IT & systémy | IT bezpečnosť

Ochrana citlivých informácií pred únikom z firmy: Ako predísť pomste bývalých zamestnancov

60% zamestnancov, s ktorými bol rozviazaný pracovný pomer, si z firmy odnáša citlivé informácie s cieľom použiť ich v novom zamestnaní, pri vlastnom podnikaní, využiť obchodné kontakty, alebo tak robí z osobnej pomsty

17.03.2014 | Zdroj: Infoware

Ľuboslav Lacko 

Článok bol pôvodne publikovaný na portáli Infoware.

Je­den z at­ri­bú­tov sú­čas­né­ho dy­na­mic­ké­ho tr­hu prá­ce je mig­rá­cia. Pra­cov­ní­ci od­chá­dza­jú, prí­pad­ne sú pre­pus­te­ní z rôz­nych dô­vo­dov a nie vždy ten­to pro­ces pre­beh­ne na obojstran­nú spo­koj­nosť. Niek­to­rí pre­pus­te­ní za­mes­tnan­ci po­ci­ťu­jú vo­či bý­va­lé­mu za­mes­tná­va­te­ľo­vi nev­ra­ži­vosť a bu­dú sa ho sna­žiť rôz­nym spô­so­bom poš­ko­dzo­vať.

Naj­čas­tej­šie ide o krá­dež úda­jov s úmys­lom ich zneu­ži­tia ale­bo po­kus o útok na pod­ni­ko­vé in­for­mač­né sys­té­my. Pre­to si ve­ľa za­mes­tná­va­te­ľov kla­die otáz­ku, čo tre­ba uro­biť, aby sa vy­hli prob­lé­mom, kto­ré im nes­po­koj­ní pre­pus­te­ní za­mes­tnan­ci mô­žu spô­so­biť.

Ochra­na pred pom­stou bý­va­lých nes­po­koj­ných za­mes­tnan­cov pat­rí spo­lu s pod­vy­ži­ve­ným roz­poč­tom na IT k naj­váž­nej­ším prob­lé­mom, kto­ré mu­sia pra­cov­ní­ci in­for­mač­nej bez­peč­nos­ti rie­šiť. Pod­ľa vý­sled­kov via­ce­rých ne­zá­vis­lých pries­ku­mov ana­ly­tic­kých a kon­zul­tač­ných spo­loč­nos­tí (Gar­tner, Ernst & Young, KPMG...) sa po­ten­ciál­nej od­ve­ty od bý­va­lých za­mes­tnan­cov obá­va až 75 % ma­na­žé­rov.

Ame­ric­ká po­lí­cia za­tk­la 41-roč­né­ho vý­vo­já­ra a sys­té­mo­vé­ho ma­na­žé­ra Mi­chae­la Me­ne­se­sa a ob­vi­ni­la z prie­ni­ku do sie­te je­ho bý­va­lé­ho za­mes­tná­va­te­ľa. Mo­tí­vom bo­la poms­ta za ukon­če­nie pra­cov­né­ho po­me­ru. Svo­jím ko­na­ním spô­so­bil ško­du 90-ti­síc USD. Aj keď za­mes­tná­va­teľ pre­pus­te­né­mu za­mes­tnan­co­vi zru­šil prís­tu­po­vé prá­va do fi­rem­nej sie­te, Me­ne­ses do nej pred pre­pus­te­ním na­sa­dil prog­ram na za­chy­te­nie prís­tu­po­vých mien a he­siel. Tie­to úda­je nás­led­ne vy­užil na prís­tup do fi­rem­nej sie­te. Pou­ží­val e-mai­lo­vé schrán­ky svo­jich ko­le­gov, od­stra­šo­val uchá­dza­čov o svo­je mies­to, sa­bo­to­val vý­ro­bu a fi­nan­čné ope­rá­cie. Pod­ľa ob­ža­lo­by sa do­pus­til ky­ber­ne­tic­ké­ho van­da­liz­mu.

(Zdroj: Tla­čo­vá sprá­va FBI)

Alar­mu­jú­ca si­tuácia vo väč­ši­ne ma­lých fi­riem

Z 950 vy­bra­ných res­pon­den­tov, s kto­rý­mi bol po­čas up­ly­nu­lých 12 me­sia­cov roz­via­za­ný pra­cov­ný po­mer, viac než 60 % priz­na­lo, že si z fir­my od­nies­li dô­le­ži­té dá­ta. Naj­čas­tej­šie uvá­dza­né dô­vo­dy bo­li ví­zia ich vy­uži­tia v no­vom za­mes­tna­ní, vy­uži­tie ob­chod­ných kon­tak­tov, vy­uži­tie in­for­má­cií pri vlas­tnom pod­ni­ka­ní a poms­ta. Naj­at­rak­tív­nej­ší­mi in­for­má­cia­mi sú pod­ľa vy­jad­re­nia res­pon­den­tov da­ta­bá­zy ob­chod­ných kon­tak­tov, do­ku­men­ty, vý­kre­so­vá do­ku­men­tá­cia a iné taj­né do­ku­men­ty.

