PŘIPOMEŇTE SI PRVNÍ DÍL: Kdo je to IT auditor a co vlastně dělá?

V dnešní době už ve firmách neexistuje snad žádný důležitý proces, do něhož by nebyly zapojeny informační technologie. Ty pochopitelně významně zefektivňují veškeré činnosti a umožňují rychlou a snadnou komunikaci uvnitř společnosti i směrem ven, současně ale mohou být bezpečnostní hrozbou.

„Zdálo by se, že v dnešní době už firmy se všemi bezpečnostními riziky počítají, ale praxe ukazuje, že ne vždy tomu tak je,“ připomíná Igor Gricinko z Deloitte, který má – společně s dalšími kolegy – na starosti tým IT auditorů. S jakými nejčastějšími bezpečnostními riziky se naši IT auditoři setkávají?

5 největších hrozeb z každodenní praxe IT auditorů

1. Nedostatečně silná hesla

Slabá hesla stále používá velká část firem. Převážná většina společností také ještě nedospěla k tomu, že by pro přihlášení do počítače používala nějakou silnější autentizační metodu, například klíčenku nebo kartu. Pořád funguje stará metoda „jméno a heslo“.

„Administrátoři nastavují špatnou politiku hesel z vlastního pohodlí, hesel je vícero a špatně se pamatují, proto používají hesla krátká a nemění je tak často, jak by měli,“ upozorňuje Ivan Voříšek.

2. Výstupní proces – odchod zaměstnance

Téměř u každého klienta se IT auditoři setkávají s nedotaženým procesem zablokování přístupů odcházejícího zaměstnance u firemních informačních systémů. Je velmi časté, že sice jeden přístup zablokují, ty zbývající mu ale ponechají.

„Říkáme tomu spící účty, jinak řečeno identity lidí, kteří jsou stále aktivní v počítačových systémech, ale fyzicky ve firmě už nepracují. To s sebou pochopitelně nese velká rizika podvodu,“ připomíná Igor Gricinko a doplňuje: „Kdyby chtěl někdo ve společnosti spáchat finanční podvod, mohl by k tomu takovýto spící účet použít. Podezření by pak padlo na bývalého zaměstnance, protože zdánlivě on provedl tuto aktivitu.“

3. Nekontrolovaný přístup dodavatelů IT služeb do systémů

Značné riziko s sebou nese neopatrný přístup k outsourcingu IT služeb. V dnešní době jde již o zcela běžný jev, naprostá většina firem si nechává alespoň určitou část IT prostředí spravovat externě. „Často pak mají tito dodavatelé, v podstatě firmy z ulice, vzdálený přístup do firemních systémů permanentně. Přes internet se mohou připojit odkudkoliv – mohou třeba ležet na Havaji – a zasahovat do systémů, aniž by o tom klient věděl,“ nastiňuje reálné nebezpečí Igor Gricinko.

Klienti jsou zkrátka důvěřiví a spoléhají jen na smlouvu, kterou s dodavatelem uzavřeli, a na loajalitu lidí. „Z našeho pohledu smlouva nic neřeší,“ varuje Ivan Voříšek a dodává: „To, že se klient spoléhá na smlouvu, mu data nevrátí. A nevrátí mu to především konkurenční výhodu, o kterou přijde, když ta data někdo odcizí a zveřejní je. Pak se sice může soudit, ale jeho byznys je v podstatě v tu chvíli položený.“

Výmluvy, výmluvy a zase ty výmluvy…
Jak firmy odůvodňují nedostatečnou ochranu IT systémů?

• Nám se to přece nemůže stát!
• Co by u nás asi tak ukradli?
• Proč by někdo cílil na takhle malou firmu?
• Máme na pracovišti dobré vztahy, všichni se znají, tak proč by někdo z nich něco vynášel…
• Když od nás někdo odchází, jde v dobrém, nemá důvod, aby nám posléze škodil…

4. Nefungující monitoring činností uživatelů v systémech

Pro případ, že jsou data firmě skutečně odcizena a do hry tak vstupuje soudní spor s dodavatelem IT služeb, je nezbytné mít po ruce důkazy. Ty lze opatřit relativně snadno – díky monitoringu činností uživatelů v systémech. Jenže to právě bývá mnohdy kámen úrazu.

„Takzvané logování přístupů mají totiž klienti často vypnuté, obvykle z toho důvodu, že zatěžuje chod informačního systému a generuje velké množství dat, která stejně nikdo pravidelně nekontroluje. My jim pak říkáme, že v tom případě, pokud by chtěli podat trestní oznámení, nebudou mít relevantní důkazy o tom, že do jejich systémů někdo vstupoval,“ konstatuje Igor Gricinko.

5. Změnové řízení ve firmě v rámci IT

Změnové řízení obecně přináší do IT velké množství rizik. Byznys však v reakci na měnící se potřeby vyžaduje neustále nějaké změny a úpravy v IT systémech a v okamžiku, kdy se změna provede nesprávně, může selhat chod samotného IT systému či být narušena integrita dat s následným dopadem na úplně celou firmu a její obchodní procesy. A opět se dostáváme k IT dodavatelům. Ti se starají o systémy a firmy jim musejí důvěřovat, že všechno, co v systémech změní a upraví, je pouze to požadované, autorizované a předem domluvené.

Mnohdy se totiž stává, že firma nemá znalce daného systému, který by byl schopen dodavateli oponovat. „Společnost prostě outsourcuje správu, vývoj změn a úpravy systémů třetí stranou. Tato třetí strana dodá zdrojový kód, firma ho akceptuje, pustí do produkčního režimu a pak už si to žije vlastním životem,“ říká Ivan Voříšek a Igor Gricinko dále vysvětluje: „Klient ale neví, jestli je systém děravý, jestli má nějaká zadní vrátka, jestli odcházejí data, jak funguje logika systémů, jestli se změnila, nebo nezměnila. A my pak docházíme například k tomu, že IT systémy najednou vykazují nějaké odchylky: odesílání plateb, nadbytečné oprávnění, případně systém obchází standardní kontroly, které dříve měl a nyní je nemá.“

Rady Deloitte IT auditorů na závěr:

• Měňte hesla ve stanoveném časovém horizontu, používejte dostatečně silná hesla z kombinace malých a velkých písmen, čísel a dalších znaků.
• Nezapomeňte odchozím zaměstnancům včas zablokovat přístup do všech informačních systémů a ke všem informačním zdrojům.
• Nastavte si s dodavateli IT služeb konkrétní pravidla pro přístup do vašich systémů, neposkytujte možnost permanentního a nekontrolovaného přístupu bez vašeho vědomí.
• Mějte vždy zapnuté logování veškerých citlivých činností a pravidelně monitorujte činnosti uživatelů v informačních systémech.
• Spolupracujte jen s prověřenými a důvěryhodnými IT společnostmi.