Až 70 procent úniků dat bývá spojeno s účastí zaměstnance. Ještě více pak toto procento roste, když daný zaměstnanec firmu opouští. "To ještě samo o sobě ale neznamená, že vás poškodí," říká ředitel společnosti Safetica Petr Žikeš. Podle něj se však České firmy začaly soustředit na to, jak takovým případným poškozením předcházet. "Doposud klienti využívali spíše monitoring a získávali informace o pohybu dat, nyní nově chtějí nastavit restrikce na procesy," dodává.
S jakou agendou jste do vedení Safeticy nastoupil?
V pozici šéfa jsem od loňského září, jen jsme to příliš nerozšiřovali. Navíc v Safetice působím už tři roky, její byznys znám velmi dobře, což byl i jeden z důvodů, proč jsem nabídku vést firmu dostal.
Safetica vyrostla natolik, že už to chtělo „novou“ ruku a vhled na zefektivnění chodu firmy. Už to přeci jen není startup, který má pár zákazníků, jimž se lze věnovat osobně, je potřeba mít nastavené procesy, implementaci, standardizaci tvorby produktu, nejen zakázkovou výrobu.
V případě Safetica je tím produktem interní bezpečnost…
To, co nás baví a zajímá, je eliminace hrozby úniků dat, na základě kterých by pak mohlo dojít buď k poškození byznysu firmy či dokonce její likvidaci.
Kolik zákazníků momentálně obsluhujete?
Kolem 270 klientů primárně v Česku a na Slovensku, několik desítek již máme i ze světa. Počítáme také s expanzí do zahraničí a pro Česko chystám projekt „partnerství“ s dalšími firmami věnujícími se bezpečnostním otázkám – nemusí to být přímo interní bezpečnost, ale něco, co doplňuje naše interní řešení, abychom na to nebyli sami. Půjde o takovou vzájemnou produktovou výpomoc, pokud se ta řešení budou vhodně doplňovat.
Takže referenční řešení…
Přesně tak. Je to pohled z té obchodní roviny. Ale i pouhým doporučováním řešíte samotnou edukaci trhu, co by firmy měly vůbec mít zavedeno k zajištění bezpečnosti. To je samo o sobě velmi důležité téma. Dnes stále častější hackerské aktivity mají jeden společný jmenovatel: nezkušeného uživatele/ředitele firmy, který neví, jak se má chovat na internetu, jak má přistupovat k mobilnímu zařízení, jak má řešit chaotickou situaci v průběhu útoku. A vytváří si riziko sám, třeba jenom to, že klikne na něco, co vypadá jako „legitimní“ obchodní nabídka v e-mailu, může být vyhodnoceno jako rizikové chování.
Kam zahraniční expanzi směřujete?
Do Severní Ameriky. Rozjíždíme tam spolupráci s novým distributorem. Česko i Evropa jsou z hlediska přijímání inovativních řešení až zpravidla tím druhým. První adopce se dějí v USA, a právě u nich chceme být. Early adopters v USA se nebojí zaplatit za nové technologie a vyzkoušet si je, jsou ochotní platit za služby ochrany bezpečnosti, berou je jako samozřejmou věc. To je zásadní rozdíl oproti mentalitě panující v Evropě.
Mnoho zákazníků dříve nekladlo až takový důraz na bezpečnost, to je trend posledních dvou let
Modus operandi byznysu Safeticy se nějak mění?
Konečně se začínáme dostávat k té bezpečnosti. Doposud jsme zjišťovali kontext prostředí, co se kde děje. A na základě toho, jak uživatel pracuje s daty – čím je otvírá, kam je ukládá - jsme schopni vyhodnotit rizikovost jeho chování a navrhnout mu adekvátní zabezpečení, úpravy. Mnoho zákazníků dříve nekladlo až takový důraz na bezpečnost, to je trend posledních dvou let, kdy i v Česku vnímáme „úniky dat“, a že si některý z jejich dřívějších zaměstnanců založil konkurenční firmu, čímž je poškozuje.
Doposud klienti využívali spíše monitoring – stačilo jim vědět, co se v jejich prostředí s daty děje: kdo je používá, kudy data tečou, jak jsou využívána. Nyní nově chtějí nastavit restrikce na procesy, anebo zabránit aby se soubory omylem neposlali kam nemají.
Jak se v kontextu zabezpečení vyvíjí v poslední době hodně podporovaná politika BYOD, kdy jsou některými šéfy zaměstnanci motivováni využívat k práci soukromá zařízení?
Uživatel samozřejmě musí souhlasit s tím, že mu jeho zařízení „nějak“ upravíme, třeba že mu tam nainstalujeme software, který mu zajistí určitou míru bezpečnosti, ale zároveň omezí některé úkony. Případně mu povolíme jen vybrané služby, které by mohl používat. Například u mobilních zařízení, pro která brzo představíme nové bezpečností aplikace pro android i iOS, si pak uživatel bude moci vybrat profil firma/FO.
Bezpečnost je vždy o určitém nastavení procesu, jak třeba pracovat s daty, jak je ukládat, jasně vymezit kanály předání a třeba i jejich recipienty.
Dá se kvantifikovat, o kolik peněz firmy přišly za poslední období kvůli ztrátám dat?
