Mýty informační bezpečnosti aneb proč většina firem žije v bludu
Většina firem si stále neuvědomuje, že jejich nejcennějším aktivem jsou informace, a že by jejich ochraně měly věnovat dostatečnou pozornost.
A je jedno, zda se jedná o informace o nových produktech, technologiích, výrobních postupech, klientech nebo marketingové strategii. Pravda je, že tyto informace mají určitou hodnotu, a pokud nejsou odpovídajícím způsobem chráněny, mohou být snadno zcizeny a zneužity. Z tohoto důvodu by měla každá organizace, ve vlastním zájmu a bez ohledu na svou velikost a předmět podnikání, zavést určitá bezpečnostní opatření.
Firmy bezpečnost podceňují
V okamžiku, kdy přijde řeč na nutnost zavést odpovídající bezpečnostní opatření, narážíme na odpor jak ze strany samotných vlastníků, manažerů a vedoucích pracovníků dané organizace, tak i ze strany obyčejných zaměstnanců, přičemž naprostá většina z nich argumentuje více méně stejně a uvádí důvody, proč je zbytečné do nějaké bezpečnosti investovat. Uveďme si, jaké argumenty při těchto jednáních nejčastěji zaznívají a jak je možné na ně reagovat.
Mýtus #1: Zatím se nic nestalo
To je značně odvážné tvrzení, když jste odpovídající bezpečnostní opatření ještě nezavedli. Možná se už stalo a možná ne jednou a možná se to děje i soustavně a vy o tom vůbec nevíte. Snad si nemyslíte, že vám budou zaměstnanci sami hlásit, teď jsem si zkopíroval DB klientů nebo dodavatelů ze síťového disku, kam bych ani neměl mít přístup. Nebo teď jsem poslala strategické plány na příští rok svému příteli, který vlastní firmu podnikající ve stejném oboru. To, že obrat a tempo růstu vaší společnosti je víceméně stejný, je hezké, ale nenapadlo vás, že to že se vám nedaří lépe, není náhoda ani nepřízeň osudu, ale je tomu tak proto, že vaše konkurence ví dopředu o všech vašich krocích?
Mýtus #2: My si své zaměstnance důkladně vybíráme
To říkají všichni a přesto je kolem 80 % útoků vedeno právě zevnitř organizace, a předmětem útoku jsou nejčastěji informace. Z průzkumů, které na toto téma byly provedeny, jednoznačně vyplynulo, že zaměstnanci jsou připraveni si v okamžiku, kdy se cítí ohroženi, cenné informace odnést a použít u svého budoucího zaměstnavatele, a někteří přiznávají, že si data z tohoto důvodu odnášejí soustavně, protože ví, že by se jim mohla později hodit. Ale nemusí se jednat jen o úmysl, mnoho incidentů je také způsobeno z nedbalosti nebo neznalosti, neboť zaměstnanci nebyli dostatečně proškoleni a odpovídající bezpečnostní opatření nebyla zavedena.
Mýtus #3: To by u nás vůbec nefungovalo
Ale fungovalo, stačí jen zaměstnancům dostatečně srozumitelně vysvětlit, proč po nich takové chování vyžadujete. Ze zkušenosti můžeme říci, že pokud zaměstnanci určité opatření odmítají a nedodržují, tak problém je buď v tom, že dané opatření je neadekvátní, anebo jim nikdo nevysvětlil, proč společnost rozhodla o jeho zavedení. Kromě toho zaměstnanci, musí dělat to, co se jim řekne a vy máte zase ze zákona např. povinnost chránit osobní údaje o svých klientech nebo zaměstnancích, takže nezapomínejte na to.
Mýtus #4: Jsme příliš malí, abychom byli pro útočníka zajímaví
Nesmysl, i malá firma může mít know-how, které může být pro mnohem větší firmu velice zajímavé. Proto také velké firmy ty malé firmy kupují a v některých případech je neváhají i zlikvidovat. A pokud jsou vaši konkurenti jen stejně velcí jako vy, tak i v takovém případě můžete očekávat útok z jejich strany, obzvlášť když se některému z nich přestane dařit, pak se bude snažit za každou cenu zachránit svoji firmu. A pokud říkáte, že žádné know-how nemáte, vykašlete se na podnikání a nechte se někde zaměstnat, bude to pro vás lepší. A ještě jedna věc, útočníci si často nevybírají firmy podle velikosti, ale podle toho jestli jejich automatický skener, který prohledává určitý adresní prostor, najde ve vašem systému nějakou zranitelnost.
Mýtus #5: Stejně ty zranitelnosti neumí nikdo zneužít
Vězte, že na internetu jsou k dispozici jak návody, tak i poměrně účinné nástroje, s jejichž pomocí lze úspěšně realizovat útok na jakoukoliv společnost. Ale nemusíte se hned stát obětí nějakého cíleného útoku, nýbrž jen nějakého plošně vedeného útoku, kdy je útočníkovi v podstatě jedno, čí server položí nebo čí data získá. Nejde ale jen o zranitelnosti v samotném operačním systému, ty lze často rychle odstranit pouhou instalací příslušného patche nebo service packu, ale především o chyby ve webové aplikaci a absenci bezpečnostních opatření vůbec.
Mýtus #6: Ostatní bezpečnost také neřeší
Víte, každý nemá potřebu vytrubovat do světa, jaké opatření zavedl. A i kdyby vaši konkurenti bezpečnost opravdu neřešili, tak to nic neznamená. Pokud chcete být lepší a dosáhnout nějakého úspěchu a nestát se obětí nějakého plošného útoku, tak musíte bezpečnost vnímat jako vaši konkurenční výhodu, protože až jednomu vašemu konkurentovi poteče, jak se říká do bot, a bude hledat nějakou oběť, tak u vás narazí.
Mýtus #7: Bezpečnost je jen zbytečný náklad
Samozřejmě, že to bude něco stát, minimálně trochu vašeho času. Zavést základní bezpečnostní opatření je zpravidla možné i bez dalších investic do SW a HW. Pokud se obrátíte na velkou firmu, která zaměstnává desítky nebo stovky lidí, a je výhradním distributorem nějakého produktu nebo řešení, tak musíte počítat s tím, že se vám bude snažit prodat nějaké to řešení nebo produkt, který vy vůbec nepotřebujete. Ale vy si přeci můžete udělat analýzu rizik a cost/benefit analýzu a hned budete vědět, zda se vám zavedení daného řešení vyplatí nebo ne.
Mýtus #8: My jsme svá data a systémy přesunuli do cloudu
Tím jste jen možná jen dočasně snížili své náklady. Ovšem vaše data a systémy jsou stále vystaveny působení mnoha různých hrozeb, a v některých případech mohou být z nich vyplývající rizika dokonce mnohem větší. Kromě toho správa a přístup k datům stále probíhá z koncových zařízení a ta jsou zranitelná a právě na ně a jejich uživatele jsou vedeny nejčastější útoky, nikoliv na infrastrukturu.
Závěr: Největším problémem je zpravidla neschopnost managementu spočítat, jaký dopad na společnost by mohl mít únik citlivých informací, nežádoucí změna dat, nebo nedostupnost kritických služeb a dále pak zcela nesmyslné podceňování hrozeb a v mnoha případech naopak přehnaná důvěra v účinnost stávajících bezpečnostních opatření.
Štítky: informační bezpečnost
K článku “Mýty informační bezpečnosti aneb proč většina firem žije v bludu” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.