Nejrizikovější jsou lidé

16. června 2008, 13:15 - Zdeněk Svěžen
16. června 2008, 13:15

Existují mechanismy, které neumožňují zneužívat podniková data

Přístup k bezpečnostním opatřením v rámci aplikací a systémů se různí. Mnoho firem spoléhá při řízení bezpečnosti informačního systému především na poctivost svých zaměstnanců nebo na jejich počítačovou „negramotnost“. Člověk je však tvor zvídavý a zejména u mladší generace je počítačová gramotnost samozřejmostí.
IT bezpečnost je možná trochu abstraktní pojem, ale můžeme si ji přiblížit na zcela jednoduchém příkladu. Pokud pracovník nebo návštěvník uvidí na chodbě firmy ležet balíček peněz, je dost dobře možné, že si jej přivlastní. To nevyžaduje žádné speciální schopnosti či vlastnosti zloducha. A všichni to nepovažují za nemorální. Bude-li rolička peněz na stole v otevřené kanceláři bez dohledu a s dveřmi dokořán, jde o jiný případ. Zabavení peněz již vyžaduje jistou dávku drzosti a nepříliš pevné morální zásady. Budou-li peníze v zabezpečeném trezoru, posouváme se ještě dále. Pro případné obohacení již nestačí jen pohotovost a absence morálky. Předpokladem jsou „vyšší“ technické schopnosti - od umění ovládat páčidlo až po cit pro hádání číselných kódů jako ve filmu.

Nedostatečná infrastruktura

Nedostatečná bezpečnostní infrastruktura proto může znamenat jak pohození peněz na chodbě, tak jejich úschovu v trezoru - záleží na míře výskytu slabin v kontrolním prostředí. Protože mnoho informací uložených v informačních systémech spadá do kategorie citlivých dat a jejich pozbytí či vyzrazení znamená finanční újmu pro společnost, je připodobnění ke ztrátě konkrétního obnosu v našem příkladu vcelku výstižné.
Mnoho firem se často nachází zhruba na úrovni „otevřené kanceláře“ - k nepovolenému přístupu k datům útočníkovi stačí drzost. V případě informačního systému má však útočník oproti svému kolegovi, který se chce zmocnit obnosu na stole v otevřené kanceláři, jisté výhody. Konfiskátor fyzických peněz riskuje, že bude spatřen. Je také pravděpodobné, že peníze bude brzy někdo postrádat. Oproti tomu odcizená data nikdo postrádat nebude, stačí je totiž jen zkopírovat. Lze sice automaticky zaznamenávat přístupy k datům (tedy vytvářet bezpečnostní logy), ale jen málo společností tyto informace uchovává a jen zlomek je vyhodnocuje. Pokud se navíc útočníkovi podaří zneužít cizí uživatelský účet, možné podezření tím ještě více minimalizuje.

Architektura

Bez ohledu na to, jak je navržena vlastní organizace, jakým způsobem jsou nastavené procesy a jaká technologie je použita, bezpečnost většinou selhává na lidském faktoru. Existuje však mnoho způsobů, jak tomuto selhání zabránit či alespoň minimalizovat jeho riziko. Tato opatření se dělí na vstupní (při nástupu zaměstnance do práce), průběžná a výstupní (odchod zaměstnance).
Pro vstupní opatření platí, že noví zaměstnanci musejí obdržet práva, která odpovídají jejich pracovnímu zařazení. Pokud pracovník zneužije práva k nepatřičným úkonům s využitím IS/ICT, musí být správce systému schopen prokázat, že jejich nastavení odpovídá zadání vedení a případná nadměrnost není chybou IT.
Pro IT pracovníky platí stejná, ne-li přísnější pravidla. Je zřejmé, že administrátor má nad svěřeným systémem neomezenou moc. V tomto ohledu je nutné zdůraznit význam monitoringu - jiná osoba by měla být pověřena kontrolou činnosti správců systémů, například vyhodnocováním logů. Zejména pro systémy obsahující citlivá a strategická data společnosti by se měli vybírat kvalifikovaní odborníci a věnovat pozornost jejich osobním vlastnostem.

