V 62 procentech evropských společností došlo v průběhu dvou let ke ztrátám důvěrných dat na USB discích. Toto zjištění vyplývá z obsáhlé studie, kterou v listopadu 2011 uveřejnila společnost Ponemon Institute. Průzkum se týkal bezpečnosti USB disků ve velkých organizacích z deseti evropských států.
Ve většině společností, jak dosvědčuje 62 procent z dotazovaných, došlo během uplynulých dvou let ke škodám způsobeným ztrátou důvěrných nebo citlivých dat na ztracených nebo zcizených USB discích.
Další výzkumy ukazují, že 75 % zaměstnanců firem často používá USB disky, aniž k tomu má oprávnění od zaměstnavatele, 63 % zaměstnanců ztratilo USB disky, aniž si uvědomili příslušnou autoritu a 38 % jich používá běžné či reklamní disky.
Pravidla jsou, ale nedodržují se
Běžným rysem společností je také nedbalost při dodržování zásad. Na otázku, zda má jejich organizace zavedená pravidla, která definují schválené použití USB disků na pracovišti, odpovědělo 68 procent respondentů kladně – což by měla být dobrá zpráva. Většina společností také vyžaduje, aby se na pracovišti používaly pouze zabezpečené disky.
Mnoho z těchto pravidel ale vyjde naprázdno, protože 50 procent dotazovaných nevidí či si není jisto, že by jejich organizace zásady skutečně prosazovala v praxi. Důvodem je z velké části (70 procent) skutečnost, že odpovědní manažeři prostě důvěřují v poctivost zaměstnanců.
Nejhůře jsou na tom Francouzi a Poláci
Studie uskutečněná v deseti evropských státech také přinesla zajímavé srovnání jednotlivých zemí. Asi nás nepřekvapí zjištění, že vnímání důležitosti zabezpečení USB disků je na nejvyšší úrovni v „disciplinovaném“ Německu – kde 62 procent dotázaných potvrdilo, že jejich společnosti mají adekvátní bezpečnostní zásady pro používání USB disků, jež zabraňují zneužití dat ze strany zaměstnanců.
Na opačném konci žebříčku se nacházejí Francie a Polsko, které jsou počínáním zaměstnanců nejvíce ohroženy – 85 procent respondentů ve Francii a 83 procent v Polsku uvádí, že zaměstnanci používají v práci vlastní USB disky, aniž mají svolení k jejich užití.
„Přístupy k používání USB disků se v rámci Evropy sice liší, nicméně souhrnné poznatky podtrhují, jak velká část organizací stále postrádá přísné a účinné bezpečnostní zásady pro ochranu dat ukládaných na USB disky, čímž nechávají otevřenou obrovskou bezpečnostní díru v rámcových strategiích, které firmy pro zabezpečení dat používají,“ uzavírá autor studie Larry Ponemon.
Jaká je situace v Česku?
Ačkoli se průzkum neprováděl přímo v České republice, odhady odborníků nasvědčují tomu, že se situace nebude příliš lišit od sousedního Polska. Podle Marcina Gaczora ze společnosti Kingston „nevěnují státem financované i komerční organizace v České republice zabezpečení citlivých dat dostatečnou pozornost, ačkoli značný pokrok už vidět je.
Například namísto pouhé důvěry v zaměstnance či blokování USB portů začínají společnosti chápat, že klíčem k úspěchu je nastavit přiměřená bezpečnostní pravidla a dopřát zaměstnancům flexibilitu, i když pod kontrolou.“
Současná bezpečnostní řešení v této oblasti zahrnují jak samostatné hardwarově šifrované disky, tak použití softwaru pro centrální správu disků, který pak umožní například resetování hesla i vymazání obsahu disku na dálku či distribuci důvěrných dokumentů na dálku přímo na chráněné disky.
