6 szokujących dziur w zabezpieczeniach danych Twojej firmy

Czy wiesz, ile niebezpiecznych luk może znajdować się w planie ochrony danych, nawet gdy zewnętrznie wszystko wydaje się OK?

Rozpadające się ściany

Pomimo miliardów dolarów inwestowanych w cyberbezpieczeństwo, firmy wciąż tracą swoje najważniejsze dane. Możemy zabezpieczyć swoje przedsiębiorstwo jak fortecę, zbudować wielowarstwowe mury wokół sieci, aplikacji, dysków, danych osobowych, urządzeń… W chwili jednak, gdy niezadowolony pracownik zgrywa istotne pliki na swój pendrive lub wysyła ważne załączniki z poczty poza „bezpieczną” sieć, wszystkie te pieczołowicie stawiane mury rozpadają się niczym domek z kart.

Często o wycieku cennych informacji decydują małe, niezauważalne niemal pomyłki. Dlatego właśnie firmy powinny dokładnie poznać tak zagrożenia, jak i dobre praktyki w dziedzinie ochrony danych. Być może pomogą w tym wyniki badań i prezentacja Prakasha Lingi, dyrektora technicznego i współzałożyciela zajmującej się ochroną danych firmy Vera. Linga przedstawił w swoim pokazie 6 najtrudniejszych do załatania dziur w zabezpieczeniach firmy online.

Zobacz również:

Czy nie inwestowaliśmy już w ochronę danych?

Nie tylko o inwestowanie pieniędzy chodzi. Jak szacuje firma analityczna Gartner w ostatnim roku w sektorze bezpieczeństwa IT przedsiębiorstwa wydały łącznie ponad 75 miliardów dolarów, a mimo to liczba incydentów, w których dane zostały wykradzione, nieustannie rośnie. Zbudowaliśmy wyższe, mocniejsze mury, ale nie dbamy o ochronę informacji samych w sobie. Poufne dane są współdzielone lub pobierane, a firmy tracą nad nimi kontrolę.

Wcale nie dziurawe oprogramowanie

To nie software, a czynnik ludzki, odpowiedzialny jest za 25 procent wszystkich wycieków danych na świecie. Informują o tym badania Ponemon Institute, według których jedna czwarta problemów z bezpieczeństwem danych związana jest z zaniedbaniami pracowników.

Pracownicy nie korzystają z pomocnych narzędzi i oprogramowania, ponieważ wydają im się one zbyt trudne lub uciążliwe w obsłudze. Omijają bezpieczny serwer FTP, kopiują dane z zabezpieczonych plików i zapisują je jako niezabezpieczone dokumenty, a następnie wysyłają wrażliwe dane w formie załącznika na swoje osobiste konta e-mail. Robią to by ominąć przestarzałe nieraz, frustrujące systemy wewnętrzne korporacji. Świetna luka dla hakera bez względu na to jak dobrze zabezpieczona jest cała firma. Wystarczy uzyskać dostęp do prywatnej poczty pracownika.

25 procent problemów z bezpieczeństwem danych związane jest z zaniedbaniami pracowników.

25 procent problemów z bezpieczeństwem danych związane jest z zaniedbaniami pracowników.

Kto zobaczy nasze dane

Firmy często starają się dbać o informacje w komunikacji wewnętrznej, ale nie są w stanie określić gdzie, kiedy i jak wrażliwe dane mogą być użyte po wysłaniu ich poza wewnętrzną sieć. Jak często któryś z klientów przesłał dane do osób, które nie powinny ich otrzymać? Co konkretnie współpracownicy i kontrahenci robią z danymi firmy? Vera podaje statystykę, która otwiera oczy na to zagrożenie: aż 60 procent pracowników otrzymało kiedyś pliki, które nie były do nich skierowane i których nie powinni byli zobaczyć. A przecież przedsiębiorstwo odpowiada za ochronę swoich danych, nawet jeśli to nie ono jest głównym odpowiedzialnym za udostępnienie ich dalej.

Brak kontroli

Kiedy dane znajdują się poza firmą, dział IT lub też dział bezpieczeństwa traci możliwość zablokowania dostępu do utraconych plików, odgrodzenia wycieku informacji lub też odebrania dostępu do danych osobom, które nie powinny ich oglądać. Nie ma przycisku „Cofnij”, by zablokować dostęp do plików. Luka ta istniała na długo przed istnieniem Dropboksa i innych aplikacji do synchronizacji plików, ale utrzymywanie danych w chmurze wciąż jest lękiem dla wielu firm. Z pewnością należy być bardzo ostrożnym w udostępnianiu danych online, choć nie znaczy to, że cloud computing jest złym rozwiązaniem.

Nie nadążanie za nowościami

Nowe technologie wdrażane w firmie mogą przynieść wiele korzyści, ale często wprowadzane są zbyt wcześnie, bez zrozumienia ich sposobu działania. W pośpiechu, w nadziei na szybki rozwój, sprawy bezpieczeństwa spychane są na bok. I tak, chcąc rozwijać działalność, firmy wpadają w kolejną pułapkę. Szybkość działania to dziś podstawa, ale jeśli nowe systemy mają być wprowadzane z głową, wraz z każdym pomysłem powinno iść gruntowne zbadanie go pod kątem ochrony danych i potencjalnych zagrożeń.

Problemy mobilnego świata

Obecne rozwiązania w sektorze bezpieczeństwa mobilnego nie radzą sobie ze współczesnymi przedsiębiorstwami opierającymi się na współpracy wielu osób. Koniecznością firm coraz częściej staje się korzystanie z platform do zarządzania aplikacjami i urządzeniami mobilnymi (MDM), które umożliwiłyby zarządzanie nie tylko „pecetami” i notebookami, ale też choćby tabletami czy smartfonami. Niestety, nawet posiadanie dobrych zabezpieczeń nie daje jednak żadnej pewności, bo wciąż łatwe jest wysyłanie danych do innych, niechronionych urządzeń. W swojej ochronie firma jest zresztą ograniczona do własnego sprzętu i oprogramowania. A co robią z danymi współpracownicy i klienci? To na czym warto się skupić, to ograniczenie udostępnianych dalej informacji i dokładne rozważenie, co i komu może i powinno być wysyłane.

Różne rodzaje plików do ochrony

Aby chronić swoje pomysły, musimy najpierw chronić treści, które tworzymy. Nie żyjemy w świecie, w którym informacje ograniczone są do PDF-ów i plików z Office’a. Tworzymy różne treści jak PDF-y 3D, filmy, pliki obrazów medycznych. Używamy czasem własnych aplikacji do przedstawienia niestandardowych danych. Ponieważ typy plików się zmieniają, zabezpieczenia nie mogą być ograniczone tylko do poszczególnych, bardziej znanych formatów.

Podsumowanie: ochrona danych

Opisane wyżej luki w zabezpieczeniach wynikają z ciągle zmieniającego się środowiska IT. Przedsiębiorcy nie będą w stanie załatać ich poprzez wykonywanie wciąż tych samych rzeczy (lub zwiększając wysiłki w tym samym kierunku). Nadszedł czas, by spojrzeć na ochronę danych w całym cyklu ich życia – w czasie, gdy są używane, a także wtedy, gdy wydostają się na niezarządzane przez firmę domeny, urządzenia i aplikacje.


Zobacz również