Ako zabrániť neželaným aktivitám zamestnancov?

biznis.jpg Je­den z hlav­ných ri­zi­ko­vých pr­vkov, kto­ré mu­sia dneš­né spo­loč­nos­ti zoh­ľad­ňo­vať pri bu­do­va­ní in­for­mač­nej bez­peč­nos­ti, je ľud­ský fak­tor. Hroz­by na or­ga­ni­zá­cie pô­so­bia zvon­ka, ale aj zvnút­ra a inter­né hroz­by pred­sta­vu­jú od­liš­ný prob­lém ako po­čí­ta­čo­vé ví­ru­sy, mal­vér a hac­ke­ri. Spo­loč­nos­ti sú te­da nú­te­né vo­liť iné me­tó­dy a nás­tro­je, kto­rý­mi mô­žu ri­zi­ko­vým ak­ti­vi­tám za­mes­tnan­cov za­brá­niť.

Za­mes­tna­nec ako bez­peč­nos­tné ri­zi­ko

Pries­kum spo­loč­nos­ti Po­ne­mon In­sti­tu­te z ro­ku 2012 uká­zal, že 78 % spo­loč­nos­tí za­ži­lo únik dát, kto­ré­ho prí­či­nou bo­lo úmy­sel­né ale­bo ned­ba­lé sprá­va­nie za­mes­tnan­cov. Za­mes­tnan­ci spo­loč­nos­tí sa sí­ce po­hy­bu­jú v pries­to­re za­bez­pe­če­nom anti­ví­rus­mi a fi­rewallmi, no tie­to nás­tro­je chrá­nia or­ga­ni­zá­cie zvon­ka a vnú­tor­né pros­tre­die ne­chá­va­jú bez pov­šim­nu­tia.

Za­mes­tnan­ci ma­jú (čas­to do­kon­ca neob­me­dze­ný) prís­tup k cit­li­vým úda­jom spo­loč­nos­ti. Ten­to prís­tup tak mô­že byť nas­ta­ve­ný pre­to, že ho sku­toč­ne pot­re­bu­jú a dá­ta pou­ží­va­jú na vý­kon svo­jej prá­ce, ale­bo jed­no­du­cho len pre­to, že tú­to ob­lasť ni­ko­ho v spo­loč­nos­ti ne­na­pad­lo za­bez­pe­čiť.

Nič tak za­mes­tnan­com neb­rá­ni v prís­tu­pe k da­ta­bá­ze klien­tov, fi­nan­čným vý­ka­zom, prie­my­sel­ným vzo­rom a iné­mu cen­né­mu know-how spo­loč­nos­ti. Dá­ta mož­no jed­no­du­cho pos­lať po­mo­cou e-mai­lu, sko­pí­ro­vať na pre­nos­ný disk, na­pá­liť na DVD ale­bo len vy­tla­čiť a od­niesť. Nás­led­ky ta­kej­to ak­ti­vi­ty mô­žu byť pre or­ga­ni­zá­ciu ka­tas­tro­fál­ne.

Ma­naž­ment kaž­dej spo­loč­nos­ti by si te­da mal klásť otáz­ky: Akú hod­no­tu ma­jú in­for­má­cie, kto­rý­mi na­ša or­ga­ni­zá­cia dis­po­nu­je? Aká ško­da by nám vznik­la, ke­by sa tie­to in­for­má­cie dos­ta­li ku kon­ku­ren­cii?

Veľ­ké bez­peč­nos­tné ri­zi­ko pred­sta­vu­jú aj za­mes­tnan­ci, kto­rí opúš­ťa­jú svo­ju ak­tuál­nu pra­cov­nú po­zí­ciu. Prib­liž­ne štvr­ti­na brit­ských za­mes­tnan­cov by pod­ľa štú­die spo­loč­nos­ti Harris Inter­ac­ti­ve pri od­cho­de zo spo­loč­nos­ti vy­uži­la prís­tup k cit­li­vým dá­tam a vy­tvo­ri­la si zá­lo­hu.

Pr­vá my­šlien­ka, kto­rá mô­že ma­naž­ment spo­loč­nos­tí v tom­to oka­mi­hu na­pad­núť, je ta­ká­to: „Na­ši za­mes­tnan­ci by to nik­dy neu­ro­bi­li. My im ve­rí­me." Áno, buď­me fé­ro­ví k za­mes­tnan­com, väč­ši­na ne­má zlé úmys­ly. Ce­los­ve­to­vý pries­kum spo­loč­nos­ti Cis­co Sys­tems z ro­ku 2008 od­ha­lil, že len 11 % za­mes­tnan­cov nie­ke­dy neauto­ri­zo­va­ne pris­tu­po­va­lo k dá­tam s cie­ľom zis­ku. Tak­mer 90 % by te­da dá­ta neuk­rad­lo a mož­no prá­ve vo va­šej spo­loč­nos­ti nep­ra­cu­je ani je­den zo zvyš­ných 11 %.

