Viete, aké dáta sú pre vás najcennejšie?

Práca z domu môže byť pre firmy veľkým nebezpečenstvom. Napokon, počet bezpečnostných incidentov sa v poslednom čase zvýšil.

Situácia, ktorá nastala hlavne v súvislosti s pandémiou, bola vážnym zásahom do práce firiem a výzvou pre bezpečnosť. Aj firmy, ktoré boli relatívne dobre pripravené, museli riešiť výzvy, ktoré prinieslo prenesenie práce domov. Aj my v Orangei sme museli realizovať organizačno-technické opatrenia, aplikovať krízové riadenie, business continuity plány pre oddelenia, ktoré nemohli odísť na home office, ako napríklad logistika. To všetko sa muselo koordinovať s bezpečnosťou. A, samozrejme, popri tom vznikali nové procesy, procedúry a rizikové analýzy. Takéto postupy zasiahli takmer každú firmu.

"Kvôli home officeu v takmer všetkých firmách vznikli nové procesy, procedúry a rizikové analýzy."

Aj keď cca 90 % našich interných zamestnancov mohlo byť aj dovtedy na home office, museli sme riešiť napríklad predajnú sieť. Tá funguje ako frančíza, teda nie sú to interní zamestnanci. Museli sme im zmeniť organizáciu práce, doručiť nástroje na prácu domov a zaistiť pritom takú mieru bezpečnosti, aby to neznamenalo žiadne ohrozenie dát či únik informácií. Jediné bezpečné pripojenie z domu do firmy je cez verejnú privátnu sieť (VPN), ktorá zaistí, že zamestnanec nebude pracovať z nezabezpečenej domácej siete.

V domácej sieti môžu byť pripojené infikované počítače a zariadenia, cez ktoré by sa dalo dostať aj k samotnému počítaču zamestnanca a k firemným dátam. Hoci aspoň základnú ochranu má väčšinou každá firma, nie všetky bezpečnostné politiky a systémy museli byť pripravené pre prácu z domu s takou úrovňou bezpečnosti, aká je v internom firemnom prostredí. Navyše, v časovom tlaku občas firmy a organizácie pristúpili ku krátkodobým bezpečnostným výnimkám. Tie sa však môžu stať rizikom, ak sa z nich stanú dlhodobé výnimky. Ak sa na zabudne, neriešia sa a vznikne priestor pre bezpečnostné incidenty.

"V časovom tlaku firmy pristúpili k bezpečnostným výnimkám, ktoré môžu byť rizikom, ak sa z nich stanú výnimky dlhodobé."

Prišiel boom phishingových a scam útokov, často s témou súvisiacou s COVID. Napríklad v útočníci ponúkali nákup rúšok, užívateľ, ktorý sa na web preklikol alebo otvoril nebezpečnú mailovú prílohu, síce rúška nedostal, ale zato si mohol infikovať počítač. Skončiť to môže krádežou firemných dát alebo sa do počítača dostane ransomware, ktorý sa cez neošetrené zraniteľnosti a otvorené sieťové služby na firemných počítačoch a serveroch rozšíri a všetky dáta zašifruje – čo aj pre firmu s IT oddelením môže znamenať niekoľkotýždňovú až niekoľkomesačnú nefunkčnosť. A môže sa stať oboje, krádež dát a zároveň ich zašifrovanie, takže ak si aj používateľ obnoví svoje dáta vďaka zálohám, útočníci ho vydierajú zverejnením ukradnutých údajov. Pri citlivých dátach to môže skončiť obrovskými pokutami a vážnym reputačným problémom.

Premiestneniu dát a aplikácií do cloudu musí predchádzať zváženie viacerých kritérií. Cloudy sú veľkým lákadlom hlavne z pohľadu finančných nákladov a bezstarostnej IT prevádzky. V prvom rade je potrebné urobiť rizikovú analýzu firmy – v čom firma podniká, čo je jej najcennejšie aktívum a pred kým ho potrebujem ochrániť. Ak je to pred bežnými menšími bezpečnostnými rizikami, môžem zvážiť verejný cloud a aplikácie, renomovaní poskytovatelia ich majú relatívne dobre ochránené. Ak disponujem dátami väčšieho významu, tam už zvolím minimálne privátny cloud u renomovanej firmy s kvalitne riadenou bezpečnosťou. Treba tiež zvážiť, kde sa moje dáta budú nachádzať, lebo v niektorých krajinách nie sú dáta úplne chránené napríklad z pohľadu GDPR.

"Ak disponujete dátami väčšieho významu, vyberte si privátny cloud u renomovanej firmy s kvalitne riadenou bezpečnosťou."

Možno pár odporúčaní na záver – ak s firmou prechádzate na diaľkovú prácu, nepodceňte školenia ľudí vo všetkých oblastiach informačnej bezpečnosti – či ochrany dát, práce s mailami, prístupu do firemných systémov a sietí, najčastejších spôsobov útokov a podobne. Práve ľudský faktor môže byť pre bezpečnosť dát a funkčnosť služieb veľké riziko.