Notoricky známy prípad hackerského útoku na Národný bezpečnostný úrad alebo phishing klientov jednej z najväčších slovenských bánk svedčia o tom, že ambície počítačových útočníkov necítia len vo vyspelých IT ekonomikách. Sú tiež len pomyselným vrcholom ľadovca, keďže drvivá väčšina incidentov narúšajúcich bezpečnosť organizácií a jednotlivcov sa nedostane na verejnosť. S rastúcou závislosťou firiem od informačných technológií a zvyšujúcou sa penetráciou internetu či smartfónov v populácii sa IT bezpečnosť stáva súčasťou strategického manažérskeho rozhodovania. Presnejšie, mala by.
Zlé, horšie, realita
Nedávny prieskum softvérovej spoločnosti Eset naznačil, že existujú značné rozpory medzi subjektívne vnímanou a skutočnou úrovňou riadenia IT bezpečnosti. Štyri pätiny respondentov – pocitovo – uviedli, že s ňou sú spokojní. Na druhej strane, len pätina organizácií mala zavedené formálne inštitúty pre túto oblasť, ako sú bezpečnostné politiky a smernice či klauzuly v zmluvách zamestnancov. A iba polovica respondentov sa pochválila, že pri riadení IT bezpečnosti využíva medzinárodné normy a štandardy. Rovnako veľká časť organizácií sa opiera „len“ o národné legislatívne predpisy alebo vlastné in- -house pravidlá.
Aj ďalšie výstupy z prieskumu Esetu ukazujú, že budovanie IT bezpečnosti v slovenských firmách je v začiatkoch. Napríklad len pätina respondentov uviedla, že má vytvorenú samostatnú pozíciu bezpečnostného manažéra. Väčšina firiem buď takéhoto človeka nemá vôbec, alebo jeho úlohy plní „štandardný“ IT manažér (čo nie je úplne v súlade s best practice). Rozvoju IT bezpečnosti vo väčšine organizácií bránia zásadné faktory: nedostatok financií, všeobecného povedomia, ale i nezáujem zo strany vrcholového manažmentu a majiteľov.
Rozsah škôd, ktoré spôsobuje zanedbávanie alebo slabá úroveň IT bezpečnosti, je pritom enormný. Napríklad Ponemon Institute vypočítal, že náklady vyvolané počítačovou kriminalitou dosahujú od 1,1 milióna po 27 miliónov eur ročne na jednu organizáciu (prieskum sa týkal USA). Oproti predošlému roku to znamenalo nárast o viac ako polovicu. Ako najnákladnejšie položky štúdia vyhodnotila obnovu dát a detekciu hrozieb, pričom organizácia potrebovala v priemere osemnásť dní na odstránenie následkov kybernetického útoku.
Hrôzostrašne vyznievajú aj závery prieskumu Norton Cybercrime Report, do ktorého sa zapojilo takmer dvadsaťtisíc jednotlivcov v 24 krajinách sveta. Vyplýva z nich, že obetí kyberzločinu je v súčasnosti trikrát viac ako tých, čo majú skúsenosť s klasickým offlinovým zločinom, napríklad vreckovou krádežou. Celkový účet za kyberkriminalitu sa v uplynulom roku podľa odhadov tejto štúdie vyšplhal na 388 miliárd amerických dolárov (288 mld. €).
Pravda, iba tridsať percent tejto sumy predstavujú priame finančné škody z krádeží a náklady na riešenie útokov – zvyšok je ohodnotenie času, ktorý obete kvôli kyberútokom stratili –, no aj tak ide o vysoké číslo. Na porovnanie, ročné výdavky organizácie UNICEF dosahujú 2,7 miliardy eur a čierny trh s marihuanou, kokaínom a heroínom sa odhaduje na niečo vyše dvesto miliárd eur.
Top priorita
Hoci apokalyptické štúdie môžu byť súčasťou marketingu poskytovateľov IT služieb, vzhľadom na rastúcu závislosť biznisu od info-komunikačných technológií sa nemusí ignorovanie ich bezpečnosti vyplatiť. Je bežné, že vo fyzickom svete sa firmy chránia, či už strážnou službou alebo prístupovými kartami, regulujúcimi vstup do špecifických častí areálu, aby predišli krádežiam alebo priemyselnej špionáži. Obdobné hrozby sa spájajú aj s elektronickým svetom.
Napríklad únik informácií o určitom obchodnom prípade prostredníctvom počítačovej siete môže zapríčiniť neúspech v súťaži s konkurenciou. Lebo jej pomôžu v tom, aby zákazníkovi ponúkla nižšie ceny alebo lepšie podmienky kontraktu. Tak ako vo fyzickom svete, platí, že prevencia môže v konečnom dôsledku vyjsť lacnejšie ako riešenie vzniknutých problémov.
