Zaměstnanci se často snaží zatajit kybernetické incidenty, čímž ohrožují firmu

Zaměstnanci se ve 40 % firem snaží zatajit IT bezpečnostní incident, který se jim stal. Vyplývá to z celosvětového průzkumu „Lidský faktor v IT bezpečnosti: Jak zaměstnanci vystavují firmy riziku zevnitř“, který provedly společnosti Kaspersky Lab a B2B International. Vzhledem k tomu, že za 46 % IT bezpečnostních incidentů ročně jsou zodpovědní samotní zaměstnanci, je nutné k této firemní zranitelnosti přistupovat s větším rozmyslem a na více úrovních. Zapojit by se měla i další, nejen IT bezpečnostní oddělení.

Přístup hackerů do firemní infrastruktury

Neinformovaní nebo neopatrní zaměstnanci jsou po malwaru nejpravděpodobnější příčinou kyberbezpečnostního ohrožení firmy. Zatímco malware představuje neustále sofistikovanější hrozbu, smutnou realitou zůstává, že lidský činitel může způsobit ještě rozsáhlejší škody.

V případě cílených útoků představuje neopatrnost zaměstnanců nejvážnější trhlinu v celkovém zabezpečení korporátní kyberbezpečnosti. Ačkoliv současní hackeři využívají speciální malware a hi-tech techniky k uskutečnění svých plánů, vždy začínají tím, že se pokusí prolomit nejslabší článek zabezpečení – lidský faktor.

Data z průzkumu poukazují na to, že phishing nebo sociální inženýrství byly v minulém roce zdrojem každého třetího (28 %) cíleného útoku na firmy. Nepozorný účetní tak například mohl otevřít škodlivý soubor, který byl maskován jako faktura od jednoho z mnoha dodavatelů společnosti. Tímto postupem mohlo dojít k odstavení infrastruktury celé společnosti, přičemž se účetní nechtěně stal komplicem útočníků.

„Kyberzločinci často využívají zaměstnance jako vstupní vrátka do firemní infrastruktury. Phishingové e-maily, slabá hesla, falešné telefonáty z oddělení technické podpory – to vše jsme už zažili. Dokonce i běžná paměťová karta ‚ztracená‘ na parkovišti nebo zanechaná v blízkosti recepce dokáže ohrozit celou firemní síť. Vše, co totiž kyberzločinci potřebují, je někdo uvnitř organizace, kdo se o bezpečnost nezajímá nebo o ní nic neví. Připojením této flashky k počítači získávají zločinci přístup do celé sítě, kde mohou napáchat rozsáhlé škody,“ varuje David Jacoby, bezpečnostní expert ve společnosti Kaspersky Lab.

Sofistikované cílené útoky neohrožují organizace každý den, zato běžný malware útočí neustále. Průzkum také poukázal na fakt, že i v případech těchto útoků jsou součástí procesu jejich šíření neopatrní zaměstnanci. Ti stojí za 53 % incidentů malwarovými infekcemi.

Zapojení HR a top managementu

V případě, že se pracovníci snaží zamlčet skutečnost, že byli zapojeni do kyberútoku, může takové chování vést k vážným následkům a ještě větším škodám. Pouhá jedna nenahlášená událost by mohla poukázat na závažnější narušení bezpečnosti. Bezpečnostní týmy přitom potřebují rychle identifikovat hrozby, kterým čelí, tak aby mohly zvolit správný postup pro jejich potlačení.

Nicméně zaměstnanci, ve strachu z případného potrestání, raději vystaví organizaci riziku, než aby problém nahlásili. Často se také cítí trapně, že právě oni zapříčinili nějaký problém. Některé společnosti totiž zavedly přísná pravidla a převedly na zaměstnance více zodpovědnosti namísto toho, aby je nabádaly k vyšší ostražitosti a spolupráci. Základy kybernetické bezpečnosti by proto měly spočívat nejen na technologiích, ale i na firemní kultuře a vzdělávání. Na tomto místě by se proto měla zapojit jak HR oddělení, tak top management.

„Problémy spojené se zamlčováním incidentů by měly být komunikovány nejen směrem k zaměstnancům, ale i k nejvyššímu vedení společnosti a HR oddělením. Zaměstnanci musí mít pro zamlčování incidentů důvod. V některých případech zavádějí společnosti přísná, ale nejednoznačná pravidla, která vystavují zaměstnance přílišnému tlaku, protože jsou nuceni převzít případnou zodpovědnost za následky aktivit, kterým příliš nerozumí. Taková pravidla v nich mohou vyvolávat strach a nabízí jim pouze jednu možnost – zabránit potrestání jakýmkoliv způsobem. Proto by se kyberbezpečnostní strategie firem měla zaměřit na vzdělávání všech zaměstnanců spíše než na jejich trestání,“ vysvětluje Petr Kuboš, regionální obchodní manažer pro východní Evropu ve společnosti Kaspersky Lab.

