Žijeme nebezpečný rok? Ako vidíte z pohľadu kyberbezpečnosti ostatné mesiace, keď kto mohol, prešiel na home office?
Situácia, ktorá nastala hlavne v súvislosti s pandémiou, bola vážnym zásahom do práce firiem a výzvou pre bezpečnosť. Aj firmy, ktoré boli relatívne dobre pripravené, museli riešiť výzvy, ktoré prinieslo prenesenie práce domov. Aj my sme museli realizovať organizačno-technické opatrenia, aplikovať krízové riadenie, business continuity plány pre oddelenia, ktoré nemohli odísť na home office, ako napríklad logistika. To všetko sa muselo koordinovať s bezpečnosťou. A, samozrejme, popri tom vznikali nové procesy, procedúry a rizikové analýzy. Takéto postupy zasiahli takmer každú firmu.
Povedzme si to na príklade. Ako takáto zmena zasiahla do dovtedajšieho fungovania?
Aj keď okolo 90 percent našich interných zamestnancov mohlo byť aj dovtedy na home office, museli sme riešiť napríklad predajnú sieť. Tá funguje ako franšíza, teda nie sú to interní zamestnanci. Museli sme im zmeniť organizáciu práce, doručiť nástroje na prácu domov a zaistiť pritom takú mieru bezpečnosti, aby to neznamenalo žiadne ohrozenie dát či únik informácií. Jediné bezpečné pripojenie z domu do firmy je cez verejnú privátnu sieť (VPN), ktorá zaistí, že zamestnanec nebude pracovať z nezabezpečenej domácej siete.
Čo sa napríklad môže stať, keď firma nevynucuje VPN?
V domácej sieti môžu byť pripojené infikované počítače a zariadenia, cez ktoré by sa dalo dostať aj k samotnému počítaču zamestnanca a k firemným dátam. Hoci aspoň základnú ochranu má väčšinou každá firma, nie všetky bezpečnostné politiky a systémy museli byť pripravené na prácu z domu s takou úrovňou bezpečnosti, aká je v internom firemnom prostredí. Navyše, v časovom tlaku občas firmy a organizácie pristúpili ku krátkodobým bezpečnostným výnimkám. Tie sa však môžu stať rizikom, ak sa z nich stanú dlhodobé výnimky. Ak sa na ne zabudne, neriešia sa a vznikne priestor na bezpečnostné incidenty.
O nich sa teraz veľa hovorí. Vidíte aj vy nárast bezpečnostných udalostí?
Áno. Prišiel boom phishingových a scam útokov, často s témou súvisiacou s COVID-19. Napríklad útočníci ponúkali nákup rúšok, používateľ, ktorý sa na web preklikol alebo otvoril nebezpečnú mailovú prílohu, síce rúška nedostal, ale zato si mohol infikovať počítač. Skončiť sa to môže krádežou firemných dát alebo sa do počítača dostane ransomvér, ktorý sa cez neošetrené zraniteľnosti a otvorené sieťové služby na firemných počítačoch a serveroch rozšíri a všetky dáta zašifruje – čo aj pre firmu s IT oddelením môže znamenať niekoľkotýždňovú až niekoľkomesačnú nefunkčnosť. A môže sa stať oboje, krádež dát a zároveň ich zašifrovanie, takže ak si aj používateľ obnoví svoje dáta vďaka zálohám, útočníci ho vydierajú zverejnením ukradnutých údajov. Pri citlivých dátach sa to môže skončiť obrovskými pokutami a vážnym reputačným problémom.
Ak by ste boli majiteľom strednej či veľkej firmy, dali by ste svoje dáta a aplikácie do cloudu? Ktoré áno a ktoré nie?
V určitom prípade áno, ale musí tomu predchádzať zváženie viacerých kritérií. Cloudy sú veľkým lákadlom hlavne z pohľadu finančných nákladov a bezstarostnej IT prevádzky.
V prvom rade treba urobiť rizikovú analýzu firmy – v čom firma podniká, čo je jej najcennejšie aktívum a pred kým ho potrebujem ochrániť. Ak je to pred bežnými menšími bezpečnostnými rizikami, môžem zvážiť verejný cloud a aplikácie, renomovaní poskytovatelia ich majú relatívne dobre ochránené. Ak disponujem dátami väčšieho významu, tam už zvolím minimálne privátny cloud u renomovanej firmy s kvalitne riadenou bezpečnosťou. Treba tiež zvážiť, kde sa moje dáta budú nachádzať, lebo v niektorých krajinách nie sú dáta úplne chránené napríklad z pohľadu GDPR.
Možno pár odporúčaní na záver: ak s firmou prechádzate na diaľkovú prácu, nepodceňte školenia ľudí vo všetkých oblastiach informačnej bezpečnosti – či ochrany dát, práce s mailmi, prístupu do firemných systémov a sietí, najčastejších spôsobov útokov a podobne. Práve ľudský faktor môže byť pre bezpečnosť dát a funkčnosť služieb veľké riziko.
Články označené logom TREND WE KNOW HOW sú pripravené v spolupráci s komerčnými partnermi. Redakcia nie je ich autorom, napriek tomu môžu byť pre čitateľa prínosné
