GDPR - i vy si myslíte, že jste připravení?

GDPR - i vy si myslíte, že jste připravení?

GDPR – i vy si myslíte, že jste připravení?

79 % společností tvrdí, že je na GDPR připraveno. Možná si na to najali jednu z těch firem, které tvrdí, že mají to pravé a jediné ultimátní řešení, které firmu kompletně ochrání. Takové ale neexistuje. Ochrana v rámci GDPR je mnohem více než jen systémy typu Data Loss Protection. Je o lidech. O jejich ochraně, ale i jejich kontinuálním vzdělávání.

Jasný nepoměr vzniká ve chvíli, kdy se podíváme na čísla z nedávného výzkumu společnosti Trend Micro[i], která ukazují, kolik procent společností si neuvědomuje, jaká všechna data jsou brána jako osobní informace a spadají tedy pod GDPR. Až 42 % společností neví, že databáze emailových kontaktů pro účely marketingu také spadá pod GDPR a 67 % neví, že pokuta může být až 4 % z ročního obratu firmy.

Z výzkumu, který provedly společnosti Trend Micro a VMware v druhé polovině minulého roku jasně vyplývá, že největší hrozbou jsou sami zaměstnanci, jejich nevzdělanost v oblasti internetové bezpečnosti, případně nepozornost či zbrklost. Nejvíce úniků dat vzniká chybou ze strany zaměstnance, na druhém místě jsou hackerské útoky a až na třetím je úmyslné zveřejnění dat zaměstnancem.

Největšími hrozbami při nakládání s citlivými daty jsou:

-          ransomware (po ukradení dat musíte zaplatit pod pohrůžkou jejich smazání či zveřejnění),

-          internet of things, s nově přicházející érou chytrých zařízení, která získaná data ukládají do cloudu a jsou stále na síti se rozšiřují možnosti pro hackerský útok,

-          útok skrze firemní emailovou schránku,

-          malware na často navštěvovaných webových stránkách – tzv. watering hole attack.

 

Šifrovat, šifrovat, šifrovat

Co je tedy potřeba k ochraně před těmito a jinými hrozbami? Především je potřeba počítat s tím, že dřív nebo později se do naší sítě někdo dostane. Žádné zabezpečení není 100%. Hackeři jsou vždy o krok napřed a mají proti nám výhody, těmi jsou mimo jiné v podstatě neomezený čas, který mají k přípravě útoku a v relativně nízké náklady k jeho vytvoření. Vycházet musíme z toho, že útok je třeba co nedříve zaznamenat. Potřeba jsou tedy systémy k detekci útoku. Když už je škodlivý software a jeho stvořitel, tedy hacker u nás, potřebujeme jeho útok co nejrychleji zastavit, ideálně ještě před tím, než dojde k nevratným ztrátám a následně zjistit případný rozsah již vzniklé škody. Takže potřebujeme systém, který je schopný zjistit rozsah škod v co nejrychlejším čase a v souladu s nařízením GDPR ho reportovat. Tento nástroj je opravdu k nezaplacení.

Prevenci jsme nechali schválně na konec, protože jak moc je dobrá prevence důležitá, stejně tak moc je těžká a skládá se hned z několika kroků.  

Tím, co lze zařídit poměrně snadno a je téměř nejdůležitější, je ochrana formou šifrování. Je potřeba soustředit se na data centra, tedy místa, kde jsou data uschována a zpracovávána. Šifrovat by se měly harddisky všech počítačů jako celky a u osob, u nichž se předpokládá, že budou vlastnit zranitelnější data, i samotné vybrané složky.

Mezi další základní body prevence by měly patřit pravidelné bezpečnostní audity, následně aktualizování všech systémů a jejich opravy. Virtuální patchování (záplatování) nám zkrátí čas potřebný k nasazení oprav výrobce a chrání náš systém okamžitě, dávno před tím, než výrobce daného softwaru opravu zveřejní.

A v neposlední řadě je třeba myslet na zaměstnance, jsou nejdůležitější a zároveň nejzranitelnější součástí naší společnosti. Všichni, kdo byť jen minimálně přijdou do styku s daty, by měli být proškoleni, jak zamezit útoku na počítači nebo mobilním zařízení. Protože třetí nejčastější hrozbou byl útok skrze firemní emailovou schránku řekněme si, jak mu předcházet. Každému sem tam přijde nějaký spam, na nabídky, které se netýkají pracovních záležitostí by uživatel vůbec klikat neměl. Co když ale přijde email, který se tváří jako zpráva od vašeho kolegy. Zpráva může obsahovat údajný link na „kompromitující fotku nadřízeného“, „seznam nejlepších zaměstnanců měsíce“, „fakturu“, a mnoho dalšího. Takové emaily, které už vypadají opravdu hodně věrohodně mají na svědomí nemalé finanční ztráty. Každý z těchto emailů má přesto stále znaky, podle kterých lze určit, že jde o podvodný email.

Vzdělaní zaměstnanci

Mnohdy by prostě stačilo přemýšlet, seznam nejlepších zaměstnanců přece obvykle nechodí, z této adresy vám email ještě nikdy nepřišel, tohoto člověka neznáte, v textu toho emailu je překlep v místě, kde by ho majitel emailového účtu nikdy neudělal. Pokud vás takové věci napadnou, jsou to ukazatelé toho, že email je pochybný. K takovéto úvaze, ale nedojde zaměstanec sám, jsme zpět u toho, že je třeba všechny pravidelně a kontinuálně vzdělávat.

Myslíte si, že máte splněno všechno? Otestujte své zaměstnance naší jednoduchou aplikací.

Společnost Trend Micro, přední odborník na internetovou bezpečnost připravila pro zájemce stránku, na níž běží run-time aplikace Phishinsight, která vám umožní otestovat své zaměstnance, kolegy, tým. Phishinsight vznikla jako celý projekt rozšíření povědomí o možných hrozbách a jejich snadném proniknutí do systémů, pokud jsou firmy a jejich zaměstnanci nepozorní. Na stránce naleznete návod v podobě videa a potřebná vysvětlení k aplikaci. Po registraci si v aplikaci snadno vytvoříte podvodnou kampaň. Po sběru informací vám aplikace dá i vyhodnocení a vy tak předem víte, zda vám drahá bezpečnostní řešení opravdu pomohou, nebo zda a jak moc máte křehké základy firemní bezpečnosti.

 

K vyzkoušení na https://phishinsight.trendmicro.com/en/.

 

Autor: Pavlína Volková, Regional account manager ve společnosti Trend Micro