IT & systémy | IT bezpečnosť

Hackeri sledujú vaše dáta. Práve teraz.

Väčšina prípadov zneužitia podnikových dát sa týka firiem s menej ako 1 000 zamestnancami a odhalenie útoku zaberie viac ako jeden mesiac. Ako zvýšiť pravdepodobnosť včasného odhalenia útokov a zmierniť možné následky.

14.10.2013 | Zdroj: Darkreading.com

CFO.sk 

Čo by ste dali za to, keby ste vedeli, aký produkt pripravuje vaša konkurencia alebo akú cenovú ponuku plánuje predložiť do verejnej súťaže? Túto otázku si možno práve teraz kladie niektorý z vašich neetických konkurentov. A nemusí byť zo Slovenska.  

Existujú rôzne analýzy, ktoré sa snažia odhadnúť náklady súvisiace so zneužitím podnikových dát. Napr. firma Ponemon odhadla, že strata jedného záznamu stojí v celosvetovom priemere každú firmu 136 USD.

Tieto odhady zahŕňajú priame náklady, ako je čas strávený izolovaním a odstraňovaním útoku, využitie špecializovaných forenzných firiem, informovanie zákazníkov a obchodných partnerov, dodatočné investície do bezpečnostnej infraštruktúry, alebo pokuty, náklady na právnikov a náhrady škody.

Podľa portálu Darkreading.com však z týchto štatistík nevyčítame ďalšie nepriame náklady, ktoré sú často oveľa vyššie: strata zákazníkov a obchodných príležitostí súvisiaca so zneužitím obchodných plánov, cenových ponúk, práv duševného vlastníctva, alebo strata reputácie. Napríklad krádež informácií údajne stála za zlyhaním potenciálne najväčšej akvizície v Číne v roku 2009, keď Coca-Cola upustila od kúpy čínskej firmy China Huiyuan Juice Group za 2,4 mld. USD.

Ďalšie náklady si vyžiadajú prerušenia výskumu a vývoja nových produktov, keď firmy pozastavia projekt kvôli úniku práv duševného vlastníctva. Problémy spôsobuje aj strata produktivity a únava zamestnancov IT oddelenia, ktorí musia v strese analyzovať miesto a rozsah úniku a zaviesť nápravné opatrenia.

Súvisiaci článok: Ako hackeri klamú vašich zamestnancov

Čas sú peniaze

V prípade zneužitia podnikových dát platí toto pravidlo tisíc násobne: čím viac času ubehne kým firma útok odhalí, tým sú škody väčšie. Podľa rozsiahlej štúdie firmy Verizon zatiaľ čo infiltrácia trvá rádovo hodiny alebo dni, odhalenie zaberie v dvoch tretinách prípadov viac ako 1 mesiac, pričom drvivú väčšinu útokov odhalia tretie strany – obchodní partneri alebo polícia. Firmy tak väčšinou celé týždne netušia, že s ich informáciami tajne pracujú kriminálne skupiny alebo konkurencia.

Súvisiaci článok: Čo by ste mali vedieť o útokoch na podnikové dáta

Rýchle odhalenie útoku

Jednou z najväčších prekážok včasného odhalenia útoku je nedostatočný prehľad o toku dát a prístupoch vo vlastnej podnikovej sieti. James Phillippe, riaditeľ na oddelení služieb v oblasti dátovej bezpečnosti firmy EY v USA, vyzdvihuje tri kľúčové faktory, ktoré sú pre odhalenie útoku dôležité:

1. Dôsledné zmapovanie sieťovej infraštruktúry a všetkých pripojených zariadení a ich dátových tokov pri bežnom spôsobe využívania, t.j. spoznať ako systém a jeho časti fungujú počas normálnej prevádzky.
   
2. Technológia pre detekciu anomálií v správaní sa jednotlivých častí systému.
   
3. Využitie špecializovaných firiem, ktoré poskytujú informácie o spôsoboch a formách útokov na iné podniky v danom odvetví.
   

Medzi typické indikátory útokov patria napr. nezvyčajné exporty dát z podnikovej siete, zmeny v čase, frekvencii či mieste prístupov do systému, dátové toky s krajinami, s ktorými firma zvyčajne neobchoduje, zvýšený počet zamietnutých prístupov z existujúcich alebo neznámych účtov, zvýšený objem čítaných dát z databáz či DNS požiadaviek. Viac užitočných informácií nájdete v článku „Top 15 Indicators of Compromise“ na Darkreading.com.  

Eliminácia útoku 

Väčšina firiem má záložné plány pre prípady výpadku siete, serverov či požiarov, ale skutočne iba máloktoré firmy majú pripravené funkčné plány pre izoláciu a odstránenie útokov na podnikové dáta. Zamestnanec IT oddelenia jednej nemenovanej medzinárodnej banky, ktorá sa nedávno stala obeťou útoku, hovorí, že až skutočná krízová situácia zmobilizovala manažment a investície potrebné do dátovej bezpečnosti.

Prvý krokom je vytipovať rizikové oblasti a odhadnúť dôsledky odcudzenia dát alebo zlyhania kľúčových procesov či systémov. Firmy si musia položiť otázku: „Kto a prečo sa môže o naše dáta zaujímať, ktoré dáta to sú a kde sa nachádzajú?“ Napríklad maloobchodné firmy a finančné inštitúcie sú najčastejšie napádané s cieľom získať dáta o platobných kartách a bankových účtoch ich klientov (finančná motivácia), zatiaľ čo u firiem z výrobných odvetví a poskytovateľov služieb je najčastejším cieľom útoku získať citlivé obchodné dáta, ako sú intelektuálne práva, obchodné zmluvy, obchodné plány a pod. (špionážna motivácia). Ďalšia otázka by mala byť: „Aké dôsledky nám hrozia, ak k úspešnému útoku naozaj dôjde?“.

Druhým krokom je vytvorenie krízového plánu a konkrétnych opatrení pre každú z rizikových udalostí. To znamená pomenovať konkrétne kroky ako izolovať útok, identifikovať rozsah úniku, a s kým a ako komunikovať – zákazníci, banky, dodávatelia, manažment, úrady a pod. Firmy by mali vytvoriť krízové tímy, ktoré sa ideálne skladajú so zástupcov IT oddelenia, právneho oddelenia, forenzných expertov (interných alebo vopred dohodnutých externých partnerov) a odborníkov na krízovú komunikáciu.

Užitočné je tiež využívať predstierané útoky na priebežné testovanie, ako dobre krízový plán a tím funguje.

Jednou z chýb, ktorej sa firmy často dopúšťajú, je to, že investujú zbytočne príliš veľa času do odhalenia útočníka: ak sa útok stal realitou, je dôležitejšie minimalizovať následky a zamedziť novým útokom. Ďalšou chybou sú chaotické opatrenia, ako odstavenie celého systému alebo nepremyslená investícia do nových bezpečnostných aplikácií. Práve tieto problémy pomáhajú odstrániť vopred premyslené krízové plány.  

Darkreading.com je renomovaný internetový portál, ktorý sa špecializuje na oblasť IT bezpečnosti. Je súčasťou skupiny United Business Media, ktorý poskytuje informačné služby, marketingovú podporu a školenia viac ako 18 mil. odborníkom z oblasti informačných technológií.