Kaž­do­pád­ne nie všet­ky úni­ky dát sú spo­je­né so zlo­čin­ným úmys­lom za­mes­tnan­cov, ale vý­znam­nú úlo­hu hra­jú aj ned­ba­losť a ná­ho­da. Za­mes­tnan­ci čas­to po­ru­šu­jú zá­klad­né bez­peč­nos­tné pra­vid­lá: nav­šte­vu­jú strán­ky za­ká­za­né inter­ný­mi po­li­ti­ka­mi spo­loč­nos­tí, ne­pou­ží­va­jú šif­ro­va­nie pri pre­no­se dát, vo­lia si tri­viál­ne hes­lá na prís­tup k svo­jim úč­tom na po­čí­ta­čoch a po­dob­ne.

Sta­čí stra­te­ný ale­bo za­bud­nu­tý disk USB, no­te­book uk­rad­nu­tý z au­ta, om­yl v prí­jem­co­vi e-mai­lu a fi­rem­né dá­ta sa ocit­nú v ne­po­vo­la­ných ru­kách. Ani to­to sa va­šim za­mes­tnan­com ne­mô­že stať?

Dô­le­ži­té je mať preh­ľad

Aby moh­la or­ga­ni­zá­cia efek­tív­ne za­brá­niť ne­že­la­ným ak­ti­vi­tám za­mes­tnan­cov, naj­prv mu­sí zís­kať o tých­to ak­ti­vi­tách preh­ľad. Na tr­hu exis­tu­je veľ­ké množ­stvo rôz­nych sof­tvé­ro­vých rie­še­ní, ur­če­ných na mo­ni­to­ro­va­nie za­mes­tnan­cov. Pri vý­be­re to­ho správ­ne­ho pre va­šu or­ga­ni­zá­ciu tre­ba mať na pa­mä­ti nie­koľ­ko ve­cí:

  • Roz­sah mo­ni­to­ro­va­nia. Sof­tvé­ro­vé rie­še­nia mô­žu mo­ni­to­ro­vať ce­lé di­anie na sie­ti ale­bo pria­mo na kon­co­vej sta­ni­ci (t. j. po­čí­ta­či za­mes­tnan­ca). Vý­ho­da dru­hé­ho rie­še­nia je v tom, že umož­ňu­je za­zna­me­ná­vať šif­ro­va­né webo­vé pri­po­je­nie (nap­rík­lad web­mai­lo­vé služ­by) a aj ak­ti­vi­ty, kto­ré na sie­ti ne­be­žia (nap­rík­lad hra­nie hier).
  • Mož­nos­ti nas­ta­ve­ní. Naj­jed­no­duch­šie sof­tvé­ry umož­ňu­jú len za­pnu­tie a vy­pnu­tie mo­ni­to­rin­gu a sle­do­va­nie je ob­me­dze­né len na dop­re­du de­fi­no­va­né ak­ti­vi­ty. Pok­ro­či­lé rie­še­nia umož­ňu­jú nas­ta­viť (in­di­vi­duál­ne ale­bo pre zvo­le­né pra­cov­né sku- pi­ny) pl­ný roz­sah opat­re­ní na mo­ni­to­ro­va­nie. Mož­no tak pris­pô­so­biť tie­to nás­tro­je kon­krét­nym pot­re­bám spo­loč­nos­tí. Pod­ľa po­žia­da­viek sa da­jú mo­ni­to­ro­vať nap­rík­lad ak­ti­vi­ty na inter­ne­te, prá­ca s ap­li­ká­cia­mi ale­bo nap­rík­lad tlač do­ku­men­tov.
  • Spra­co­va­nie vý­stu­pov. Tá­to ob­lasť je kľú­čo­vá, po­kiaľ ma­naž­ment spo­loč­nos­ti nech­ce byť za­hl­te­ný zby­toč­ne veľ­kým množ­stvom in­for­má­cií a nech­ce preh­ľa­dá­vať ti­sí­ce jed­not­li­vých zá­zna­mov. Je pre­to uži­toč­né dis­po­no­vať sof­tvé­rom, kto­rý všet­ky za­zna­me­na­né dá­ta spra­cu­je a auto­ma­tic­ky vy­hod­no­tí krát­ko­do­bé a dl­ho­do­bé od­chýl­ky a tren­dy. Tým­to spô­so­bom mož­no od­ha­liť za­mes­tnan­cov, kto­rí stra­ti­li mo­ti­vá­ciu k prá­ci, prí­pad­ne vy­ka­zu­jú kri­tic­ké od­chýl­ky od nor­mál­ne­ho sprá­va­nia. Tie­to od­chýl­ky mô­žu naz­na­čo­vať ne­ka­lé úmys­ly a po­ten­ciál­nu hroz­bu pre cit­li­vé dá­ta spo­loč­nos­ti. Ri­zi­ko­vé sprá­va­nie za­mes­tnan­cov mô­že byť tak­to od­ha­le­né už v je­ho po­čiat­ku, kým dôj­de k vzni­ku škôd.

