Zabezpečení firemních dat: Jak dobře chráníte jádro svého byznysu?

Podle nejnovější internetové zprávy Europolu o organizované trestné činnosti (IOCTA 2018) jsou skupiny organizovaného zločinu stále vynalézavější a více se zaměřují na malé a střední podniky. Firmy by si tedy měly začít pokládat otázku o bezpečnosti svých dat.

Ze zprávy Cyber Ready Barometr, která vychází z výzkumu 1 500 podniků v celkem 9 zemích, vyplývá, že pouze 1 ze 4 podniků můžeme označit jako „Cyber Ready“ – tedy firmu, která má kvalitně zabezpečené podnikání s ohledem na řadu možných hrozeb a výzev blízké budoucnosti.

5 největších bezpečnostních hrozeb, před kterými byste měli chránit svoji firmu

Kyberzločin způsobí podle výzkumné společnosti Gartner jenom firmám v následujících 5 letech škody za 120 bilionů korun. Na jaké hrozby byste se měli především připravit?

Malware

Škodlivý software (neboli malware) se do počítače dostane tak, že uživatel klikne na nezabezpečený odkaz nebo otevře infikovanou přílohu e-mailu. Malware pak naruší či poškodí systém, ukradne data nebo získá administrativní přístup k síti celé organizace. V minulých letech čelilo mnoho firem například útokům ransomwaru (zablokuje přístup k datům a za jeho zpřístupnění požaduje peníze) a v roce 2018 také kryptoměnových malwarů, které využívají cizí počítače k těžbě kryptoměn.

Phishing

Výzkum společnosti IronScales ukazuje, že podvody typu phishing představují až 95 % úspěšných kybernetických útoků na světě. Útočníci se často dostávají k citlivým firemním datům prostřednictvím phishingových e-mailů. V rámci firemního prostředí může podvodná komunikace vypadat třeba jako e-mail od vašeho správce sítě. „Admin“ v něm zaměstnanci píše, že se má přihlásit do systému, změnit heslo nebo nainstalovat software do počítače. Takřka jedinou ochranou je v takovém případě počítačová gramotnost a obezřetnost uživatele.

DoS

DoS a DDoS útoky fungují na principu zahlcení požadavky, které způsobí kolaps systému. Jejich cílem je tak znepřístupnit službu ostatním uživatelům. Bombardování serverů zažily například různé zpravodajské servery, banky nebo vzdělávací instituce. Nejlepší obranou je opět prevence. Bohužel ale útoky tohoto typu jsou poměrně rozmanité, takže každá firma vyžaduje trochu jiný přístup.

MitM

Man-in-the-middle (zkráceně MitM) označuje útoky, při kterých dochází k odposlouchávání soukromé konverzace – například pomocí škodlivého softwaru nebo infiltrací do komunikačního kanálu. Před těmito útoky vás ochrání speciální programy a opět také opatrnost. K veřejné wifi se připojujte prostřednictvím VPN a ujistěte se, že webové stránky, na které chodíte, běží na protokolu https.

SQL injection

SQL injection je technika napadení databázové vrstvy programu tak, že vpraví škodlivý kód do serveru a donutí ho odhalit informace, které by za normálních okolností neprozradil. Typicky se může jednat o útok přes neošetřený formulář na webu, manipulaci s URL nebo třeba podstrčení upravené cookie. Bránit se těmto útokům můžete například tzv. „escapováním“ znaků a vhodným nastavením oprávnění uživatele v databázi.

Co vaši firmu ochrání? Firemní vzdělávání, trénink kritického myšlení i stanovení scénářů postupu

Podle české firmy Safetica, která se zabývá ochranou dat, zažije každý rok bezpečnostní incident až 80 % společností. Jen 9 % se o tom ale dozví. Kauz, kdy se na internetu objevují databáze zákazníků s jejich jmény, adresami, telefonními čísly a dalšími údaji, přibývá i v ČR. Závažný únik citlivých dat přitom znamená pro firmy ztrátu v průměru 96 000 000 Kč. Jak tomu můžete zabránit?

Vhodné je začlenit bezpečnost do firemní kultury a naučit zaměstnance vnímat ji jako klíčovou hodnotu. Pomoci mohou pravidelná školení a testy, které ověřují znalosti lidí, a to především v oblasti postupů, které mají následovat v případě pochyb nebo zaznamenání útoku. Pro takové situace by měly být ve firmě stanovené konkrétní scénáře, které lidem poradí, co v problematických chvílích dělat, a usnadní jim rozhodování.

Základem však stále zůstává i kvalitní technické ošetření systémů. Vodafone dokáže zabezpečit veškerá zařízení a postarat se o bezpečnou archivaci dat. Ačkoliv security řešení vyžadují investice, výzkum odhalil souvislost mezi vysokou úrovní kybernetické připravenosti a obchodními výsledky. Konkrétně to znamená, že spotřebitelé jsou ochotni zaplatit více, pokud jim můžete zajistit, že budou jejich data dobře zabezpečená.

Co můžete udělat pro lepší zabezpečení konkrétně vy sami?

•    Používejte silná hesla a pravidelně je měňte. Pokud máte problém si všechna zapamatovat, můžete si nainstalovat správce hesel, který vám s tím pomůže.
•    Používejte dvoufaktorovou autentizaci. Dvojité ověření identity výrazně zvyšuje zabezpečení. Práci s dvoufaktorovou autentizací vám usnadní třeba aplikace v telefonu nebo firemní čipové karty.
•    Zálohujte. Všichni víme, že bychom to měli dělat, ale málokdo to skutečně dodržuje. A to i když má se ztrátou dat osobní zkušenost. Ukládejte si proto vše v pravidelných intervalech na bezpečné místo.
•    Neodkládejte aktualizace. Obsahují důležité bezpečnostní záplaty, které ochrání váš počítač před nedávno objevenými hrozbami.
•    Nezapomínejte na mobil. Hlídejte si, které aplikace si do něj instalujete, k čemu jim umožňujete přístup, pravidelně updatujte systém a pro jistotu si nainstalujte antivir. Mobilní zabezpečení bude v následujících letech čím dál důležitější.
•    Vyhněte se citlivým transakcím na veřejné wifi. Neplaťte v kavárně faktury, nepřihlašujte se pomocí hesel do účtů a dávejte si pozor na cokoli, co prostřednictvím veřejné wifi děláte.
•    Průběžně se vzdělávejte. Šifrování dat nebo zabezpečení prohlížeče bylo dříve výsadou IT nadšenců, dnes už ho řeší čím dál více lidí i mimo programátorský svět. Sledujte novinky o ochraně dat a zabezpečení zařízení. Nové hrozby vás pak nezaskočí.