(Zdroj: Pries­kum spo­loč­nos­ti Sym­an­tec v spo­lup­rá­ci s Po­ne­mon In­sti­tu­te)

Na ilus­trá­ciu načr­tne­me si­tuáciu, kto­rá je hlav­ne v ma­lých fir­mách viac než bež­ná. Pra­cov­ník má na svo­jom pre­nos­nom po­čí­ta­či, kto­rý pou­ží­va v prá­ci a čas­to si ho be­rie aj do­mov, nie­len ap­li­ká­cie, ale aj do­ku­men­ty a ne­raz do­kon­ca kom­plexné úda­je v lo­kál­nych da­ta­bá­zach, prí­pad­ne v sú­bo­roch do­ku­men­tov ta­buľ­ko­vých pro­ce­so­rov. V lep­šom prí­pa­de má za­mes­tna­nec len do­ku­men­ty a úda­je, kto­ré pot­re­bu­je pri svo­jej prá­ci, v hor­šom prí­pa­de pos­tup­ne zhro­maž­dil väč­ši­nu IT agen­dy svo­jej fir­my.

Čo mô­že za­mes­tná­va­teľ uro­biť, aby pra­cov­ní­ko­vi za­brá­nil tie­to úda­je zneu­žiť? Od­po­veď je alar­mu­jú­ca: Ne­mô­že uro­biť vô­bec nič.

Pred­tým než od­ov­zdá fi­rem­ný no­te­book, si mo­hol sko­pí­ro­vať úda­je na súk­rom­né pa­mä­ťo­vé mé­diá. Ak pou­ží­val v rám­ci BYOD (Bring Your Own De­vi­ce) vlas­tné za­ria­de­nie, to mu do­kon­ca zos­ta­ne. Je­di­ná ochra­na je v ta­kom­to prí­pa­de le­gis­la­tí­va. Ak pra­cov­ník úda­je svoj­ho bý­va­lé­ho

za­mes­tná­va­te­ľa zneu­ži­je a pos­kyt­ne ich kon­ku­ren­cii ale­bo mé­diám, vy­sta­vu­je sa ri­zi­ku tres­tné­ho stí­ha­nia. Pos­tih za po­ru­še­nie le­gis­la­tí­vy ne­mu­sí byť ap­li­ko­va­teľ­ný vo všet­kých prí­pa­doch. Do­kon­ca mô­že vznik­núť opač­ná si­tuácia, keď nes­po­koj­ný za­mes­tna­nec pos­kyt­ne niek­to­ré úda­je od svoj­ho bý­va­lé­ho za­mes­tná­va­te­ľa vy­šet­ro­va­te­ľo­vi, pro­ku­rá­to­ro­vi, da­ňo­vé­mu či fi­nan­čné­mu úra­du. Ten­to sce­nár je na­toľ­ko kon­tro­verz­ný, že ho ne­bu­de­me ďa­lej roz­ví­jať.

Ako za­brá­niť zneu­ži­tiu úda­jov

Ak za­mes­tná­va­teľ pod­ce­ní pre­ven­ciu, v oka­mi­hu pre­pus­te­nia za­mes­tnan­ca je prak­tic­ky bez­moc­ný. No ak fir­ma reali­zu­je dôs­led­nú ana­lý­zu ri­zík a prij­me dôs­led­né opat­re­nia oh­ľad­ne sprá­vy klient­skych za­ria­de­ní, nie­len­že sig­ni­fi­kan­tne zní­ži ri­zi­ko od­pla­ty bý­va­lých za­mes­tnan­cov, umož­ní bez­prob­lé­mo­vé prev­za­tie agen­dy, ale vo väč­ši­ne prí­pa­dov pod­stat­ne zvý­ši pro­duk­ti­vi­tu. Dô­le­ži­tý je hlav­ne audit za­bez­pe­če­nia úda­jov, naj­mä tých cit­li­vých, kto­rých únik by zna­me­nal os­la­be­nie fir­my v kon­ku­ren­čnom bo­ji. For­my úto­kov sú čo­raz so­fis­ti­ko­va­nej­šie, tak­že fir­my mu­sia na ochra­nu vy­nak­la­dať ve­ľa úsi­lia a nák­la­dov.

