Útok na citlivá data firem přichází z vlastních řad

Frustrovaní zaměstnanci představují největší riziko, že z firmy uniknou důvěrná data. Útoků zvenčí je mnohem méně.

Mnoho nedobytných pevností padlo rozloženo zevnitř spíše než útokem přes hradby. Právě tak firmy ohrožují nejvíce jejich vlastní zaměstnanci. Jde o únik citlivých firemních informací.

Praha – Firmy utrácejí miliony korun za bezpečnostní informační systémy, ale vlastní zaměstnance si neohlídají. Ti způsobí úmyslně či z nedbalosti až tři čtvrtiny případů úniku citlivých dat. Z toho vyplývá, že horentní sumy vydávané na ochranu počítačových databází proti útoku zvenčí jsou, s nadsázkou řečeno, vyhozené peníze.
„Většina úniků dat informací z firem je důsledkem nedbalosti nebo zlovolného jednání zaměstnanců, kteří svým laxním přístupem působí společnostem milionové škody,“ uvedl Ivan Janoušek, soudní znalec v oblasti informačních technologií ze znaleckého ústavu Apogeo Esteem. Únik dat nejčastěji způsobují zaměstnanci svojí nedbalostí, a to z 50 procent, ztrátou datových nosičů, či krádeží. Ty se na celkovém počtu prozrazení důvěrných dat podílejí 12 procenty. Teprve potom následují útoky pověstných hackerů, kteří se na úniku informací podílejí „jen“ 14 procenty. Vyplývá to z auditů několika set firem.

Školení pomůže

Mezi nejčastější nedbalostní důvody úniku či ztráty dat patří nedostatečné proškolení zaměstnanců či chybějící dokumentace, neaktualizované informační systémy a nesprávně nastavená přístupová oprávnění. „Paradoxem je, že čím víc se firmy snaží ochránit svá data zejména proti útokům zvenčí, tím větší hrozbu představují interní bezpečnostní rizika. Například citlivá účetní data lze snadno získat předstíranou rutinní kontrolou počítače v účtárně,“ uvedl Janoušek.
Únik citlivých informací může vést k poškození dobrého jména firmy, ztrátě konkurenční výhody, ztrátě zákazníků či vést k sankcím za nedodržování uzavřených dohod. „Odhadujeme, že jen v loňském roce se potýkalo s únikem citlivých informací přes 28 procent tuzemských firem,“ doplnil Janoušek.

Konkurence nespí

Pravděpodobnost cílené krádeže firemních dat roste s citlivostí uchovávaných informací. Firmy disponující velmi choulostivými daty čelí v průměru šestinásobnému riziku jejich úniku než ty, které informace klasifikované jako „tajné“ neuchovávají. „Nejčastěji se problém týká firem v bankovnictví a ve vyspělých technologických odvětvích, například v leteckém průmyslu, ve zbrojírenském průmyslu, elektrotechnickém nebo v poradenství,“ vyjmenovává nejvíce ohrožené obory Janoušek.
Bez ohledu na obor jsou však nejžádanějšími a nejcennějšími daty informace, které se dají rychle zpeněžit nebo využít v konkurenčním boji. Největší hrozbu představují zaměstnanci, kteří hodlají z firmy odejít či jsou ve výpovědní lhůtě. „Ve finančním vyjádření je interní krádež dat desetkrát nákladnější, namísto statisíců jsou v sázce řádově miliony korun,“ varuje Janoušek.

Bezpečnostní mýtus

Exporti v této souvislosti varují před bezpečnostními mýty, kterým často podléhají manažeři hlavně ve středních a menších společnostech. „Jedním z nich je přesvědčení, že na ochranu dat stačí sofistikované bezpečnostní systémy. Ty jsou sice důležité, ale je třeba vyloučit i řadu interních slabin a dát je do kontextu s pracovněprávní agendou firmy. Jedině tak je možné únikům zamezit, případně vymáhat úhradu škod způsobených porušením bezpečnostních pravidel,“ podává návod Jan Vojtěch Binder, expert znaleckého ústavu Apogeo Esteem.

Na hraně zákona

Zabránit nezodpovědnému chování zaměstnanců a tím i úniku, ztrátě či zneužití citlivých dat lze pouze zavedením pravidel, jejichž dodržování je nekompromisně vymáháno. „Ale i ta nejlepší bezpečnostní pravidla jsou k ničemu, pokud zaměstnanec nechá ležet své heslo u počítače nebo s z domova přinese zavirované soubory na přenosném disku. Podle našich zkušeností například jen 23 procent podniků aktivně kontroluje připojení výměnných médií,“ říká Janoušek.
Opačným extrémem je ale až příliš přísná kontrola zaměstnanců. Prostředí „Velkého bratra“ řadu lidí demotivuje a může být i v rozporu se zákony na ochranu osobních údajů. „Typickým příkladem jsou nezákonné kontroly zaměstnanců, například kamerovým systémem,“ uvedl Janoušek. „Firmy by proto měly svá bezpečnostní opatření sladit i s pracovněprávní agendou firmy, normami na ochranu informací a platnou legislativou,“ dodává expert.

Zdroj: Pražský deník
Datum vydání: 30.6.2011 
Rubrika / pořad: Ekonomika  
Autor: MICHAL ACHREMENKO