Bezpečnosť IT priamo súvisí s celkovým podnikateľským rizikom. Strata údajov alebo výpadok prevádzky systémov môže mať vplyv na konkurenčné postavenie firmy, prejaviť sa na tržbách alebo vyvolať neočakávané náklady. Okrem toho, ochranu dát vo firmách predpisuje i legislatíva a jej narušenie môže mať dohru v podobe úradných sankcií a pokút.
IT bezpečnosť nie je záležitosťou len správcov sietí a podnikových informatikov. Ak má vo firme fungovať IT bezpečnosť, musí si jej stratégiu osvojiť a podporovať ju vrcholový manažment. Samozrejme, sformulovaním stratégie sa bezpečnosť automaticky nezlepší. Dôležité je, aby neostala na papieri, ale organizácia plnila úlohy a ciele, ktoré si zadefinovala.
Čím začať
Základom funkčného systému manažovania informačnej bezpečnosti je analýza rizík. V rámci nej firma postupne prechádza všetky svoje procesy a snaží sa odhaliť faktory, ktoré ohrozujú ich integritu. Výstupom sú manuály na riešenie bezpečnostných incidentov či pravidlá zaobchádzania s informáciami a podnikovými IT prostriedkami, záväzné pre interných zamestnancov aj externých obchodných partnerov.
Riziková analýza takisto poukáže na oblasti, do ktorých je vhodné, účelné a ekonomicky efektívne investovať, aby sa zvýšila celková úroveň riadenia IT bezpečnosti. Pri správne vypracovanej analýze sa minimalizuje hrozba, že organizácia nebude venovať adekvátnu pozornosť – peniaze a čas – významným rizikám, ale ju roztriešti na oblasti, ktoré pre ňu nie sú až také relevantné. Riziková analýza je podkladom pre rozhodovanie topmanažmentu. Ten má posledné slovo v tom, ktoré riziká bude firma akceptovať.
Nie je vždy nevyhnutné, aby firmy využívali sofistikovanú analytiku (napríklad CRAMM) či nasadzovali najvyššie štandardy riadenia IT bezpečnosti (ISO 27001:2005). Už len preto, že informačná bezpečnosť sa musí prispôsobovať rozpočtu podniku. Dôležité je rizikovú analýzu pravidelne opakovať, lebo procesy, ako aj prostredie, v ktorom podniky pôsobia, sa neustále vyvíjajú.
Manažérka kvality IT spoločnosti Anasoft Erika Slivová tiež podotýka, že jedným z pravidiel predchádzania bezpečnostným incidentom je nesnažiť sa okamžite zabezpečiť všetko na najvyššej úrovni. Podľa nej si treba stanoviť postupné kroky implementácie a zlepšovania riadenia informačnej bezpečnosti a „pokiaľ je to možné, vtiahnuť do tohto procesu predstaviteľov všetkých zainteresovaných strán“.
Insideri útočia
Pri identifikácii príčin bezpečnostných incidentov môže analyzátorov zmiasť „popularita“, ktorú – aj vďaka pozornosti masmédií – získali počítačoví hackeri. Aj keď význam tohto faktora skutočne rastie, lebo motivácie hackerov sa v priebehu uplynulých dekád posunuli od „neškodného“ dokazovania si schopností k organizovanej kriminalite s cieľom dosiahnuť zisk.
Špecialisti na informačnú bezpečnosť sa však zhodujú, že najväčšou hrozbou sú interní zamestnanci firmy. Nasvedčuje tomu aj prieskum Esetu, v ktorom ich konanie ako hlavný dôvod incidentov uviedlo viac ako 60 percent respondentov. A do tejto kategórie rizík patrí aj prvý v literatúre zaznamenaný kyberzločin. Koncom 50. rokov zamestnanec brokerskej kancelárie Walston naprogramoval firemný počítač tak, aby prevádzal peniaze z firemného účtu na jeho vlastné konto. Keď mu na to prišli, mal na ňom štvrť miliardy dolárov.
Jeden z najväčších prípadov útoku zvnútra (insider attack) sa stal začiatkom roka 2008. Francúzskej banke Société Générale vtedy jeden z jej obchodníkov sofistikovanými fingovanými transakciami za pomoci počítačových prostriedkov spôsobil škody, ktoré vyčíslila na päť miliárd eur.
No opäť, úmyselný insider attack –že zamestnanec zneužije prístup k dátam, odcudzí ich a predá – je ešte stále skôr výnimkou. Rovnako útok, ktorý je výsledkom nátlaku či sociálneho inžinierstva externých útočníkov – aj keď takéto prípady vyzerajú pôsobivo. V skutočnosti sú dôvody insiderských incidentov väčšinou podstatne triviálnejšie. Podľa štatistík 70 až 80 percent vznikne bez úmyselného zavinenia.
