Bezpečnostní chyby, se kterými se potýkají bezpečnostní odborníci

4. 12. 2017 v sekci Článek

Cílené útoky hackerských skupin z Ruska, Severní Koreje, Íránu či zemí východní Evropy, jsou reálnou hrozbou. Podle výzkumu Forrester Research však způsobí až 40 % úniků dat insideři, tedy lidé působící uvnitř společnosti. Z těchto úniků pak 26 % představují úmyslné činy, 56 % je způsobeno neznalostí nebo omylem.

„Zaměstnanci často špatně nakládají s daty,“ uvedl Merritt Maxim, hlavní analytik z Forrester Research, který se zabývá bezpečností. Na vině je podle odborníků nedostatečná informovanost a nevhodná klasifikace dat uvnitř společnosti. Špatná organizace a nedůsledná kategorizace citlivých dat často vede k závažným incidentům.

Existuje několik neustále se opakujících prohřešků, se kterými se bezpečnostní experti setkávají nejčastěji.

Ukládání dat na veřejná úložiště

Zaměstnanci často využívají veřejná úložiště, kam neuváženě odesílají citlivá data a důležité informace. Často za tím ale není úmysl uškodit svému zaměstnavateli, ale hledání způsobu, jak co nejsnáze „nasdílet“ data s kolegy, kam si uložit rozdělanou práci pro pozdější dokončení z domova a podobně. Ve většině případů se uživatelé ani nezdržují zaheslováním uploadovaného souboru. Mnoho firem svým zaměstnancům přístup na podobná úložiště blokuje, což často lidé řeší pomocí flash disků a ve výsledku blokování ničemu nezabrání.

Zapomenutý notebook

Velice často řeší IT oddělení ztrátu zařízení – firemní telefon, notebook ukradený z auta nebo zapomenutý v letadle. Pokročilé možnosti zabezpečení, které byznysové notebooky nabízí, obvykle uživatelé ignorují a do nepovolaných rukou se tak často dostávají velice citlivá data, obchodní tajemství či velice soukromé a osobní informace.

Flash disky pro všechny a na všechno

Hodně zaměstnanců řeší přenos souborů na flash discích. Obvykle o přenosech pracovních dat na flashkách zaměstnavatel ani netuší. Zaměstnanci používají stále stejné disky, které přenášejí z místa na místo a nezřídka se stane, že se taková flashka stane nositelem virové infekce. Součástí bezpečnostní politiky by měl být v ideálním případě zákaz přenosu dat na neověřených externích médiích.

Nezměněná původní hesla a nastavení zařízení

Bezpečnostní kamery, access pointy, tiskárny… V kanceláři je připojeno k síti snad všechno. Obzvláště v menších kancelářích, kde není dedikované IT oddělení, se stává, že jsou na všech zařízeních defaultní přístupové údaje. Tím se otevírají dveře DDoS útokům.

Neopatrné BYOD

Firmy často nemají jiné východisko než souhlasit s tím, aby zaměstnanci používali k práci svou vlastní techniku. BYOD přináší hodně bezpečnostních výzev. Velkou hrozbu představují zařízení, která se uživatelé rozhodnou prodat a moc si nelámou hlavu s tím, zda z nich všechna data bezpečně odstranili. Pokud firma dovoluje BYOD, neměly by být zanedbávány MDM nástroje, které umožňují vzdáleně vymazat nastavení i data u již nepoužívaných zařízení.

Špatně nastavená práva

Ještě nedávno bylo běžnou praxí, že nechávali administrátoři uživatelům neomezená práva, což se ukázalo jako zásadní chyba. Pokaždé se najde „dobrák“, který takové volnosti dokáže zneužít, což může mít nepříjemné následky. Obzvláště pokud si dotyčný stahuje třeba warez. Uživatelská oprávnění a účty je nutné důsledně spravovat.

Neautorizovaný přístup

Ke komplexní bezpečnosti patří také zajištění fyzického přístupu – k zařízením by se tedy ideálně neměl dostat nikdo nepovolaný. Korporace často zajišťují přístup pomocí čipových karet, ale je zcela běžné, že si kartu někdo zapomene a dovnitř ho vždycky někdo pustí, aniž by byla jakkoliv ověřována totožnost. Nepovolaná osoba může napáchat velkou škodu na firemním majetku.

Sociální sítě a blogy

Zaměstnanci zcela běžně využívají ve svém volném čase sociální sítě, píší blogy… To je samozřejmě chvályhodné a kreativní, avšak někteří mají tendence se „více“ rozepisovat o pracovních záležitostech, články doplní fotkami z porad nebo screeny, jež společnost určitě zatím neplánovala zveřejnit. Rozhodně není na místě někomu zakazovat blogování a podobné aktivity, ale je nezbytné seznámit zaměstnance s tím, co jsou důvěrné informace a jak s nimi nakládat.

Zdroj: Dark Reading






Tento web používá cookies. Více informací ROZUMÍM