zveřejněny diplomatické depeše různých států světa. Část jich vynášel z americké armády svobodník Manning, když je maskoval jako CD s hudbou Lady Gaga. Projekt WikiLeaks oznámil, že se zaměří i na soukromý sektor.
Dva bývalí zaměstnanci britské pobočky operátora T-Mobile ilegálně ukradli a prodali záznamy o milionech zákazníků. Britský úřad ICO, dohlížející na bezpečnost dat, jim vyměřil pokutu ve výši 73 000 liber. Společnost T-Mobile v tomto případě pokutována nebyla, protože podle vyjádření úřadu měla vyvinuty dostatečné mechanizmy pro nápravu a minimalizaci škody.
Že i uklízečka může ohrozit citlivá data, se přesvědčili předloni v pražské nemocnici v Motole. Místo úklidu žena spolu se svým komplicem odnesla tři počítače s údaji o zákrocích a datech pacientů přímo z operačního sálu.
Josef Halíček pracuje ve společnosti Safetica Technologies.
PŘEDPLATNÉ
ČLÁNKY DO MAILU