Zistenia z bezpečnostných projektov

Naša spoločnosť sa bezpečnostným projektom venuje už 10 rokov, od prvej väčšej novelizácie zákona na ochranu osobných údajov v roku 2005. Za tú dobu sme urobili viac ako 500 projektov pre zákazníkov od školstva cez samosprávu až po firmy.

V rámci rizikovej analýzy, ktorá je súčasťou bezpečnostného projektu sme odhalili viacero nedostatkov, ktoré ohrozujú osobné údaje a môžu viesť až k ich zneužitiu.

Medzi najväčšie nedostatky patri neexistencia zásad používania USB zriadení, najmä USB kľúčov. Až 90% prevádzkovateľov nemá zavedenú žiadnu politiku používania týchto zariadení. Zamestnanci ich môžu bez kontroly vkladať a pripájať do počítačov a následne si do nich nakopírovať akékoľvek údaje z informačných systémov. Tieto údaje môžu byť potom vynesené z úradu a rôznym spôsobom zneužité, napríklad pri verejných obstarávaniach. Preto je potrebné zaviesť účinnú politiku používania týchto zariadení a zakázať zamestnancom používať súkromné USB zariadenia.

USB kľúče sa takisto často používajú na prenášanie rôznych citlivých dokumentov. V mnohých  prípadoch tieto dokumenty nie sú žiadnym spôsobom chránené a pri strate zariadenia si ich môže ktokoľvek prečítať, tak ako bolo medializovanom v prípade našej armády, keď sa USB kľúč s tajnými informáciami našiel na autobusovej zástavke. Dáta na ňom neboli žiadnym spôsobom chránené a ten kto našiel kľúč si ich mohol bez problémov prečítať. Preto je potrebné naučiť zamestnancov chrániť si takto prenášané dokumenty a údaje, aby ste aj vy nemali v médiách negatívnu reklamu.

Podobným problémom ako USB kľúče je aj mailová komunikácia. Mnoho ľudí si neuvedomuje, že akonáhle mail opustí váš mailový server, tak strácajú nad ním kontrolu. Nie len vy ale aj vaši IT administrátori. Existujú ľudia, ktorý vedia maily odchytiť a dostať sa k ich obsahu. V tomto prípade tak ako pri USB zariadeniach je potrebné dokumenty v prílohe zabezpečiť pred náhodným alebo aj úmyselným prečítaním, napríklad šifrovaním alebo zabezpečením heslom.

Ďalším zo zistených nedostatkov sú heslá. Až 60% zamestnancov miest si pravidelne nemení heslo a nedodržuje ich zložitosť. Neuvedomujú si to, že heslo je momentálne jediné, čo chráni ich osobné údaje a to nie len v informačných systémoch mesta, ale aj na domácich počítačoch či v rôznych internetových službách. Zatiaľ nič lepšie ako heslo nebolo vymyslené a asi sa v dohľadnej dobe ani nič lepšie za dostupnú cenu nevymyslí. Preto je potrebné naučiť zamestnancov náležite  správať sa k heslám, aby svojim nezodpovedným správaním nesprístupnili osobné údaje mesta niekomu nepovolanému a nedošlo tak k ich zneužitiu.

Problémy môže spôsobiť aj nedostatočné zálohovanie, hlavne osobných počítačov. Servery zvyčajne bývajú zálohované na vysokej úrovni, ale na počítače zamestnancov, hlavne tých na vedúcich pozíciách sa zabúda a to aj napriek tomu, že mnohokrát obsahujú dôležité dokumenty, ktorých strata môže mať nedozerné následky. Preto netreba podceňovať zálohovanie počítačov a zriadiť na ich zálohovanie externé centrálne dátové úložisko.

Nebezpečenstvo predstavuje aj voľný prístup k nevhodnému obsahu na Internete a nie sú to len rôzne závadné stránky, z ktorých môže hroziť zavírenie počítačovej siete, ale aj stránky typu  Facebook, ktoré odvádzajú pozornosť vašich zamestnancov od pracovných povinností. Preto kontrola toho, kde kto „surfuje“ na Internete je na mieste a mala by byť samozrejmosťou.

To je len vrchol ľadovca v našich odhaleniach, tých neduhov je oveľa viac a je potrebné ich čo najskôr riešiť. Pokiaľ máte seriózne urobený bezpečnostný projekt, tak by ste mali o nich vedieť. Práve výstupom z bezpečnostného projektu by mal byť rebríček nebezpečenstiev a ich kvalitatívne ohodnotenie, ktoré vám hrozia vo vašej IT infraštruktúre. Podľa neho by ste mali robiť opatrenia na elimináciu tohto nebezpečenstva a vylepšovať vašu IT infraštruktúru napr. aj produktmi našej rodiny KERBER.