Bezpečnostní expert Jiří Nápravník svou dlouholetou zkušenost v této oblasti shrnuje slovy: „Používání nechráněných USB disků je v českých organizacích běžným jevem, a vzniká tak riziko nejen odcizení dat, ale také v opačném směru poškození firemního systému viry či malwary.“ Uvádí také příklad, který odhaluje běžný osud ztracených disků – i kdyby nešlo o cílenou krádež, dříve či později si obsah nalezeného disku někdo prohlédne:
„Při bezpečnostním auditu u jedné české společnosti jsme připravili test s použitím 25 kusů ´náhodně zapomenutých´ USB pamětí. Na disky jsme nahráli předem připravený autorun, který se měl po připojení k počítači ohlásit na určené IP adrese. Tyto USB disky jsme poházeli v prostorách firmy: v kuchyňce, na pánských i dámských záchodech, na hlavní chodbě, ve výtahu a několik i na parkovišti.
Výsledek byl víc než vážný – první den se na server přihlásilo 11 disků a během následujícího týdne to bylo celkem 16 disků.“ Potřeba zavedení bezpečnostních pravidel v této oblasti a jejich prosazování je tedy zřejmá i v českém prostředí.
Únik za miliony v praxi
Společnost Ponemon Institute byla pověřena, aby provedla analýzu reakce jedné významné finanční instituce na vzniklý únik dat. Jeden nespokojený manažer této instituce z oddělení privátního bankovnictví zkopíroval jména a kontaktní údaje nejdůležitějších klientů společnosti na USB disk. Tento seznam obsahoval záznamy o majetku 5 000 jednotlivců včetně celebrit, sportovců a politiků. Dva týdny před krádeží se totiž dozvěděl, že se jeho oddělení bude rušit a přesouvat do jiné země.
Jednalo se o spolehlivého zaměstnance s patnáctiletou zkušeností, který na své současné pozici pracoval již pět let, a tak nebyl žádný důvod předpokládat takové chování. Jako manažer měl ovšem práva přístupu do některých kritických systémů.
Asi tři měsíce po úniku si někteří velmi majetní klienti začali stěžovat, že je oslovila konkurenční firma. Zdálo se jim, že konkurence má k dispozici důvěrné informace o jejich účtech a posledních transakcích, které nemohl nikdo jiný znát. Oddělení IT bezpečnosti v součinnosti s externími auditory provedlo forenzní šetření, které ukázalo na únik dat. Také se zjistilo, že bývalý nespokojený zaměstnanec nyní pracuje pro konkurenci.
Vzniklá škoda zahrnovala poškození dobrého jména, náklady na právní obhajobu, poplatky za konzultace a odliv zákazníků. Přibližně osm procent významných klientů ukončilo vztah se společností. Celkové náklady (včetně fluktuace zákazníků) byly odhadovány na téměř 34 milionů dolarů.
V důsledku tohoto úniku ředitel firmy ve spolupráci s jejím představenstvem inicioval vznik nových pravidel ochrany dat a vytvoření oddělení zodpovědného za jejich ochranu. Vznikla pozice šéfa ochrany dat na mezinárodní úrovni.
Firma nyní provádí intenzivní audity monitoringu a shody s pravidly. Byly rovněž nasazeny systémy SIEM, které pomáhají v reálném čase identifikovat podezřelé transakce, a to především u privilegovaných uživatelů.
Základní, ale často opomíjené zásady
Ponemon Institute doporučuje firmám dodržovat základní desatero USB bezpečnosti.
- Poskytněte zaměstnancům kvalitní a schválené USB disky pro používání na pracovišti
- Stanovte pravidla a školení, která jasně definují používání disků
- Zajistěte, aby zaměstnanci, kteří mají přístup k citlivým datům, používali pouze zabezpečené USB disky
- Před nákupem disků prověřte jejich spolehlivost, zda vyhovují standardům, a ujistěte se, že neobsahují nějaký škodlivý kód
- Soubory uložené na USB discích šifrujte
- Monitorujte a sleduje USB disky
- Provádějte kontrolu zařízení na viry a malware
- Používejte hesla a zámky
- Pro citlivá data použijte šifrované USB disky
10. Zaveďte postup pro zabezpečení ztracených disků