Vnitřní hrozby představují pro citlivá firemní data velké nebezpečí. Zatímco mnoho podniků se zaměřuje na ochranu před vnějšími útoky, incidenty vyvolané zaměstnanci tvoří více než polovinu případů ztráty dat. Fenomén vnitřních hrozeb podrobně představuje Richard Brulík, generální ředitel společnosti Safetica, která nabízí Data Loss Prevention (DLP) řešení.
Safetica je dodavatel DLP zaměřený především na vnitřní hrozby. Jak takové hrozby obvykle vypadají?
Společnosti se obecně mohou setkat se třemi různými typy vnitřních hrozeb. Za prvé, zaměstnanci opouštějící firmu, kteří se mohou pokusit odnést si s sebou citlivá data. Dělají to proto, že se domnívají, že data mohou využít v novém zaměstnání, nebo proto, že mají v úmyslu poškodit svého bývalého zaměstnavatele tím, že data použijí proti němu. Druhým běžným příkladem vnitřní hrozby je situace, kdy stávající zaměstnanec sdílí citlivá data nevhodnými kanály (např. přes veřejné cloudové úložiště), ať už z důvodu své neznalosti, nebo prostě omylem. A konečně třetí typ je sice často klasifikován jako vnitřní hrozba, ale nebezpečí ve skutečnosti vzniká mimo společnost. V tomto případě může záškodník ukrást přihlašovací údaje zaměstnance a získat přístup k citlivým nebo důvěrným datům uloženým v podnikové síti.
Bez DLP řešení trvá odhalení úniku dat měsíce
Můžete se podělit o konkrétní případy, se kterými jste se ve své praxi setkal?
Začnu prvním typem, který jsem zmínil. Vzpomínám si na případ dovozce automobilů luxusních značek, který se rozhodl najmout nového obchodníka. Nový zaměstnanec přišel k vedení s citlivými údaji ze svého minulého zaměstnání, které obsahovaly jména klientů, kterým se blížil konec leasingu vozu. Pro dovozce to byla příležitost kontaktovat tyto potenciální zákazníky a nabídnout jim lepší řešení než konkurence. A protože se jedná o luxusní vozy, mluvíme o velkých částkách. Vedení společnosti si však brzy uvědomilo, že stejná situace se může snadno stát i jim, což je motivovalo k lepší ochraně dat. Poté, co začali spolupracovat s naší společností, jsme zjistili, že jeden z jejich bývalých zaměstnanců také odcizil jejich data stejným způsobem jako nově najatý obchodník. Velmi rychle se nám pro ně podařilo implementovat řešení, které striktně omezilo přístup k citlivým datům a jejich využití.
Na to je třeba reagovat rychle…
Ano, protože když společnost nemá DLP řešení, trvá odhalení 68 % případů narušení bezpečnosti dat několik měsíců. Také obvykle trvá téměř tři měsíce (85 dní), než firma incident pocházející zevnitř společnosti vyřeší. To je obrovský problém, když ztrátu dat odhalíte až po několika měsících a škoda už byla napáchána. Navíc se firmy o úniku dat často dozvědí od konkurence, což nikdy není příjemné. Vzpomínám si na případ české strojírenské firmy, která hledala čínského subdodavatele. V rámci tohoto procesu jeden potenciální čínský partner zaslal své modely převodovek polské firmě. Jakmile viděli vzorky, věděli, že výrobek je totožný s výrobkem jednoho z jejich hlavních polských konkurentů. Byli si jisti, že konkurenční firma s čínským podnikem nespolupracovala, takže šlo jednoznačně o případ úniku dat. Ihned po incidentu informovali o problému své konkurenty a okamžitě hledali DLP řešení, které by jejich firmu ochránilo před podobnou situací.
A co druhý typ vnitřních hrozeb – sdílení citlivých dat nevhodnými kanály?
Mohu uvést případ účetní z jedné nejmenované firmy, která byla požádána, aby vytvořila dokument shrnující firemní účty. Nebyla si ale jistá, jak jej poslat svému zaměstnavateli. Soubor byl příliš velký na to, aby jej sdílela e-mailem, a tak se jej rozhodla umístit do veřejného cloudového úložiště, aniž by použila hesla, šifrování nebo jinou formu ochrany souboru. Už z názvu dokumentu bylo zřejmé, že obsahuje citlivé údaje. V důsledku toho si soubor mohly stáhnout i neoprávněné osoby. Tento problém nezačal se zlým úmyslem – účetní jednoduše nebyla poučena o bezpečném zacházení s daty a jejich sdílení prostřednictvím zabezpečených kanálů.
DLP by mělo podporovat produktivitu, ne jí bránit
Jaké jsou hlavní důvody vnitřních hrozeb? Lze jim zabránit?
