komentář
GDPR – už se to blíží Pavlína Volková
Až 79 % společností tvrdí, že jsou na GDPR připravené. Možná si na to najaly jednu z firem, které říkají, že mají to pravé a jediné ultimátní řešení, jež firmu kompletně ochrání. Takové ale neexistuje. Ochrana v případě GDPR je mnohem více než jen systémy typu Data Loss Protection. Je o lidech. O jejich ochraně, ale i jejich kontinuálním vzdělávání. Čísla z nedávného výzkumu společnosti Trend Micro ukazují, kolik procent společností si neuvědomuje, jaká data jsou brána jako osobní informace, a spadají tedy pod GDPR. Až 42 % společností neví, že databáze e-mailových kontaktů pro účely marketingu také spadá pod GDPR, a 67 % neví, že pokuta může být až 4 % z ročního obratu firmy. Z výzkumu, který provedly společnosti Trend Micro a VMware ve druhé polovině minulého roku, vyplývá, že největší hrozbou jsou sami zaměstnanci, jejich nevzdělanost v oblasti internetové bezpečnosti, případně nepozornost či zbrklost. Nejvíce úniků dat vzniká chybou ze strany zaměstnance, na druhém místě jsou hackerské útoky a až na třetím je úmyslné zveřejnění dat. Největšími hrozbami při nakládání s citlivými daty jsou: ransomware (po ukradení dat musíte zaplatit pod pohrůžkou jejich smazání či zveřejnění); internet of things, s nově přicházející érou chytrých zařízení, která získaná data ukládají do cloudu a jsou stále na síti, se rozšiřují možnosti pro hackerský útok; útok skrze firemní e-mailovou schránku (BEC); malware na často navštěvovaných webových stránkách – tzv. watering hole attack.
Šifrovat, šifrovat, šifrovat
Základním předpokladem pro zajištění bezpečí je, že žádné zabezpečení není 100%.
20
Reseller Magazine
Hackeři jsou vždy o krok napřed a mají proti nám výhodu neomezeného času a relativně nízkých nákladů na přípravu. Důležité je útok co nedříve zaznamenat. K tomu slouží systémy k detekci útoku. Když už je škodlivý software a jeho stvořitel u nás, musíme ho co nejrychleji zastavit a následně zjistit případný rozsah škody. Takže potřebujeme systém, který je schopný zjistit rozsah škod v co nejkratším čase a v souladu s nařízením GDPR ho reportovat. Dobrá prevence je těžká a skládá se hned z několika kroků. Tím snazším a přitom nejdůležitějším je ochrana formou šifrování. Je potřeba soustředit se na datacentra, tedy místa, kde jsou data uschována a zpracovávána. Šifrovat by se měly harddisky všech počítačů jako celky a u osob, u nichž se předpokládá, že budou vlastnit zranitelnější data, i samotné vybrané složky. Mezi další základní body prevence by měly patřit bezpečnostní audity, aktualizování systémů a jejich opravy. Virtuální patchování (záplatování) nám zkrátí čas potřebný k nasazení oprav výrobce a chrání náš systém okamžitě, dávno před tím, než výrobce daného softwaru opravu zveřejní. V neposlední řadě je třeba myslet na zaměstnance, jsou nejdůležitější a zároveň nejzranitelnější součástí společnosti. Všichni, kdo byť jen minimálně přijdou do styku s daty,
by měli být proškoleni, jak zamezit útoku na počítači nebo mobilním zařízení. Třetí nejčastější hrozbou je útok skrze firemní e-mailovou schránku. Jak mu předcházet? Na nabídky, které se netýkají pracovních záležitostí, by uživatel vůbec klikat neměl. Co když přijde e-mail, který se tváří jako zpráva od vašeho kolegy? Může obsahovat údajný link na „kompromitující fotku nadřízeného“, „seznam nejlepších zaměstnanců měsíce“, „fakturu“ a mnoho dalšího. Takové věrohodně vypadající e-maily mají na svědomí nemalé finanční ztráty. Každý takový e-mail ale nese znaky, podle kterých lze určit, že jde o podvod.
Vzdělaní zaměstnanci
Mnohdy by prostě stačilo přemýšlet, seznam nejlepších zaměstnanců přece obvykle nechodí, z této adresy vám e-mail ještě nikdy nepřišel, tohoto člověka neznáte, v textu toho e-mailu je překlep v místě, kde by ho majitel e-mailového účtu nikdy neudělal. Pokud vás takové věci napadnou, jsou to ukazatelé toho, že e-mail je pochybný. K takovéto úvaze ale nedojde zaměstnanec sám, jsme zpět u toho, že je třeba všechny pravidelně a kontinuálně vzdělávat. Autorka pracuje jako regional account managerka ve společnosti Trend Micro duben 2018 | www.rmol.cz