O ne­dos­ta­toč­nej úrov­ni pre­ven­cie ve­ľa na­po­ve­dia vý­sled­ky pries­ku­mu reali­zo­va­né­ho spo­loč­nos­ťou Ernst & Young na vzor­ke 1900 ma­na­žé­rov zo 60 kra­jín. Ana­lý­zou po­ten­ciál­nych ri­zík sa v sú­čas­nos­ti za­obe­rá 42 % spo­loč­nos­tí. Eš­te alar­mu­jú­cej­šie je, že opat­re­nia na mi­ni­ma­li­zá­ciu ri­zík hroz­by zo stra­ny bý­va­lých za­mes­tnan­cov pri­ja­lo iba 26 % fi­riem.

Všet­ko na server­i ale­bo v clou­de

Mo­men­tál­ne naj­účin­nej­šie rie­še­nie, ako sa vy­hnúť po­ten­ciál­nej pom­ste bý­va­lé­ho za­mes­tnan­ca, je umies­tniť všet­ky do­ku­men­ty a úda­je na server, prí­pad­ne do clou­du - či už pri­vát­ne­ho, ale­bo ve­rej­né­ho od spo­ľah­li­vé­ho pos­ky­to­va­te­ľa. Kaž­dý pra­cov­ník by mal mať prís­tup k úda­jom a ap­li­ká­ciám iba v roz­sa­hu, kto­rý pot­re­bu­je na vý­kon svo­jej prá­ce. Aj v ta­kom­to prí­pa­de mož­no (nap­rík­lad prí­ka­zom Sa­ve as v ap­li­ká­cii kan­ce­lár­ske­ho ba­lí­ka) vy­tvo­riť lo­kál­nu kó­piu do­ku­men­tu.

Eš­te so­fis­ti­ko­va­nej­šie je vy­užiť vir­tuál­ne des­kto­py VDI (Vir­tual Des­ktop Infra­struc­tu­re), te­da mo­del ar­chi­tek­tú­ry, v kto­rom sú klien­tske ope­rač­né sys­té­my pre­vádz­ko­va­né vo vir­tuál­nych po­čí­ta­čoch na server­i v dá­to­vom cen­tre a pra­cov­ní­ci k nim pris­tu­pu­jú po­mo­cou roz­hra­nia s de­fi­no­va­ný­mi pri­vi­lé­gia­mi. Je­di­ná úlo­ha klien­tske­ho za­ria­de­nia je spros­tred­ko­vať pre­zen­tač­né roz­hra­nie, te­da pre­ná­šať od server­a ku klien­to­vi ob­sah ob­ra­zov­ky a od klien­ta po­ve­ly za­dá­va­né pou­ží­va­te­ľom pros­tred­níc­tvom klá­ves­ni­ce a my­ši. VDI tak pos­ky­tu­je pl­no­fun­kčné a in­di­vi­duál­ne pris­pô­so­be­né pra­cov­né pros­tre­die, pri­čom správ­ca si za­cho­vá­va úpl­nú kon­tro­lu nad vir­tuál­ny­mi po­čí­tač­mi a ap­li­ká­cia­mi. Vý­hod­ná je cen­tra­li­zá­cia úda­jov - úda­je sú bez­peč­ne ulo­že­né na cen­trál­nom server­i na­mies­to po­čí­ta­čov za­mes­tnan­cov.

Naj­vyš­šiu úro­veň ochra­ny pred­sta­vu­jú za­ria­de­nia ty­pu ze­ro client, te­da po na­šom „nu­lo­vý klient". Neob­sa­hu­jú nič z kla­sic­kej ar­chi­tek­tú­ry po­čí­ta­ča, tab­le­tu ani smar­tfó­nu. Ne­náj­de­te tu pro­ce­sor v kla­sic­kom po­ní­ma­ní ani ope­rač­nú pa­mäť či dis­ky. Ma­lá a lac­ná ška­tuľ­ka ob­sa­hu­je len zá­kaz­níc­ky čip, schop­ný spros­tred­ko­vať pre­zen­tač­nú vrstvu. Všet­ko s vý­nim­kou zob­ra­zo­va­nia a sní­ma­nia reak­cie pou­ží­va­te­ľa cez klá­ves­ni­cu a myš sa od­oh­rá­va na server­i, kde sa klien­tsky po­čí­tač vir­tua­li­zu­je.

Za­ria­de­nia ty­pu ze­ro client sa pos­tup­ne pre­sa­dzu­jú hlav­ne v ob­las­tiach, kde je kri­tic­kým fak­to­rom bez­peč­nosť. Zdô­raz­ňu­je­me, že na klien­tskom za­ria­de­ní sa NIK­DY fy­zic­ky ne­na­chá­dza­jú žiad­ne úda­je, tak­že ani je­ho prí­pad­né fy­zic­ké od­cu­dzenie v žiad­nom prí­pa­de nes­pô­so­bí únik úda­jov.