Za únikem citlivých informací stojí nejčastěji zaměstnanci
28. 6. 2011 13:26 Rubrika: Tiskové zprávy
Za krádeží a únikem citlivých informací stojí nejčastěji zaměstnanci
TISKOVÁ ZPRÁVA - v původním znění
Firmy utrácejí miliony za bezpečnostní informační systémy, ale vlastní zaměstnance si neohlídají. Ti způsobí úmyslně či z nedbalosti až 75 % případů úniku citlivých dat.
Tři čtvrtiny případů úniku či ztráty citlivých firemních informací jsou způsobeny zaměstnanci dotčených firem, nikoli útokem zvenčí. „Většina úniků dat informací z firem je důsledkem nedbalosti nebo zlovolného jednání zaměstnanců, kteří svým laxním přístupem působí společnostem milionové škody,“ říká Ivan Janoušek, soudní znalec v oblasti informačních technologií ze znaleckého ústavu APOGEO Esteem. Úniky dat nejčastěji způsobují zaměstnanci svojí nedbalostí (50 %), ztrátou datových nosičů (13 %) či krádeží (12 %). Teprve pak následují útoky hackerů (14 %). Toto a další zjištění vyplývá z auditů několika set firem, které během posledních tří let realizoval tým expertů nyní sdružených v rámci znaleckého ústavu APOGEO Esteem.
Mezi nejčastější nedbalostní důvody úniku či ztráty dat patří nedostatečné proškolení zaměstnanců či chybějící dokumentace, neaktualizované informační systémy a nesprávně nastavená přístupová oprávnění. „Paradoxem je, že čím více se firmy snaží chránit svá data zejména proti útokům zvenčí, tím větší hrozbu představují interní bezpečnostní rizika. Například citlivá účetní data lze snadno získat předstíranou rutinní kontrolou počítače v účetním oddělení,“ varuje Ivan Janoušek.
Úniky citlivých informací mohou vést k poškození dobrého jména firmy, ztrátě konkurenčních výhod, ztrátě zákazníků či vést k sankcím za nedodržování uzavřených dohod. „Odhadujeme, že jen v loňském roce se potýkalo s únikem citlivých informací přes 28 procent tuzemských firem,“ dodává Ivan Janoušek.
Nejvíce se kradou informace použitelné v konkurenčním boji
Pravděpodobnost cílené krádeže firemních dat roste s citlivostí uchovávaných informací. Firmy disponující velmi choulostivými daty čelí v průměru šestinásobnému riziku jejich úniku než ty, které informace klasifikované jako „tajné“ neuchovávají. „Nejčastěji se problém týká firem v bankovnictví a ve vyspělých technologických odvětvích, například v leteckém průmyslu, ve zbrojařství, v elektrotechnickém průmyslu nebo v poradenství,“ vyjmenovává Janoušek.
Jaké typy dat se nejčastěji kradou nebo zneužívají:
(zdroj: APOGEO Esteem, 2011)
Typ informací: Zneužití
Informace o hospodaření firem: Nelegální obchodování s akciemi
Údaje o bankovních kartách: Krádež peněz
Informace o nabídkách ve výběrových řízeních: Dosažení vítězství ve výběrových řízeních
Účetní data: Přesměrování peněžních toků, defraudace
Obchodní tajemství: Konkurenční výhoda
Bez ohledu na obor jsou nejžádanějšími a nejcennějšími daty informace, které se dají rychle zpeněžit nebo využít v konkurenčním boji. Největší hrozbu představují zaměstnanci, kteří hodlají z firmy odejít či jsou ve výpovědní lhůtě. „Ve finančním vyjádření je interní krádež dat desetkrát nákladnější, namísto statisíců jsou v sázce řádově miliony korun,“ varuje Ivan Janoušek ze znaleckého ústavu APOGEO Esteem.
Experti v této souvislosti varují před „bezpečnostními mýty“, kterým často manažeři hlavně středních a menších společností podléhají. „Jedním z nich je přesvědčení, že na ochranu dat stačí sofistikované bezpečnostní systémy. Ty jsou sice důležité, ale je třeba vyloučit i řadu interních slabin a dát je do kontextu s pracovněprávní agendou firmy. Jedině tak je možné únikům zamezit, případně vymáhat úhradu škod způsobených porušením bezpečnostních pravidel,“ doporučuje Jan Vojtěch Binder, expert znaleckého ústavu APOGEO Esteem.
Zabránit nezodpovědnému chování zaměstnanců a tím i úniku, ztrátě či zneužití citlivých dat lze pouze zavedením pravidel, jejichž dodržování je nekompromisně vymáháno. Firmy by se měly podle analýzy APOGEO Esteem držet ověřeného bezpečnostního mixu (viz graf).
„I ta nejlepší bezpečnostní pravidla jsou k ničemu, pokud zaměstnanec nechá ležet své heslo u počítače nebo si z domova přinese zavirované soubory na výměnném disku. Podle našich zkušeností například jen 23 % podniků aktivně kontroluje připojení výměnných médií,“ vyjmenovaná Ivan Janoušek.
Opačným extrémem je až příliš přísná kontrola zaměstnanců. Prostředí „Velkého bratra“ řadu lidí demotivuje a může být i v rozporu se zákony na ochranu osobních údajů. „Typickým příkladem jsou nezákonné kontroly zaměstnanců, například prostřednictvím kamerových systémů,“ říká Ivan Janoušek, soudní znalec v oblasti informačních technologií ze znaleckého ústavu APOGEO Esteem, a uzavírá: „Firmy by proto měly svá bezpečnostní opatření sladit i s pracovněprávní agendou firmy, normami na ochranu informací a platnou legislativou.“