Existuje několik kroků, které mohou společnosti podniknout k lepší ochraně svých dat. V první řadě by zaměstnavatelé měli vzdělávat své zaměstnance v oblasti zabezpečení dat. Je třeba si uvědomit, že ztráta dat je často neúmyslná. Zaměstnanci například chtějí jen poslat nějaké dokumenty svým kolegům, a protože nebyli informováni o nejbezpečnějším způsobu, jak to udělat, nakonec ohrozí citlivá podniková data – stejně jako účetní zmíněná v mém příkladu. To se často stávalo na začátku pandemie, kdy lidé potřebovali pracovat z domova a často nedostali žádné instrukce, jak mají data ze svých kanceláří nebo pracovních zařízení přenášet. Každá společnost si musí ujasnit svou politiku ochrany dat, specifikovat bezpečné a nebezpečné postupy (například ukládání jakýchkoli dokumentů na USB flash disk) a pečlivě rozdělit přístup k datům mezi zaměstnance.
A konečně, jedním z nejlepších způsobů ochrany je nalezení DLP řešení, které bude pro vaši společnost fungovat a chránit vaše data. Vždy je důležité, aby zásady zabezpečení a DLP technologie nenarušovaly produktivitu zaměstnanců. Pokud by každý pracovník potřeboval k dokončení jednoduchého pracovního procesu oprávnění od více lidí, nemohla by firma fungovat.
Jsou si firmy vědomy rizika vnitřních hrozeb?
Je to stále lepší. Není to tak dávno, co se podniky soustředily hlavně na potenciální hrozby přicházející zvenčí a svou cestu k bezpečnosti vždy začínaly implementací firewallu a antivirového softwaru. Na tom není nic špatného, firmy se samozřejmě musí chránit před hrozbami zvenčí, ale vnitřní hrozby by neměly být přehlíženy ani podceňovány, protože k mnoha incidentům ztráty dat dochází vinou zaměstnanců. V současné době se zejména v některých zemích, například v Nizozemsku nebo Velké Británii, diskutuje o tom, jak vedle sebe existují DLP řešení a ochrana proti vnějším hrozbám. Společnosti v těchto zemích často volí několikavrstvý systém zabezpečení a používají řešení od více poskytovatelů. V kombinaci mohou různá bezpečnostní řešení vytvořit systém ochrany, do kterého je obtížné proniknout. V Evropě lze pozorovat výrazný pokrok, a to především díky nařízení GDPR. Toto nařízení donutilo společnosti, aby se důkladně zabývaly riziky pro svá data. Nyní již při setkání s potenciálním zákazníkem nemusíme vysvětlovat základy ochrany dat a již ví, že některá data jsou obzvláště citlivá, a proto potřebují důkladnou ochranu.
Přístup zaměřený spíše na člověka než na data
Obliba DLP roste. Víte proč?
Co se týče širšího trhu s DLP technologiemi, roste přibližně o 15-20 % ročně. A ve srovnání s ostatními odvětvími roste velmi rychle ze tří hlavních důvodů. Zaprvé, existují předpisy, které tlačí společnosti k lepší bezpečnosti dat, jako je například výše zmíněné nařízení GDPR. Zadruhé, množství digitálních informací zpracovávaných společnostmi je stále větší. V důsledku toho, pokud data zůstanou nezabezpečená, existuje obrovské množství informací, které mohou být snadno ukradeny, uniknout nebo je společnosti mohou využít ke zničení svých konkurentů. A konečně, nárůst vzdálených nebo hybridních způsobů práce donutil společnosti důkladněji chránit svá data, protože jejich informace nyní cestují v mnohem větším objemu mezi kancelářemi a domovy zaměstnanců, kde se pracovníci mohou připojovat k méně zabezpečeným internetovým sítím.
U vnějších hrozeb pozorujeme neustálý vývoj a stále sofistikovanější útoky. Je situace podobná i u vnitřních hrozeb?
Neřekl bych, že vnitřní hrozby jsou stále sofistikovanější. Spíše se vyvíjí pracovní prostředí. Vyvíjejí se noví e-mailoví klienti a častěji se používají mobilní zařízení. Všechny tyto změny mohou způsobit, že vnitřní hrozby se budou vyskytovat častěji, protože data jsou nyní častěji konzumována na cestách. Místa, kam můžou být data uložena, se neustále rozšiřují. To je také důvod, proč se již nezaměřujeme pouze na datové body nebo jednotlivá zařízení, ale spíše na klienta nebo uživatele a jeho chování na různých platformách. Náš přístup se v podstatě mění z přístupu zaměřeného na data na přístup zaměřený na člověka. Nový trend můžeme pozorovat také v souvislosti s výběrem DLP softwaru. V současné době mnoho společností volí spíše produkty typu SaaS.
Richard Brulík, CEO společnosti Safetica
Richard Brulík působí v oblasti technologií již 20 let. Dříve pracoval pro společnosti Y Soft a Kentico Software, kde se podílel na globálním prodeji, marketingových aktivitách a řízení lidí. Od května 2020 pracuje Richard na pozici CEO společnosti Safetica, poskytovatele DLP řešení, který se zaměřuje především na vnitřní hrozby. Když mluví o zabezpečení dat, zdůrazňuje význam vzdělávání zaměstnanců a přístupu zaměřeného na člověka. „Tím, že se Safetica zaměřuje na jednotlivce a jejich jednání, dokáže odhalit nebezpečí, která by jiný ochranný software, včetně antivirového, mohl přehlédnout,“ vysvětluje Richard. Společnost Safetica pokračuje v expanzi, budování globální zákaznické základny a vývoji nových produktů, včetně řešení SaaS.