Ohrožení IT bezpečnosti ve firmách v létě roste

Prázdniny a doba dovolených vnášejí do provozu firem jiný rytmus. Zaměstnanci se střídají na dovolených, přijímají se brigádníci na výpomoc, zapomenuté úkoly se často řeší nezabezpečenými komunikačními kanály z dovolených. Rizikem je komunikace ze soukromých zařízení i využívání veřejně dostupných počítačů v hotelech a kavárnách.

Riskantní práce z dovolené

Téměř každý se snaží odjet na dovolenou „s čistým stolem“, občas se v době jejich nepřítomnosti vynoří nedořešený úkol, potřebují kolegovi poslat důležitý dokument, zúčastnit se klíčového jednání i v době dovolené. I když se v posledních dvou letech firmy více soustředily na zajištění bezpečné vzdálené komunikace, v letních měsících se stále někteří zaměstnanci připojují nouzově, často nezabezpečenými kanály, ze soukromých zařízení.

„Soukromé telefony a tablety, které s sebou většina lidí na dovolené bere, nejsou ve většině případů tak dobře chráněné proti kybernetickým hrozbám. Nepodléhají totiž odborné správě IT oddělení, které si dává záležet na pravidelných aktualizacích a softwarové ochraně. Navíc jde často o zařízení, které slouží dětem ke hraní her a stahování obsahu. Mohou tedy obsahovat škodlivý software, který se po vstupu do firemního systému aktivuje a ohrozí jej,“ vysvětluje Martin Pejsar z BNP Paribas Cardif.

Dalším rizikovým faktorem je využití počítačů veřejně dostupných v hotelech nebo kavárnách. Zde stačí zanechat otevřené okno s komunikací, přístup do pracovního mailu nebo zapomenut USB v portu, a problém je na světě. Ani zde si nelze dělat iluze, že všechny hotely mají investice na profesionální správu a ochranu této techniky a softwaru. Rizikem je i wi-fi připojení přes veřejné poskytovatele, kde často ochrana také není dostatečná.

Nedořešené procesy na pracovišti

V letních měsících často na pracovišti panuje snížená obezřetnost. Navíc některé činnosti mohou vykonávat brigádníci, kteří nebyli dostatečně proškoleni. Mohou tak vědomě i nevědomky ohrozit data i systémy firmy. Doba dovolených prověří také nastavení procesů a bezpečnostních pravidel ve firmě.

„Základem zajištění bezpečnosti ve firmě je správné nastavení procesů. Musí být jasné, k čemu mají konkrétní pracovníci přístup, jak mohou nakládat s daty, kam je mohou odesílat, ukládat. Ale také kdo se může pohybovat v prostorách firmy, kdo má přístup jednotlivým počítačům a zařízením, jak s nimi může nakládat. Stažení dat nebo instalace nevítaného softwaru může být dílem okamžiku,“ říká Michal Merta, ředitel Cyber Fusion centra společnosti Accenture.

Hackeři si dovolenou neberou

Léto už dávno není pro kybernetické útočníky dobou klidu. Testování odolnosti sítí v době, kdy jejich správa může být na dovolené, CFO fraud, tedy potvrzení maily vydávající se za příkazy managementu, zneužití nezabezpečené komunikace z dovolené, krádeže telefonů a notebooků obsahujících citlivá data. To jsou jen některé z technik, které mohou v době dovolených přímo poškodit firmy a jejich systémy. Jedním z nejúčinnějších způsobů obrany, ale stále zůstává vzdělávání zaměstnanců a jejich poučení v počítačové bezpečnosti.

„60 % všech úniků dat dnes způsobují vlastní zaměstnanci, ne hackeři snažící se prolomit systém. V drtivé většině případů jde o neúmyslné chyby pramenící z neznalosti či nepozornosti v letních měsících, kdy jsou pro to ideální podmínky. Pro předcházení těmto vnitřním hrozbám jsou klíčová tři základní opatření: správně nastavené firemní systémy, informovanost zaměstnanců a kvalitní bezpečnostní software. Firmy by se měly soustředit na takové aktivity, které minimalizují potenciální rizika – oddělení firemních a osobních účtů, nastavení práv na úrovni přístupu k souborům, šifrování a dvoufaktorové ověřování přístupů. V neposlední řadě zodpovědný přístup k okamžitému řešení zjištěných bezpečnostních incidentů,“ uzavírá Ondřej Ševeček z Počítačové školy GOPAS.