IT & systémy | IT bezpečnosť

Chráňte vaše firemné dáta

Hodnota citlivých obchodných informácií neustále rastie a s ňou rastú aj útoky na firemné dáta. Pritom viac ako polovica útokov smeruje na malé a stredné firmy.

13.02.2013 | Zdroj: CFO.sk

CFO.sk 

Každú chvíľu sa v tlači dočítame o hackerských útokoch. Informácie o odberateľských a dodávateľských kontraktoch, pripravovaných akvizíciách, nových technológiách či marketingových plánoch konkurencie majú veľkú hodnotu. A s tým, ako rastie trhová  hodnota citlivých informácií, množia a zdokonaľujú sa aj hackerské útoky.

V skutočnosti sa však väčšina firiem snaží tajiť hackerské útoky na svoje dáta zo strachu pred stratou reputácie. Svedčia o tom nedávne prípady hackerských útokov na ArcelorMittal, BHP Billiton či Chesapeak Energy Corp. Podobný je aj prípad firmy Coca-Cola.  

Prípadová štúdia

V roku 2009 sa Coca-Cola pokúšala kúpiť čínskeho výrobcu nápojov China Huiyuan Juice Group. Jednalo sa o akvizíciu v hodnote 2,4 mld. USD, ktorá by bola v tom čase najväčšou zahraničnou akvizíciou v Číne.

Podľa Bloombergu hackeri zasielali manažmentu Coca-Coly autenticky vyzerajúce e-maily (napr. s nadpisom “Save power is save money! (from CEO)”), ktoré však v sebe obsahovali malware, ktorý hackerom otvoril prístup takmer na všetky Microsoft Windows servery, PC a laptopy pripojené na firemnú sieť. Keď sa im to podarilo, tak počas prvých dvoch dní ukradli množstvo e-mailov a dokumentov týkajúcich sa prebiehajúcej transakcie. Hackeri nainštalovali na počítač jedného top manažéra v Hong Kongu program, ktorý im umožnil zachytiť prístupové heslá, ktoré manažér zadával pri prihlasovaní sa do firemných sietí, a ktorý ukradol heslá viacerým ďalším zamestnancom Coca-Coly.

Rokovania o transakcii s China Huiyuan Juice Group boli ukončené tri dni po útoku, hoci Coca-Cola oficiálne nepriznala, či bol za rozhodnutím odstúpiť od transakcie hackerský útok. Padli podozrenia, že za útokom sa skrýva čínska skupina Comment Group, ktorá mala prsty aj v útokoch na úrady EÚ či viaceré veľké firmy v USA.

Podobne sa hackeri dostali do systémov jednej z najväčších energetických firiem na svete v oblasti ťažby zemného plynu BG Group, a ukradli jej citlivé dáta ako geologické mapy či záznamy o ťažobných projektoch. 

Krádež citlivých dát týkajúcich sa rokovaní o veľkej zákazke spôsobila inej nemenovanej britskej verejne obchodovanej firme škodu 800 mil. GBP.

Podľa Harward Business Review sú hackerským útokom najviac vystavené odvetvia maloobchodu, médií, technologické odvetvia a vládne inštitúcie. Pritom útoky sa zďaleka netýkajú iba na veľkých firmy - podľa analýzy firmy Symantec z roku 2011 viac ako polovica útokov je nasmerovaná na malé a stredné firmy s počtom zamestnancov menej ako 2,500.

Zraniteľným miestom sú mobily a smartfóny - podľa nedávnych štúdií budú útoky na mobilné zariadenia v blízkej dobe častejšie, ako útoky cez osobné počítače. 

Zraniteľné heslá

Podľa nedávnej štúdie firmy Deloitte je až 90% hesiel ľahko zraniteľných pred hackerskými útokmi napriek tomu, že ich IT oddelenia považujú za dostatočne bezpečné. 

Aj keď heslá vo vašej firme obsahujú napr. min. 8 znakov, z toho jedno veľké písmeno a jedno číslo, vôbec to nemusí stačiť. Prečo? Pretože podľa nedávnej štúdie, v ktorej sa vyhodnocovala bezpečnosť 6 miliónov skutočne používaných hesiel, 10,000 najpoužívanejších z nich by stačilo na získanie prístupu k 98.1% obsahu!

Problém tkvie - kde inde ako v užívateľoch a v zjednodušeniach, ktoré hľadajú:  opakovanie hesiel alebo viacnásobné používanie hesla pre rôzne účely, používanie ľahko zapamätateľných mien a názvov, ako aj neschopnosť užívateľov zapamätať si dlhšie heslá. Napríklad ľudia s horšou pamäťou alebo tí, ktorí sú príliš pohodlní či menej opatrní, majú to isté heslo zvolené pre prístup na Facebook, Google, firemnú sieť a bankový účet. Hackerovi stačí odhaliť heslo pri prihlasovaní sa na menej zabezpečené aplikácie, a tak získa prístup aj k firemným dátam.

Zabezpečenie hesiel možno zvýšiť napríklad zakázaním najčastejšie používaných slov alebo zavedením viacnásobnej ochrany pomocou hesla a ďalšieho zabezpečovacieho prvku. Firmy by mali vypracovať prísne pravidlá o používaní hesiel a požadovať od užívateľov, aby ich pravidelne menili. Veľkú pozornosť treba venovať ochrane firemnej databázy hesiel. Najcitlivejšie dáta môžu firmy uložiť na špeciálne chránený server a heslo môže generovať počítačový kód.

Ako zvýšiť bezpečnosť firemných dát

Dokument od J.P.Morgan Cybercrime: This is War firmám odporúča, aby zaviedli nasledovné opatrenia na ochranu svojich dát:

• oboznámte všetkých zamestnancov s rizikom hackerských útokov a s dôležitosťou citlivých informácií. Tipy, ako na to, nájdete tu.
• obmedzte prístup k citlivým firemným dátam zo súkromných počítačov a mobilných zariadení, ktoré používajú zamestnanci na pracovné účely
• kontrolujte a evidujte, kto a kedy sa pripojil k firemnej sieti
• vyžadujte, aby sa zamestnanci pripájali k firemnej sieti výlučne cez VPN
• udržujte neustálu ochranu bežne používaného hardvéru a softvéru
• citlivé dáta chráňte šifrovaním
• implementujte prísne pravidlá pre používanie hesiel

Dajte si tú námahu a zamyslite sa, akú finančnú škodu alebo ujmu na reputácii by vašej firme mohla spôsobiť krádež citlivých informácií. Ak neváhate platiť poistenie majetku alebo pohľadávok, zvážte investíciu do lepšej ochrany vašich kľúčových firemných dát.