Je ta­kis­to dô­le­ži­té sle­do­vať, či zvo­le­ný sof­tvér umož­ňu­je vy­uží­vať sys­tém auto­ma­tic­ké­ho va­ro­va­nia v prí­pa­de po­doz­ri­vých ak­ti­vít. Zis­te­nie, že pred týž­dňom doš­lo k úni­ku dát, je sí­ce lep­šie ako zis­te­nie tej­to uda­los­ti od zá­kaz­ní­kov, ale eš­te lep­šie je za­brá­niť ta­ké­mu­to in­ci­den­tu úpl­ne. Vhod­né je pre­to zvo­liť si sof­tvér, kto­rý umož­ňu­je in­te­li­gen­tné nas­ta­ve­nie upo­zor­ne­ní a vý­strah. Ma­naž­ment spo­loč­nos­ti tým­to spô­so­bom nie je ob­ťa­žo­va­ný ozná­me­ním o kaž­dej za­zna­me­na­nej ope­rá­cii (dos­tá­va pra­vi­del­né preh­ľa­dy), ale v prí­pa­de kri­tic­kej čin­nos­ti zna­me­na­jú­cej akút­nu hroz­bu je okam­ži­te in­for­mo­va­ný.

Iba mo­ni­to­ring nes­ta­čí

V prí­pa­de, že mo­ni­to­ro­va­nie je v spo­loč­nos­ti tran­spa­ren­tné a le­gál­ne, pred­sta­vu­je sof­tvér sil­ný nás­troj na od­ha­le­nie inter­ných hro­zieb spo­loč­nos­ti. Sám mo­ni­to­ring však žiad­nej ne­že­la­nej ak­ti­vi­te ne­zab­rá­ni. Pre­to je vhod­né kom­bi­no­vať ho s účin­ným rie­še­ním pro­ti úni­ku dát (tzv. da­ta loss pre­ven­tion - DLP).

Pri vý­be­re vhod­né­ho rie­še­nia DLP tre­ba brať oh­ľad na všet­ky mož­né bez­peč­nos­tné di­ery v spo­loč­nos­ti. Dá­ta mož­no vy­niesť na dis­ku USB, po­mo­cou e-mai­lu, na­pá­le­ním na CD ale­bo DVD, prí­pad­ne pou­ži­tím tla­čiar­ní.

Dô­le­ži­té je ta­kis­to pa­mä­tať na ri­zi­ká, kto­ré sa nep­re­ja­vu­jú na fi­rem­nej sie­ti, ale len na kon­co­vej sta­ni­ci - nap­rík­lad sním­ky ob­ra­zov­ky nad cit­li­vý­mi údaj­mi. Za­bez­pe­čo­va­nie vy­me­no­va­ných zra­ni­teľ­nos­tí však nez­na­me­ná úpl­né od­sta­ve­nie da­né­ho mé­dia.

E-mai­ly či tla­čiar­ne sú čas­to veľ­mi dô­le­ži­té pri bež­nej čin­nos­ti or­ga­ni­zá­cie a ich od­sta­ve­nie by pri­nie­slo viac ško­dy ako úžit­ku. Vhod­né je pre­to zvo­liť ta­ké rie­še­nie DLP, kto­ré ne­bu­de pou­ží­va­te­ľov za­ťa­žo­vať, po­vo­lí bez­peč­né ak­ti­vi­ty a za­bra­ňo­vať bu­de len za­ká­za­ným ale­bo ne­bez­peč­ným čin­nos­tiam.

Ďalej je pre tú­to ob­lasť kľú­čo­vá in­te­li­gen­tná kla­si­fi­ká­cia dát - aby sof­tvér poz­nal, ke­dy ide o cit­li­vé úda­je a aké bez­peč­nos­tné pra­vid­lá na ne má up­lat­niť. Tá­to kla­si­fi­ká­cia umož­ňu­je rých­le na­sa­de­nie sof­tvé­ru bez to­ho aby bo­lo ne­vyh­nut­né dl­hé me­sia­ce (či do­kon­ca ro­ky) sle­do­vať, ako cit­li­vé dá­ta v kon­krét­nej spo­loč­nos­ti iden­ti­fi­ko­vať.