V externom prostredí sú citlivé firemné dáta vystavené nebezpečenstvu napríklad na pracovnej ceste, keď pracovník nechá notebook v hoteli. A stačí len na chvíľu. „Cez USB port zaberie skopírovanie obsahu štandardného laptopu dve hodiny, cez firewire od dvadsať do štyridsať minút a so špecializovaným hardvérom to trvá menej ako desať minút,“ vyratúva manažér firmy Logica pre informačnú bezpečnosť Ajoy Ghosh.
Ďalšou výzvou sú USB kľúče, ktoré zamestnanci dostanú na výstave alebo od potenciálneho obchodného partnera (prípadne ho „nájdu“ v hotelovej izbe). A. Gosh spomína prípad, keď podvodníci nastražili USB kľúč s firemným logom, aby ho zamestnanci prijali bez pochybností: „Ak má povolené automatické spustenie obsahu, počítač sa poľahky nainfikuje. A ak aj povolené nie je, zvedavý nálezca zvyčajne USB kľúč neodpojí, pokým si ho aspoň trošku neprezrie.“
Status povie veľa
Pre firmu môže byť teda kriticky dôležité vyrovnať sa s hrozbami vnútorných útokov. Pre začiatok je vhodné, ak si spraví prehľad o tom, ktorí zamestnanci majú prístup k akým dátam a kde všade sa s nimi pohybujú alebo sa s nimi pohybovať môžu. Inými slovami, kde a u koho je aké riziko straty alebo úniku akých dát.
Pôvod väčšiny incidentov takisto zvýrazňuje význam podstatnej zložky bezpečnostnej stratégie – vzdelávania zamestnancov. Zdá sa, že aj v ňom majú slovenské organizácie rezervy. V prieskume Esetu len štvrtina respondentov uviedla, že pracovníkov systematicky školí. Vo zvyšných organizáciách ľudia absolvujú jednorazové školenie pri nástupe do práce alebo vtedy, keď príde k incidentu, respektíve sa neškolia vôbec.
Jaroslav Oster zo spoločnosti Infoconsult to pomenúva priamo: manažmenty firiem žijú v ilúzii o intuitívnych IT vedomostiach svojich zamestnancov. Jeden z dôvodov vidí v tom, že legislatíva vyžaduje zvyšovanie kvalifikácie v tejto oblasti pomerne laxne. Porovnáva, že v tradičnejších povolaniach je to oveľa prísnejšie. Napríklad kurič, aby získal osvedčenie na prácu s tlakovými nádobami, musí každé dva roky absolvovať školenia v rozsahu 24 hodín. Administratívnemu pracovníkovi stačí podpísať obežník, v ktorom ho firma „poučí“ v zmysle zákona o ochrane osobných údajov.
Dôvodom na kontinuálne IT vzdelávanie je, že technológie napredujú. Pribúda spôsobov, akými môže prísť k úniku dát alebo k otvoreniu brány do firemného informačného systému. Riziká skrýva napríklad využívanie sociálnych sietí. A je jedno, či v pracovnom čase a z firemného počítača alebo cez víkend a z pohodlia obývačkového kresla.
Popularita Facebooku či Twitteru podporuje boom špeciálnych služieb, zameraných na nové formy zberu dát na účely obchodu a podnikania (business intelligence). „Sociálne médiá sú oveľa efektívnejší spôsob získavania informácií, na ktoré by bolo v minulosti potrebné fyzické sledovanie,“ uvádza pre agentúru Reuters šéf konzultačno-detektívnej spoločnosti Kroll Rich Plansky.
Zamestnanci firiem sliedičom priamo nahrávajú. A nielen tí radoví. Napríklad viceprezident Hewlett-Packardu Scott McClellan v profile na sieti LinkedIn nechtiac vyzradil detaily o pripravovanej cloudovej službe. „Jeden post insidera na Twitteri môže byť hodnotnejší ako stoh analýz,“ komentuje Reuters. Podľa prieskumu agentúry Forrester Research viac ako 80 percent firiem monitoruje sociálne médiá, aby získané informácie využili proti konkurencii. Skôr či neskôr budú tento trend riešiť aj slovenské podniky. Ostávajúci čas môžu využiť na to, aby vybudovali adekvátnu elektronickú ochranku.
Dôvody bezpečnostných incidentov
(%)
PRAMEŇ: Eset, prieskum o stave IT bezpečnosti v slovenských organizáciách
Článok vyšiel v prílohe Bezpečnosť IT, ktorá je súčasťou aktuálneho vydanía TRENDU č. 39.
Tlačený TREND na webe, kniha ako darček a ďalšie: Desať dôvodov, prečo si predplatiť časopis TREND.
Foto - Profimedia.cz
