• Ochrana osobních údajů přitvrdí, firmy by se měly připravit

    gopas logoÚniky dat nebo interních informací způsobují firmám nemalé škody, ať už finanční, nebo na dobré pověsti. Ještě významnější roli bude v dohledné době hrát také zabezpečení osobních dat, které firmy zpracovávají nebo schraňují.

    Zejména se zahájením platnosti nařízení na ochranu osobních údajů (GDPR) z dílny Evropské unie v květnu 2018. To zavádí za porušení pravidel vedoucí k úniku dat velmi vysoké finanční sankce, a navíc ukládá organizacím povinnost všechny takové incidenty hlásit. Je to ale opravdu v praxi reálné? A jak je to se zodpovědností za bezpečnost dat?

    Kdo zodpovídá za data

    Většina lidí, včetně IT profesionálů se domnívá, že za vážnější porušení ochrany dat by měl zodpovídat výkonný ředitel společnosti. To je ale velmi diskutabilní, protože vrcholové vedení se často o porušení ochrany dat vůbec nedozví, navíc velká část narušení nebo pokusů o ně není vůbec zjištěna. V nedávném průzkumu společnosti Accenture více než polovina oslovených odborníků na bezpečnost (51 %) přiznává, že trvá měsíce, než se sofistikovaná narušení podaří odhalit, a bezpečnostní týmy vůbec neodhalí celou třetinu úspěšných narušení bezpečnosti.

    Dagmar Mikulova zdroj Gopas„Odpovědnost za osobní data má společnost, která takováto data zpracovává nebo schraňuje. Za konkrétní únik je ale vždy zodpovědná konkrétní osoba. Pokud někdo svým jednáním někoho poškodí, ať už záměrně nebo neúmyslně, vždy mohl a může být poháněn k zodpovědnosti a k náhradě škody,“ uvádí Dagmar Mikulová, finanční ředitelka Počítačové školy Gopas. „Pokud organizaci vznikne škoda, bude se snažit najít viníka. Prokázání konkrétního činu je ale většinou v praxi velmi problematické.“

     

    Jakým způsobem nejčastěji firmy o data přicházejí? 

    Převládají tři hlavní cesty možného úniku dat. První je špatné zabezpečení proti neoprávněnému přístupu útočníka z internetu. „Zde je možné se chránit technickými prostředky – používat firewally, antimalware, aktualizovat software a hardware, správně vše nastavit,“ říká Dagmar Mikulová.

    Druhým je tzv. inside job, tedy krádež dat oprávněným uživatelem zevnitř firmy. „Proti krádeži dat zaměstnancem, který má oprávnění k práci s daty, protože s nimi musí pracovat, se účinně chránit nedá,“ konstatuje Dagmar Mikulová. „Marketingová tvrzení firem vyrábějících tzv. DLP systémy (data leakage prevention) je třeba brát s rezervou. Jediná smysluplná ochrana je rozdělit pracovní náplň zaměstnanců a neumožnit každému přístup ke všem datům,“ dodává Dagmar Mikulová.

    Třetím je opět inside job, nicméně někým jiným, než přímo oprávněným pracovníkem, pokud ten dělá nějaké chyby, nebo nedodržuje správné postupy. „Proti chybám zaměstnanců je možné se bránit pouze jejich vzděláváním, udržováním bezpečnostního povědomí a pravidelnými bezpečnostními školeními, jak technologií, tak metodologie,“ uzavírá Dagmar Mikulová.

    Počítačová škola Gopas je největším poskytovatelem školení v oblasti informačních technologií na českém i slovenském trhu. Ročně absolvuje odborné kurzy téměř 30 tisíc studentů, z nichž většinu tvoří specialisté IT. I přesto, že působí na poměrně malém trhu, patří Gopask jedněm z největších poskytovatelů IT školení v Evropě.

    -LiM 

  • Chcete mít šanci v boji s hackery? Aktuální hrozby představí HackerFest 2017

    Letošní ročník největší IT konference u nás, HackerFestu, je jubilejní pátý. Tato konference se stala již tradičním místem setkávání IT profesionálů z firem se špičkovými odborníky na počítačovou bezpečnost od nás i ze zahraničí. Naše vydavatelství je tradičním exkluzivním mediálním partnerem této významné akce.

    Zajištění bezpečnosti IT systémů se stále více podobá stíhacímu závodu – navíc na velmi dlouhou trať. Množství i variabilita útoků roste, útočníci nacházejí stále nové skuliny v zabezpečení systémů, aplikací i dat. Proto jsou na poli zajištění IT bezpečnosti stále důležitější komoditou vědomosti – přehled o aktuálních hrozbách, informace o objevené zranitelnosti používaných systémů, a především informace o tom, jak se aktuálním hrozbám bránit. Pokud chcete zjistit, co se právě teď děje v reálné praxi IT zabezpečení, rezervujte si v kalendáři 18. září. Pátý ročník HackerFestu nabídne přednášky předních tuzemských i zahraničních odborníků, například uznávané odbornice na IT bezpečnost Pauly Januskiewicz nebo zkušeného etického hackera Sandera Maase.

    O jakých tématech bude řeč na HackerFestu 2017? Z přednášek vybíráme:

    • Look Under The Hood: Bypassing Antimalware Tactics and Infrastructure Response Methods (Paula Januskiewicz) – je antivirus mrtvý, nebo jsme jen dospěli do stavu, kdy je třeba využívat více metod ochrany?
    • Bezbranní ochránci (Ondřej Ševeček) – technologie jako Credential Guard a Shielded VMs nikoho neochrání, pokud cpe citlivá data, kam nepatří a dělá další hlouposti. Proto důležitější než technologie je správné nastavení procesů.
    • Chytni si svého hackera (William Ischanoe) – prevence je lepší než léčba a chytit hackera před útokem je vždycky jednodušší, než hledat, co nadělal za paseku. Účastníci se dozvědí, jak pomocí honeypotu a sledování útočníků v reálném čase odhalit napadené počítače nebo přímo vetřelce ve vnitřním prostředí.
    • Příběh o webové stránce a interní síti (Roman Kümmel) – může nevinná návštěva webové stránky ohrozit bezpečnost firmy? A je to jen záležitost neaktualizovaných starých prohlížečů?
    • Man in the browser – při klientských a spearhead útocích jsou prohlížeč a jeho komponenty ideálním cílem hackerů. Následky takového útoku mohou být značně devastující, jejich zjistitelnost a následný tracking útočníka problematické. Součástí přednášky bude i praktická ukázka útoku proti uživateli.

    Po pondělní konferenci budou v úterý 19. září následovat další dvě akce: tradiční workshop – tentokrát na téma PowerShellu s Michaelem Grafnetterem, a především Security Day – seminář Pauly Januskiewicz zaměřený na 360° penetrační testování.

    Podrobné informace o konferenci a přednášejících, workshopu i semináři najdete na http://www.hackerfest.cz.

    -LiM