Technologie  Deloitte živě 

Firmy stále nemají dostatečně zabezpečené citlivé údaje, silná hesla ani vyřešená rizika spojená s odchodem zaměstnanců

Nedostatečně chráněná data a přístupy do systémů jsou jako časovaná bomba a může být jen otázkou času, než se někdo rozhodne ji odpálit. Důsledky? Ztráta klíčových dat, vyzrazení obchodních tajemství, know-how i citlivých osobních údajů. To jsou reálná rizika, která – kromě pošramocení pověsti i finanční ztráty – mohou mít pro společnost často až likvidační důsledky. Jenže ne všechny firmy mají nastavenou červenou kontrolku. Přinášíme vám druhý díl o IT auditu a lidech, kteří za ním v Deloitte stojí, a pět nejčastějších bezpečnostních rizik.

PŘIPOMEŇTE SI PRVNÍ DÍL: Kdo je to IT auditor a co vlastně dělá?

V dnešní době už ve firmách neexistuje snad žádný důležitý proces, do něhož by nebyly zapojeny informační technologie. Ty pochopitelně významně zefektivňují veškeré činnosti a umožňují rychlou a snadnou komunikaci uvnitř společnosti i směrem ven, současně ale mohou být bezpečnostní hrozbou.

„Zdálo by se, že v dnešní době už firmy se všemi bezpečnostními riziky počítají, ale praxe ukazuje, že ne vždy tomu tak je,“ připomíná Igor Gricinko z Deloitte, který má – společně s dalšími kolegy – na starosti tým IT auditorů. S jakými nejčastějšími bezpečnostními riziky se naši IT auditoři setkávají?

5 největších hrozeb z každodenní praxe IT auditorů

1. Nedostatečně silná hesla

Slabá hesla stále používá velká část firem. Převážná většina společností také ještě nedospěla k tomu, že by pro přihlášení do počítače používala nějakou silnější autentizační metodu, například klíčenku nebo kartu. Pořád funguje stará metoda „jméno a heslo“.

„Administrátoři nastavují špatnou politiku hesel z vlastního pohodlí, hesel je vícero a špatně se pamatují, proto používají hesla krátká a nemění je tak často, jak by měli,“ upozorňuje Ivan Voříšek.

2. Výstupní proces – odchod zaměstnance

Téměř u každého klienta se IT auditoři setkávají s nedotaženým procesem zablokování přístupů odcházejícího zaměstnance u firemních informačních systémů. Je velmi časté, že sice jeden přístup zablokují, ty zbývající mu ale ponechají.

„Říkáme tomu spící účty, jinak řečeno identity lidí, kteří jsou stále aktivní v počítačových systémech, ale fyzicky ve firmě už nepracují. To s sebou pochopitelně nese velká rizika podvodu,“ připomíná Igor Gricinko a doplňuje: „Kdyby chtěl někdo ve společnosti spáchat finanční podvod, mohl by k tomu takovýto spící účet použít. Podezření by pak padlo na bývalého zaměstnance, protože zdánlivě on provedl tuto aktivitu.“

3. Nekontrolovaný přístup dodavatelů IT služeb do systémů

Značné riziko s sebou nese neopatrný přístup k outsourcingu IT služeb. V dnešní době jde již o zcela běžný jev, naprostá většina firem si nechává alespoň určitou část IT prostředí spravovat externě. „Často pak mají tito dodavatelé, v podstatě firmy z ulice, vzdálený přístup do firemních systémů permanentně. Přes internet se mohou připojit odkudkoliv – mohou třeba ležet na Havaji – a zasahovat do systémů, aniž by o tom klient věděl,“ nastiňuje reálné nebezpečí Igor Gricinko.

Klienti jsou zkrátka důvěřiví a spoléhají jen na smlouvu, kterou s dodavatelem uzavřeli, a na loajalitu lidí. „Z našeho pohledu smlouva nic neřeší,“ varuje Ivan Voříšek a dodává: „To, že se klient spoléhá na smlouvu, mu data nevrátí. A nevrátí mu to především konkurenční výhodu, o kterou přijde, když ta data někdo odcizí a zveřejní je. Pak se sice může soudit, ale jeho byznys je v podstatě v tu chvíli položený.“

Výmluvy, výmluvy a zase ty výmluvy…
Jak firmy odůvodňují nedostatečnou ochranu IT systémů?

