Bývalý zaměstnanec jedné z významných brněnských počítačových firem je podezřelý, že v podniku odcizil data a nabídl je konkurenci. Podle policie nabídl nelegálně zkopírované citlivé informace firmám v USA a v České republice za čtyři miliony korun. Pokud by se data dostala ke konkurenčním firmám, brněnské společnosti by vznikla škoda v hodnotě 80 milionů korun.
Tento případ jasně ukazuje problém, na který již dlouhodobě české podniky upozorňujeme. Firmy nedostatečně chrání svá data a pozornost ochraně interních informací věnují až ve chvíli, kdy dojde k jejich krádeži. To už je samozřejmě pozdě. Nejčastější výmluvou, proč firmy nezabezpečují data, je nedostatek financí. Přitom hodnota elektronických dat v podniku většinou dosahuje desítek až stovek milionů korun. To je mnohonásobně více než vybavení kanceláře, které často podniky chrání zabezpečovací technikou.
Největším rizikem jsou externí disky a paměťová média
Nejvíce jsou ohrožena data uložená na externích zařízeních, které mohou zaměstnanci jednoduše vynést z podniku a nelegálně zkopírovat. Podle našich odhadů je až 75 % důležitých informací v organizacích uloženo právě na přenosných discích či externích harddiscích, nad kterými nemají podniky žádnou kontrolu. Využití takto nechráněného kanálu k vynesení dat z podniku je nejjednodušší a pro útočníka nejbezpečnější. A to právě z důvodu, že použití těchto zařízení v podnicích nepodléhá žádné kontrole. Podniky by tedy měly minimalizovat možnost ukládání dat na přenosná zařízení a práce s nimi by měla být ve firmách přísně monitorována a řízena. Data uložená na těchto zařízeních by pak měla být šifrována. Jedině tak je možné zamezit tomu, aby se v případě ztráty dostala do nepovolených rukou.
Firma riskuje porušení zákona
Vedoucí management tuzemských firem si často neuvědomuje, že ztráta citlivých údajů nemusí přinést jen nevýhodu před konkurencí. Může znamenat také porušení obchodního zákoníku, který ve svých paragrafech ošetřuje ochranu obchodního tajemství a důvěrných dat z obchodního styku. Dále firmy riskují porušení zákona o ochraně osobních údajů v případě, že tyto údaje zpracovávají. Společnosti jsou totiž ze zákona povinny zajistit, aby nemohlo dojít k neoprávněnému přístupu k osobním údajům a citlivým informacím. Ty jsou v dnešní době nejčastěji uchovávány právě v elektronické podobě a přístup k nim mají mnozí zaměstnanci. Pokud organizace poruší zásady stanovené zákonem a svěřené citlivé údaje nedostatečně ochrání, hrozí jí pokuta až ve výši 10 milionů korun.
Autor komentáře: Martin Hanzal, výkonný ředitel společnosti SODATSW spol. s r. o. a člen pracovní skupiny NATO Industrial Advisory Group pro ochranu kybernetického prostoru.