Takový model průmyslové bezpečnosti, založený na pravidelných reportech a „učení se chybami“, je například běžnou praxí ve společnosti Tesla Elona Muska. Ten chce, jak sám před nedávnem uvedl, aby byl jakýkoliv incident, který ovlivní bezpečnost zaměstnanců, nahlášen přímo jemu. Chce tak hrát ústřední roli při rozhodování o efektivních změnách.

Lidský faktor

Organizace po celém světě se začínají čím dál více zajímat o problematiku spojenou s aktivitami svých zaměstnanců, kteří je vystavují potenciálním nebezpečím. Celých 52 % dotázaných firem připouští, že jsou zaměstnanci největší slabinou jejich IT bezpečnosti. Stále více společností také cítí potřebu zaměřit se na opatření, která zahrnují lidský faktor – 35 % společností chce zlepšit svoji kyberbezpečnost prostřednictvím proškolení zaměstnanců. Tato metoda kybernetické bezpečnosti se tak stává druhou nejrozšířenější, když na prvním místě je využívání sofistikovaného softwaru (43 %).

Nejúčinnější způsob, jak ochránit organizace před kybernetickými hrozbami ovlivněnými lidským faktorem, spočívá v kombinaci správných nástrojů a odpovídajících postupů. Mezi ně by měla spadat snaha HR a předních manažerů motivovat zaměstnance k větší opatrnosti. Ti by se zároveň neměli bát požádat o pomoc v případě incidentu. Mezi první kroky, které by organizace v tomto směru měly podniknout, patří proškolení zaměstnanců o kybernetické bezpečnosti, vypracování jednoduchých a jasných směrnic namísto mnohastránkových dokumentů a především podpora rozvoje dovedností zaměstnanců a zajištění příjemné pracovní atmosféry.

Co se týče bezpečnostních technologií, většina hrozeb zaměřených na zneužití neopatrnosti zaměstnanců (včetně phishingu) může být minimalizována implementací bezpečnostních řešení pro koncová zařízení. Ta mohou zajistit specifické požadavky jak malých a středních podniků, tak rozsáhlých organizací díky své funkčnosti, přednastavené ochraně nebo pokročilým bezpečnostním nastavením.

Autor: Petr Smolník, šéfredaktor

Řešení pro usnadnění práce systémovým administrátorům

Řešení mobilních terminálů vestavěných do těla tradičních notebooků usnadňuje práci systémovým administrátorům v oblastech optimalizace správy mobilních zařízení a ochrany proti zneužití dat.

V souvislosti s rostoucím trendem posunu podnikových informačních technologií do cloudu a zároveň s blížícím se termínem platnosti evropských norem GDPR si systémoví administrátoři více než kdy dříve uvědomují rizika spojená s možným únikem dat. V boji proti nebezpečí nekontrolovatelného zneužití firemního know-how a databází s osobními údaji zákazníků hrají významnou roli řešení na bázi Zero Client - výpočetní terminály bez vlastního datového úložiště, jejichž uživatelé provádí veškeré operace na vzdáleném virtuálním serveru. Řešení založená na cloudovém řešení, jako je Toshiba Mobile Zero Client, usnadňují správcům mobilních zařízení to, aby naplnili očekávání vedení společností.

Toshiba Mobile Zero Client

Toshiba Mobile Zero Client je řešení vytvořené na míru potřeb středních a velkých společností, jejichž zaměstnanci pracují často mimo kancelář. Jedná se o inovativní řešení virtuálního desktopu vestavěného do běžného notebooku, který však neobsahuje pevný disk ani nainstalovaný operační systém. Veškerá data jsou uložena v cloudu či na serverech společnosti a zaměstnanci mají trvalý přístup k souborům, programům i všem firemním systémům. K Mobile Zero Client lze připojit pouze předem definované periferie, jako například myš, klávesnici nebo monitor.

Snadná správa mobilních zařízení

Ukládání všech dat a softwaru v cloudu umožňuje zásadním způsobem optimalizovat správu mobilních zařízení. Administrátoři mohou například flexibilně nastavovat a centrálně řídit přístupová práva jednotlivých terminálů ke konkrétním datům či aplikacím. V kombinaci s tím, že veškeré operace probíhají na virtuálním serveru, lze zabránit nekontrolovatelnému zneužití dat. Jednotlivé terminály Mobie Zero Client nevyžadují žádné průběžné aktualizace. Veškerá správa softwaru probíhá centrálně.