Kla­si­fi­ká­cia za­bra­ňu­je aj ob­chá­dzaniu bez­peč­nos­tných pra­vi­diel nap­rík­lad tak, že by si za­mes­tnan­ci pre­ko­pí­ro­va­li len časť cit­li­vých dát do iné­ho sú­bo­ru, prí­pad­ne sú­bo­ry pre­me­no­va­li či sa ich po­kú­si­li dos­tať mi­mo spo­loč­nos­ti cez za­šif­ro­va­né web­mai­lo­vé roz­hra­nie.

Ako te­da za­brá­niť ne­bez­peč­ným ak­ti­vi­tám za­mes­tnan­cov?

Na­sa­diť rie­še­nie DLP, kto­ré do­ká­že spo­lup­ra­co­vať s mo­ni­to­rin­gom a pro­fi­lo­va­ním za­mes­tnan­cov. Sof­tvér po­tom nep­ri­ná­ša len pa­sív­ne ča­ka­nie na po­hyb dát (pri kto­rom iden­ti­fi­ku­je ochra­nu a po­vo­le­né ak­ti­vi­ty), ale ak­tív­ne sle­du­je di­anie v ce­lom vnú­tor­nom pries­to­re spo­loč­nos­ti a do­ká­že upo­zor­niť na po­ten­ciál­ne ri­zi­ká.

Bez­peč­nos­tné in­ci­den­ty po­tom mož­no zvlá­dať eš­te prv, ako k nim nao­zaj dôj­de. Iba ta­ké­to rie­še­nia sú sku­toč­nou pre­ven­ciou a zá­ro­veň účin­nou ochra­nou pro­ti úni­ku dát a vy­tvá­ra­jú zá­klad­ný ka­meň vnú­tor­nej in­for­mač­nej bez­peč­nos­ti v spo­loč­nos­ti.

Lu­káš Přikr­yl,
Sa­fe­ti­ca Tech­no­lo­gies.

Zdroj: IW 12/2012



Ohodnoťte článok:
 
 
 

24 hodín

týždeň

mesiac

Najnovšie články

SIEM: Ochra­na cit­li­vých in­for­má­cií pred úni­kom zvnút­ra fir­my
Väčšina IT manažérov dokáže odpovedať na otázky, aká je priepustnosť siete, aký je dostupný storage, koľko údajov sa archivuje a pod. čítať »
 
Evo­lú­cia v audi­to­va­ní a ochra­ne da­ta­báz
Softvér na audit a ochranu databáz Database Audit and Protection vznikol podľa agentúry Gartner prirodzenou evolúciou zo softvéru na monitorovanie databáz. Je dôležité uvedomiť si, že monitorovaním databáz sa zabezpečenie dát len začína. čítať »
 
Ako za­brá­niť ne­že­la­ným ak­ti­vi­tám za­mes­tnan­cov?
Jeden z hlavných rizikových prvkov, ktoré musia dnešné spoločnosti zohľadňovať pri budovaní informačnej bezpečnosti, je ľudský faktor. čítať »
 
BI: Ako si vy­brať? Preh­ľad nás­tro­jov, pos­ky­to­va­te­ľov, mož­nos­tí a cien
Stojíte pred rozhodnutím o novom nástroji BI? Či už hľadáte náhradu za zastarané riešenie, ktoré neplní svoju funkciu a frustruje používateľov, alebo je to váš prvý výber, voľbu nástroja BI nie je vhodné podceniť. čítať »
 
Prog­ra­mu­je­me GPU / 18. časť
Pokračujeme v uvádzaní základných princípov shaderov použitých v našich vzorových aplikáciách. Zameriame sa na shader meniaci polohu vrcholov objektov a shader implementujúci tzv. Perlinov šum. čítať »
 
Kniž­né no­vin­ky
Veda vôbec nie je ťažká, ak používa správne prirovnania. Kniha Boeing v pavúčej sieti robí presne to a navyše zábavnou, ľahko zapamätateľnou formou. čítať »
 
Nas­ta­vo­va­nie pa­ra­met­rov ap­li­ká­cie / Vý­voj pre Win­dows 8
Unifikácia aplikácií pre Windows 8 sa prejavuje nielen v možnostiach vyhľadávania, ktoré bolo námetom predchádzajúcej časti, ale aj v nastavovaní parametrov na beh aplikácie. čítať »
 
Spring Fra­mework / 12. časť: Efek­tív­na tvor­ba ja­vov­ských (nie­len) web-ap­li­ká­cií
 V dnešnej časti nášho seriálu sa zameriame na zabezpečenie aplikácií pomocou frameworku Spring. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter