Desatero ochrany citlivých firemních dat

Únik dat, ať už z jakýchkoli důvodů, někdy postihl přes polovinu všech firem. Podle britského Information Commissioner's Office, jakési obdoby českého Úřadu pro ochranu osobních údajů, vzrostl počet zveřejněných úniků dat za poslední dva roky o 40 % a za posledních pět let dokonce o neuvěřitelných 1 600 %. A důvod? Nejčastější chybou společností je nedostatečné stanovení priorit a zodpovědností ve vztahu k bezpečnosti. Cesty, kterými data unikají z firemního prostředí, jsou různé. Většina bezpečnostních rizik ale nepřichází z vnějšku, nýbrž zevnitř firmy. Podle dostupných statistik je až 80 % všech IT rizik interních. Pouhých 20 % pak spadá pod ohrožení firem zvenčí, komentuje situaci Jakub Mahdal, ředitel společnosti Safetica Technologies.

Většina firem ale paradoxně věnuje víc pozornosti ochraně svých zdrojů před hrozbami vnějšími. Antivirové programy nebo firewally jsou samozřejmě dobrou investicí, ale nesmí se podceňovat i vysoká možnost úniku a především chyb uvnitř společnosti. Není ale důvod mluvit ihned o krádežích způsobených zaměstnanci. Ty tvoří jen pětinu všech případů úniku dat způsobených interními zdroji nebezpečí. 80 % dat firma ztratí nebo se dostanou do nepovolaných rukou obyčejnou a nechtěnou chybou. Tři čtvrtiny dat zmizí prostřednictvím koncových stanic uživatelů, zbytek zmizí při přenosu po síti. Škody jsou v takových případech poměrně velké, musí se do nich započítávat i případný ušlý zisk a ztráta know-how. Podle amerického Ponemon Institute dosahují částky za škody způsobené omylem v jednom případě v průměru 13 milionů korun.

Nejčastěji k úniku dochází pouhým překliknutím při odesílání e-mailu, ukládáním nezašifrovaných dat na veřejné servery, nebo ztrátou flash disku. Zaměstnanci si ale také při změně zaměstnání často berou i materiály, které vytvořili nebo se na tvorbě pouze podíleli. Lidé prostě subjektivně pociťují svůj díl na odvedené práci a její výsledky tak považují za své, dodává Jakub Mahdal. Rizika ztráty citlivých firemních dat může snížit následující desatero:

Nastavte bezpečnostní politiku a procedury – Pokud nestanovíte jasná pravidla, jsou jakékoliv nástroje bezzubé.. Jasné vymezení zásad i osobní zodpovědnosti je v každé společnosti základem.

Omezte používání soukromých USB disků – Nad osobními flash disky zaměstnanců nemá vedení firem kontrolu. Důvěrné informace by se na těchto zařízeních vůbec neměly objevit. Firemní rozpočty a plány se takto mohou ke konkurenci snadno dostat i při neškodném zapůjčení flash disku jinému členu rodiny.

Není jedno, kdo má k čemu přístup – Příležitost vytváří problémy. Lidé často zkoumají a kopírují informace z pouhé zvědavosti. Vymezením možností nakládání s daty firma zabrání tomu, aby se citlivá data dostala pouze k těm, kteří je reálně potřebují.

Šifrování chrání při ztrátě i krádeži – Nástroje, které jsou schopny zabezpečit data i při ztrátě nebo krádeži by měly být v každé firmě zcela automatické.

E-mail není důvěrný kanál – Pokud firma obchodnímu partnerovi nebo klientovi posílá citlivé údaje, je vhodné využít pro jejich ochranu šifrování. Někdy mohou být zrádné i našeptávače adres. E-mail se zcela bez záměru může dostat k nepovolanému adresátovi.

Pozor na nahrávání do cloudu a na úložiště – Virtuální úložiště dat a poskytovatelé služeb přinášejí bezpečnostní rizika. Je nutné si pečlivě zjistit a hlídat, kam jsou důvěrné informace nahrávány a kdo všechno k nim má přístup.

Důvěrné informace nepatří do koše – Zápisy z porad, faktury, poznámky s kontakty a podobně. Vše, co se objeví na papíře, má být důsledně skartováno. Jinak se odpadkové koše mohou stát vítaným zdrojem firemních dokumentů.

K mazání nestačí Delete – Použití tlačítka Delete neznamená, že se data nemohou objevit v nepovolaných rukou. Z disku nebo z koše je dokáže získat i průměrně zdatný uživatel.

S končícím zaměstnancem mohou odcházet i data – Když zaměstnanec opouští společnost, je vhodné zajistit, aby si s sebou neodnesl citlivé informace. Bývalým zaměstnancům by měly být automaticky zrušeny všechny účty a přístupy.

Nečekejte, až vám data uniknou – Ignorovat prevenci se nevyplácí. Platí totéž pravidlo o prevenci jako při ochraně zdraví. Vždy je lepší nemoci předcházet, než ji léčit. V případě firemních dat platí, že je levnější úniku informací bránit, než vydávat úsilí na jejich obnovu. Je také potřeba mít vhodné nástroje, které upozorní na hrozící riziko předem a mít nachystaný postup pro takové situace.