  • Nám se to přece nemůže stát!
  • Co by u nás asi tak ukradli?
  • Proč by někdo cílil na takhle malou firmu?
  • Máme na pracovišti dobré vztahy, všichni se znají, tak proč by někdo z nich něco vynášel…
  • Když od nás někdo odchází, jde v dobrém, nemá důvod, aby nám posléze škodil…

4. Nefungující monitoring činností uživatelů v systémech

Pro případ, že jsou data firmě skutečně odcizena a do hry tak vstupuje soudní spor s dodavatelem IT služeb, je nezbytné mít po ruce důkazy. Ty lze opatřit relativně snadno – díky monitoringu činností uživatelů v systémech. Jenže to právě bývá mnohdy kámen úrazu.

„Takzvané logování přístupů mají totiž klienti často vypnuté, obvykle z toho důvodu, že zatěžuje chod informačního systému a generuje velké množství dat, která stejně nikdo pravidelně nekontroluje. My jim pak říkáme, že v tom případě, pokud by chtěli podat trestní oznámení, nebudou mít relevantní důkazy o tom, že do jejich systémů někdo vstupoval,“ konstatuje Igor Gricinko.

5. Změnové řízení ve firmě v rámci IT

Změnové řízení obecně přináší do IT velké množství rizik. Byznys však v reakci na měnící se potřeby vyžaduje neustále nějaké změny a úpravy v IT systémech a v okamžiku, kdy se změna provede nesprávně, může selhat chod samotného IT systému či být narušena integrita dat s následným dopadem na úplně celou firmu a její obchodní procesy. A opět se dostáváme k IT dodavatelům. Ti se starají o systémy a firmy jim musejí důvěřovat, že všechno, co v systémech změní a upraví, je pouze to požadované, autorizované a předem domluvené.

Mnohdy se totiž stává, že firma nemá znalce daného systému, který by byl schopen dodavateli oponovat. „Společnost prostě outsourcuje správu, vývoj změn a úpravy systémů třetí stranou. Tato třetí strana dodá zdrojový kód, firma ho akceptuje, pustí do produkčního režimu a pak už si to žije vlastním životem,“ říká Ivan Voříšek a Igor Gricinko dále vysvětluje: „Klient ale neví, jestli je systém děravý, jestli má nějaká zadní vrátka, jestli odcházejí data, jak funguje logika systémů, jestli se změnila, nebo nezměnila. A my pak docházíme například k tomu, že IT systémy najednou vykazují nějaké odchylky: odesílání plateb, nadbytečné oprávnění, případně systém obchází standardní kontroly, které dříve měl a nyní je nemá.“

Rady Deloitte IT auditorů na závěr:

  • Měňte hesla ve stanoveném časovém horizontu, používejte dostatečně silná hesla z kombinace malých a velkých písmen, čísel a dalších znaků.
  • Nezapomeňte odchozím zaměstnancům včas zablokovat přístup do všech informačních systémů a ke všem informačním zdrojům.
  • Nastavte si s dodavateli IT služeb konkrétní pravidla pro přístup do vašich systémů, neposkytujte možnost permanentního a nekontrolovaného přístupu bez vašeho vědomí.
  • Mějte vždy zapnuté logování veškerých citlivých činností a pravidelně monitorujte činnosti uživatelů v informačních systémech.
  • Spolupracujte jen s prověřenými a důvěryhodnými IT společnostmi.
Ochrana IT systémů Bezpečnostní rizika Zabezpečení citlivých údajů Seriál IT audit IT audit
Technologie  Deloitte živě 

Internet věcí: energetické úspory, příklady z praxe. A stále častěji realita všedního dne

Internet věcí představuje užitečný nástroj, jak velmi efektivně a pohodlně kontrolovat a řídit spotřebu energie a ušetřit tak peníze a zároveň chránit životní prostředí. Přístroje, které spolu umí prostřednictvím internetu „komunikovat“ a přenášet data a které je současně možné vzdáleně ovládat a kontrolovat, se budou prosazovat stále častěji a ve větší míře. Že jste se s tím v praxi doposud nesetkali? Pojďte si přečíst o firmách, kde už je internet věcí téměř realitou všedního dne. 

18. 1. 2019
Deloitte živě 

Rok 2019 v Česku: Navzdory dalšímu utlumování ekonomického růstu stále nízká nezaměstnanost a rostoucí mzdy

V roce 2019 nás čeká mírné zpomalení hospodářského růstu, a platí to jak pro českou, tak pro globální ekonomiku. Není ale nutné panikařit, podle Davida Marka, hlavního ekonoma Deloitte, jde o běžný jev, k němuž musí v každém hospodářském cyklu dříve nebo později dojít. Co tedy rok 2019 přinese ve vybraných sledovaných ekonomických aspektech? 

16. 1. 2019