Průběžná opatření

Druhou kategorií jsou průběžná opatření. Nejvíce nežádoucích kumulací přístupových práv nastává, když jeden z pracovníků dočasně vykonává další pracovní úkony (například zastupuje kolegu). Přidání práv obvykle není problémem. Většinou se však již zapomíná na jejich odebrání po uplynutí doby, na kterou byla třeba. Ve firemních standardech je nutné na tuto možnost pamatovat a pověřit nadřízeného, aby nejen informoval IT o potřebě přidání práv, ale aby i inicioval návrat do původního stavu.
Dalším potenciálně krizovým momentem je, když pracovník přechází z jedné pozice do druhé. Při nastavování standardů je opět nutné tuto situaci zohlednit a pověřit bývalého či nového nadřízeného nebo personální oddělení, aby informovali správce systému, který poté upraví přístupová práva dle nového pracovního zařazení. Nejbezpečnější cestou je odebrat všechna dosavadní oprávnění a nechat nového nadřízeného podat novou žádost o přístupová práva.
Pro případ, že by v některém z procesů nebyla odhalena chyba (pracovník disponuje právy, která mít nemá nebo do systému byla začleněna neschválená změna), je na místě pravidelný monitoring. Management by měl pravidelně a na základě podkladů od IT vyhodnocovat, disponují-li jemu podřízení pracovníci pouze právy nutnými k výkonu jejich povinností a zda se systémem nebylo svévolně manipulováno.

Třetí kategorie

Pokud jde o výstupní opatření, při ukončení pracovního poměru je nezbytné, aby dotyčnému uživateli byla odejmuta všechna oprávnění. Předejde se tím zneužití dat - uživatelem samým i někým jiným, kdo zná (odpozoroval nebo mu bylo sděleno) heslo k danému kontu, či dokonce administrátorem. Rychlé odebrání přístupových práv je především důležité u administrátorů, kteří opouštějí společnost.
I v tomto případě je nezbytný důsledný monitoring. Management se musí pravidelně ujišťovat, že neexistují uživatelská konta, která náležela již bývalým zaměstnancům. Je také vhodné monitorovat účty, které nikdo dlouho nepoužívá. To může odhalit skutečnost, že uživatel aplikace nepotřebuje, a proto není nutné, aby danými právy disponoval.

Trezor stačí zamknout

Bezpečnost se často zbytečně opomíjí. A to i v případech, kdy k výraznému zvýšení její úrovně stačí jednoduchá opatření. Většina dnešních aplikací přitom obsahuje bezpečnostní mechanismy, které dokáží běžným uživatelům zabránit v případném „surfování“ po podnikových datech. Firmy je však musejí aktivně využívat. Nejčastějším argumentem, proč tomu tak není, bývá nutnost zabezpečit v první řadě běh aplikací. S tím, že bezpečnostní nastavení jsou až druhé v pořadí. Často pak nejsou vůbec uplatněna. To připomíná situaci, kdy společnost koupila trezor, umístila do něj obnos, ale zatím se jej rozhodla nezamykat. Přičemž zamknutí trezoru „nic nestojí“. A totéž často platí při aplikaci základních bezpečnostních prvků, jež jsou již součástí IS/ICT.
Dalším krokem jsou procesní a organizační opatření. V našem příkladě to znamená, že po zamknutí trezoru neumístíme klíč na háček u vchodu, popřípadě nevyrobíme jeho kopii pro všechny lidi ve firmě. Naopak jmenujeme držitele a ochránce klíče a stanovíme postupy a pravidla pro vstup do trezoru. Totéž platí i pro přístup k datům společnosti. Procesní a organizační opatření již sice něco stojí, ale jsou logickým a nedílným doplňkem k uspokojivé úrovni bezpečnosti dat.

Souvislosti

IT bezpečnost většinou selhává na lidském faktoru.
Existuje mnoho způsobů, jak tomuto selhání zabránit či alespoň minimalizovat jeho riziko.
Tato opatření se dělí na vstupní (při nástupu zaměstnance do práce), průběžná a výstupní (odchod zaměstnance).
Ve všech těchto případech je nezbytný důsledný monitoring managementem.

Situace

Bezpečnost dat se často opomíjí.
A to i v případech, kdy k výraznému zvýšení její úrovně stačí jednoduchá opatření.
Většina dnešních aplikací obsahuje bezpečnostní mechanismy, které dokáží běžným uživatelům zabránit v případném „surfování“ po podnikových datech.
Firmy je však musejí aktivně využívat.

Mohlo by vás zajímat

  • Majitel textilky Juta a senátor Hlavatý: V Senátu by…

  • Jan Hawelka: kavárenská hvězda z Mostu

  • Aleš Kučera: Chvíli potrvá, než se lidé naučí se státem…

  • Ondřej Kania: Otevřeme další dvě školy

  • Martin Burda: Bankám v Česku ujíždí vlak

  • Mnislav Zelený Atapana: Přítel amazonských indiánů

  • Jan Bílý: Nebuď uštvaný manažer. Buď král!

  • Jaroslav Žlábek: Na jedno nabití ujedeme 1000 kilometrů

  • Daniel Stein Kubín: Slova jsou jen slova, surf a poušť…

Hry pro příležitostné hráče