Mimořádná bezpečnost

TMZC významně přispívá ke zvýšení úrovně bezpečnosti. Všechny funkce a data jsou k dispozici prostřednictvím virtuální desktopové infrastruktury (VDI) založené na cloudu. Informace, které jsou potencionálními cíli útoků, jako například osobní přístupová data, nejsou uloženy v samotném notebooku. Díky tomu, že zařízení neobsahuje žádné úložiště a standardně má deaktivované USB porty, není možné na notebook nahrát ani škodlivý software. Ztracené nebo ukradené notebooky TMZC lze díky pokročilé autentizaci Boot Control ve všech firemních systémech okamžitě zakázat. Riziko krádeže dat je minimalizováno na nejnižší možnou úroveň a samotné zařízení je pro útočníka či zloděje bezcenné.

Nejjednodušší správa a údržba

Administrace a údržba je ve srovnání s tradičním řešením mobilních zařízení velmi jednoduchá. V noteboocích není nainstalován operační systém, takže samotné přístroje nevyžadují žádnou administraci. TMZC je skutečným bezúdržbovým mobilním pracovním nástrojem. 

Bezproblémová integrace do stávající infrastruktury

Toshiba Mobile Zero Client je kompatibilní s virtualizačními řešeními Citrix i VMware. Do stávajících IT infrastruktur může být použit bez nutnosti jakékoli změny. Řešení lze snadno implementovat do hotové podnikové sítě se stávající infrastrukturou. Odpadají tak nákladné a časově náročné instalační procesy a mimoto se zvyšuje bezpečnost a návratnost investic (ROI).

Autor: Petr Smolník, šéfredaktor

Systém zabezpečující kryptografické klíče a kódy na ochranu dat

Inženýři IBM získali patent na systém, který využívá vlastní struktury desky plošných spojů (DPS) k ochraně kryptografických klíčů a kódů. Systém je navržen tak, aby byl vysoce odolný vůči neoprávněné manipulaci.

Patentovaný systém nevyžaduje velké množství pryskyřice nebo jiných materiálů pro zapouzdření modulu nebo obalu obsahujícího klíče a kódy. Toho lze využít k výraznému zvýšení ziskovosti výroby a díky spolehlivosti obalu současně k omezení rozsahu nezbytných oprav. Tento vynález by mohl pomoci chránit klíče a kódy šifrující data uložená na jakékoli platformě, ať už v cloudu nebo ve firemním úložném systému.

Ochrana kryptografických klíčů a kódů pro šifrování a dešifrování dat je zásadní pro účinnou bezpečnost informací. V případě, že jsou kryptografické klíče a kódy uloženy na modulech v elektronickém zařízení, musí být tyto moduly chráněny proti neoprávněné manipulaci nebo přístupu, aby nemohly být klíče a kódy zneužity.

Firma IBM si tento vynález patentovala pod číslem 8 938 627: Mnohovrstvá zabezpečovací struktura a metoda na ochranu kryptografických klíčů a kódů.  

Moduly se na ochranu proti neoprávněné manipulaci běžně zapouzdřují nebo zalévají plastovou hmotou nebo epoxidovou pryskyřicí. Tímto postupem většinou dochází k zajištění bezpečnosti proti neoprávněné manipulaci. Výroba je ale náročná a problematická, protože desky plošných spojů se zalévanými moduly se mohou během vytvrzování pryskyřice zdeformovat nebo zkroutit.

„V IBM se vynálezům a inovacím v rámci ochrany a bezpečnosti dat věnují celé týmy. Tuto oblast totiž považujeme za základ naší globální digitální budoucnosti, a proto také tato myšlenka stála u zrodu této inovace,“ říká technický manažer IBM Systems a jeden z vynálezců patentovaného přístupu Stefano Oggioni.

Patentovaný přístup využívá systém obvodů ve vrstvách DPS nebo jiné laminované struktury ke kódování kryptografických klíčů a kódů.  Další vrstvy DPS nebo laminované struktury, které se přidají nad nebo pod vrstvy obsahující klíče a kódy, zabraňují fyzickému přístupu.  Obvody chránící klíče a kódy lze v rámci DPS nebo laminované struktury rozmístit v nahodilých schématech nebo místech, takže jsou dokonale skryty.  Pro ještě vyšší zabezpečení klíčů a kódů se tento systém obvodů skládá z materiálů, které nelze odhalit ani pomocí rentgenového záření nebo akustického mikroskopu.

Firma IBM se této oblasti věnuje už desítky let a ohlásila spuštění IBM Z – nové generace nejvýkonnějšího transakčního systému na světě schopného zvládnout více než 12 miliard zašifrovaných transakcí denně. Patentovaný systém patří k nastupujícím technologiím, se kterými už IBM Z a další systémy společnosti počítají.

Autor: Petr Smolník, šéfredaktor