Technologie  Deloitte živě 

Firmy stále nemají dostatečně zabezpečené citlivé údaje, silná hesla ani vyřešená rizika spojená s odchodem zaměstnanců

Nedostatečně chráněná data a přístupy do systémů jsou jako časovaná bomba a může být jen otázkou času, než se někdo rozhodne ji odpálit. Důsledky? Ztráta klíčových dat, vyzrazení obchodních tajemství, know-how i citlivých osobních údajů. To jsou reálná rizika, která – kromě pošramocení pověsti i finanční ztráty – mohou mít pro společnost často až likvidační důsledky. Jenže ne všechny firmy mají nastavenou červenou kontrolku. Přinášíme vám druhý díl o IT auditu a lidech, kteří za ním v Deloitte stojí, a pět nejčastějších bezpečnostních rizik.

PŘIPOMEŇTE SI PRVNÍ DÍL: Kdo je to IT auditor a co vlastně dělá?

V dnešní době už ve firmách neexistuje snad žádný důležitý proces, do něhož by nebyly zapojeny informační technologie. Ty pochopitelně významně zefektivňují veškeré činnosti a umožňují rychlou a snadnou komunikaci uvnitř společnosti i směrem ven, současně ale mohou být bezpečnostní hrozbou.

„Zdálo by se, že v dnešní době už firmy se všemi bezpečnostními riziky počítají, ale praxe ukazuje, že ne vždy tomu tak je,“ připomíná Igor Gricinko z Deloitte, který má – společně s dalšími kolegy – na starosti tým IT auditorů. S jakými nejčastějšími bezpečnostními riziky se naši IT auditoři setkávají?

5 největších hrozeb z každodenní praxe IT auditorů

1. Nedostatečně silná hesla

Slabá hesla stále používá velká část firem. Převážná většina společností také ještě nedospěla k tomu, že by pro přihlášení do počítače používala nějakou silnější autentizační metodu, například klíčenku nebo kartu. Pořád funguje stará metoda „jméno a heslo“.

„Administrátoři nastavují špatnou politiku hesel z vlastního pohodlí, hesel je vícero a špatně se pamatují, proto používají hesla krátká a nemění je tak často, jak by měli,“ upozorňuje Ivan Voříšek.

2. Výstupní proces – odchod zaměstnance

Téměř u každého klienta se IT auditoři setkávají s nedotaženým procesem zablokování přístupů odcházejícího zaměstnance u firemních informačních systémů. Je velmi časté, že sice jeden přístup zablokují, ty zbývající mu ale ponechají.

„Říkáme tomu spící účty, jinak řečeno identity lidí, kteří jsou stále aktivní v počítačových systémech, ale fyzicky ve firmě už nepracují. To s sebou pochopitelně nese velká rizika podvodu,“ připomíná Igor Gricinko a doplňuje: „Kdyby chtěl někdo ve společnosti spáchat finanční podvod, mohl by k tomu takovýto spící účet použít. Podezření by pak padlo na bývalého zaměstnance, protože zdánlivě on provedl tuto aktivitu.“

3. Nekontrolovaný přístup dodavatelů IT služeb do systémů

Značné riziko s sebou nese neopatrný přístup k outsourcingu IT služeb. V dnešní době jde již o zcela běžný jev, naprostá většina firem si nechává alespoň určitou část IT prostředí spravovat externě. „Často pak mají tito dodavatelé, v podstatě firmy z ulice, vzdálený přístup do firemních systémů permanentně. Přes internet se mohou připojit odkudkoliv – mohou třeba ležet na Havaji – a zasahovat do systémů, aniž by o tom klient věděl,“ nastiňuje reálné nebezpečí Igor Gricinko.

Klienti jsou zkrátka důvěřiví a spoléhají jen na smlouvu, kterou s dodavatelem uzavřeli, a na loajalitu lidí. „Z našeho pohledu smlouva nic neřeší,“ varuje Ivan Voříšek a dodává: „To, že se klient spoléhá na smlouvu, mu data nevrátí. A nevrátí mu to především konkurenční výhodu, o kterou přijde, když ta data někdo odcizí a zveřejní je. Pak se sice může soudit, ale jeho byznys je v podstatě v tu chvíli položený.“

Výmluvy, výmluvy a zase ty výmluvy…
Jak firmy odůvodňují nedostatečnou ochranu IT systémů?

  • Nám se to přece nemůže stát!
  • Co by u nás asi tak ukradli?
  • Proč by někdo cílil na takhle malou firmu?
  • Máme na pracovišti dobré vztahy, všichni se znají, tak proč by někdo z nich něco vynášel…
  • Když od nás někdo odchází, jde v dobrém, nemá důvod, aby nám posléze škodil…

4. Nefungující monitoring činností uživatelů v systémech

Pro případ, že jsou data firmě skutečně odcizena a do hry tak vstupuje soudní spor s dodavatelem IT služeb, je nezbytné mít po ruce důkazy. Ty lze opatřit relativně snadno – díky monitoringu činností uživatelů v systémech. Jenže to právě bývá mnohdy kámen úrazu.