Na to vám asi nikdo neodpoví správně. Firmy se tím nerady chlubí. Třeba na schůzkách s námi to přiznají, že se jim už něco takového stalo, ale aby se dobrovolně přihlásily do nějakého „sčítání škod“, to těžko. Dalším aspektem je i to, že je obecně těžké dopady takových úniků vyčíslit. Kolik stojí firmu to, že její zaměstnanec ztratil notebook? Kolik stojí firmu to, že jí bývalý obchodní zástupce „vynesl“ kontakty?
V některých případech například konkurence přebrala díky incidentu část zákazníků, čím firma přišla o polovinu obratu. V jiných ale do škod musíme započítat také negativní medializaci a náklady na soudní spory. To se vyčísluje komplikovaněji. Až 70 procent úniků dat je zpravidla spojeno s účastí zaměstnance. Ještě více pak toto procento roste, když daný zaměstnanec firmu opouští. To ještě samo o sobě ale neznamená, že vás poškodí.
Jak se v Česku nejčastěji „vynáší“ či „kradou“ data?
Z našich anonymizovaných dat vyplývá, že nejčastějším nosičem je klasický flash disk, a to v devíti z desíti případů. Pak je to e-mail – setkali jsme se například s firmou, kde si její designéři standardně posílali svoji rozdělanou práci „ven“ z firmy na své soukromé e-maily. Chtěli ji třeba „jen“ doma v klidu dodělat, ale přitom porušili pravidla. Je samozřejmě rozdíl, jestli pracujete na zařízení, které patří firmě, která má určité zabezpečení serveru či řádný antivirový program, anebo si citlivá data pošlete do soukromého počítače, kde vám třeba děti klikají na každý odkaz, co na ně na webu vyskočí.
Na třetím místě jsou pak nejrůznější filesharové služby typu v česku známého Ulož.to. Zkuste si třeba tam zadat do vyhledávání hesla „výsledky výběrového řízení“ nebo „daňové přiznání“. Vyjedou vám stovky výsledků, z nichž kolem 40 procent ani není vůbec zaheslováno či jakkoliv jinak zabezpečeno.
Tím si asi lze udělat představu, jak mnohdy nezodpovědně lidé s daty nakládají. Chápu, proč to dělají. Třeba to v daný okamžik je nejjednodušší cesta, jak dostat data z bodu A do bodu B, ale už si neuvědomí, že ta data uvidí každý a kdokoliv si je může stáhnout.
Hacknutí tedy není tak časté?
Útoků „zvenčí“, například typu DDoS, je obecně víc, ale většinou mají menší dopad na ztrátu dat. DDoS zpravidla omezí dostupnost služeb, na jeho pozadí však může běžet skrytý útok cílený právě na firemní data. Například jsme měli klienta, který dlouhou dobu měl hackery vytvořená „zadní vrátka“ do svých databází. V okamžiku, kdy jsme je odhalili a „zavřeli“, tak na něj začaly chodit ddos útoky – s úmyslem způsobit další škodu.
Nejčastějším nosičem při úniku dat je klasický flash disk, a to v devíti z desíti případů
Logika vícestupňových přihlášení: má pro firmy význam, nebo je lepší mít klasickou obrannou skořápku ve formě pravidel procesů?
Čím víc vybudujete vrstev a pravidel zabezpečení, tím lépe. Je to pak hlavně o tom, aby tato opatření uživatele příliš neomezovala, aby mohl pracovat. Dvoufaktorovou autentizaci třeba rozhodně doporučuji. Útočníkovi výrazně stíží kompromitaci účtu uživatele.
Nezvyšuje to ale závislost jedince na mobilu, kam mu zpravidla chodí přihlašovací kódy sms či v app?
Můžete ještě mít jednoúčelovou klíčenku, která vám generuje unikátní kódy. Ale ano, závislost tam vzniká, třeba při autorizaci plateb. Na druhou stranu, dnes každé internetové bankovnictví používá tento způsob autentizace a popravdě řečeno, bankovnictví bez takového zabezpečení bych ani nepoužíval.
Biometrika obecně z hlediska skladování dat o občanech a uživatelích je správný krok?
Nástup čipů na ID kartách na toto vytvoří silný tlak. Pokud biometrika uložená na vašem telefonu či počítači bude ještě někde na cloudu na serveru, tak o to více budete muset řešit bezpečnost jak těchto serverů, tak datových přenosů na ně. Například na Filipínách nedávno uniklo 55 milionů identit včetně otisků prstů o voličích.
Brzo nastane doba, kdy dorazíte třeba k právníkovi či nějaké entitě, která bude zpracovávat informace o vás, tak první, na co se jich zeptáte, bude „Jak chráníte svá data?“. V dnešní digitalizaci k těmto situacím směřujeme.
A to i jak s informacemi pracují ti druzí. Například v rámci jednoho velkého hackerského útoku totiž lze vydělat přes 800 milionů dolarů. A tyto prostředky hackeři zpravidla investují do dalšího vývoje. I kdyby se všechny firmy na světě spojily, tak budou sotva schopny takovou sumu do vývoje zabezpečení proti takovémuto útoku investovat.
Jak se vyvíjí obecně zájem o tematiku bezpečnosti v Česku?
Už jsme o kousek dál, než před lety. Firmy si začínají uvědomovat rizika, bohužel však díky negativním zprávám a incidentům, které mají dopad na koncové uživatele či jejich fungování. Momentálně jsme ve fázi, kdy jakožto Safetica jsme schopní reagovat na potřeby nových klientů v určitých situacích v rámci několika hodin. Ty hlubší a komplexnější pak samozřejmě přichází časem.