„Takzvané logování přístupů mají totiž klienti často vypnuté, obvykle z toho důvodu, že zatěžuje chod informačního systému a generuje velké množství dat, která stejně nikdo pravidelně nekontroluje. My jim pak říkáme, že v tom případě, pokud by chtěli podat trestní oznámení, nebudou mít relevantní důkazy o tom, že do jejich systémů někdo vstupoval,“ konstatuje Igor Gricinko.

5. Změnové řízení ve firmě v rámci IT

Změnové řízení obecně přináší do IT velké množství rizik. Byznys však v reakci na měnící se potřeby vyžaduje neustále nějaké změny a úpravy v IT systémech a v okamžiku, kdy se změna provede nesprávně, může selhat chod samotného IT systému či být narušena integrita dat s následným dopadem na úplně celou firmu a její obchodní procesy. A opět se dostáváme k IT dodavatelům. Ti se starají o systémy a firmy jim musejí důvěřovat, že všechno, co v systémech změní a upraví, je pouze to požadované, autorizované a předem domluvené.

Mnohdy se totiž stává, že firma nemá znalce daného systému, který by byl schopen dodavateli oponovat. „Společnost prostě outsourcuje správu, vývoj změn a úpravy systémů třetí stranou. Tato třetí strana dodá zdrojový kód, firma ho akceptuje, pustí do produkčního režimu a pak už si to žije vlastním životem,“ říká Ivan Voříšek a Igor Gricinko dále vysvětluje: „Klient ale neví, jestli je systém děravý, jestli má nějaká zadní vrátka, jestli odcházejí data, jak funguje logika systémů, jestli se změnila, nebo nezměnila. A my pak docházíme například k tomu, že IT systémy najednou vykazují nějaké odchylky: odesílání plateb, nadbytečné oprávnění, případně systém obchází standardní kontroly, které dříve měl a nyní je nemá.“

Rady Deloitte IT auditorů na závěr:

  • Měňte hesla ve stanoveném časovém horizontu, používejte dostatečně silná hesla z kombinace malých a velkých písmen, čísel a dalších znaků.
  • Nezapomeňte odchozím zaměstnancům včas zablokovat přístup do všech informačních systémů a ke všem informačním zdrojům.
  • Nastavte si s dodavateli IT služeb konkrétní pravidla pro přístup do vašich systémů, neposkytujte možnost permanentního a nekontrolovaného přístupu bez vašeho vědomí.
  • Mějte vždy zapnuté logování veškerých citlivých činností a pravidelně monitorujte činnosti uživatelů v informačních systémech.
  • Spolupracujte jen s prověřenými a důvěryhodnými IT společnostmi.
IT audit
Deloitte živě 

Expanze do zahraničí pohledem financí: co řeší technologické firmy?

Finanční základy každé společnosti jsou stejné, v případě technologických firem jde ale hlavně o to, že už od začátku mají mezinárodní ambice. Tím pádem proti společnostem z jiných oborů rostou rychleji. To klade zvýšené nároky na obsluhu financí. Jak vyřešit různé měny, platební chování zákazníků či kurzové riziko, když firma působí hned na několika zahraničních trzích? Pár tipů přináší Lukáš Martoš, vedoucí oddělení Cash managementu pro region střední Evropy v Citi. 

8. 12. 2021
Deloitte živě 

Petr Bednařík z DataSentics: Firmy se ocitají v době cloudové, AI a strojové učení jsou základem

Mezi společnostmi dlouhodobě roste zájem o personalizovaná technologická řešení pro dílčí podnikové procesy. Ne vždy je však vývoj takové unikátní platformy jednoduchou záležitostí. Zejména firmy z oblastí bankovnictví a pojišťovnictví, které pracují s citlivými daty klientů, vyžadují ze strany dodavatelů zvláště komplexní a obezřetný přístup. Jaké technologie jsou v rámci modernizace firem nejvíce využívány? Zeptali jsme se Petra Bednaříka, zakladatele největšího českého machine learning studia DataSentics, které uspělo v žebříčku Deloitte Technology Fast 50 a stalo se osmou nejrychleji rostoucí technologickou firmou ve střední Evropě. 

8. 12. 2021
Technologie 

Distribuce strategie je 80 % nákladů supply chainu

Přemístit věci z bodu A do bodu B. Už na škole nás dokázala tato úloha občas pěkně potrápit, a to jsme zdaleka neměli v příkladu tolik proměnných, jako se jich vyskytuje při řízení dodavatelského řetězce. Design distribuční strategie je nejdůležitější etapou logistiky, která může ovlivnit až 80 % nákladů supply chainu. Tentokrát jsme s našimi klienty debatovali nad tvorbou distribuční strategie. 

7. 12. 2021