79 % společností tvrdí, že je na GDPR připraveno. Možná si na to najali jednu z firem, které tvrdí, že mají to pravé a jediné ultimátní řešení, které firmu kompletně ochrání. Takové ale neexistuje. Ochrana v rámci GDPR je mnohem více než jen systémy typu Data Loss Protection. Je o lidech. O jejich ochraně, ale i jejich kontinuálním vzdělávání.
Čísla z nedávného výzkumu společnosti Trend Micro[i], ukazují, kolik procent společností si neuvědomuje, jaká všechna data jsou brána jako osobní informace a spadají tedy pod GDPR. Až 42 % společností neví, že databáze emailových kontaktů pro účely marketingu také spadá pod GDPR a 67 % neví, že pokuta může být až 4 % z ročního obratu firmy.
Z výzkumu, který provedly společnosti Trend Micro a VMware v druhé polovině minulého roku vyplývá, že největší hrozbou jsou sami zaměstnanci, jejich nevzdělanost v oblasti internetové bezpečnosti, případně nepozornost či zbrklost. Nejvíce úniků dat vzniká chybou ze strany zaměstnance, na druhém místě jsou hackerské útoky a až na třetím je úmyslné zveřejnění dat.
Největšími hrozbami při nakládání s citlivými daty jsou:
- ransomware (po ukradení dat musíte zaplatit pod pohrůžkou jejich smazání či zveřejnění),
- internet of things, s nově přicházející érou chytrých zařízení, která získaná data ukládají do cloudu a jsou stále na síti se rozšiřují možnosti pro hackerský útok,
- útok skrze firemní emailovou schránku (BEC),
- malware na často navštěvovaných webových stránkách – tzv. watering hole attack.
Šifrovat, šifrovat, šifrovat
Základním předpokladem pro zajištění bezpečí je, že žádné zabezpečení není 100%. Hackeři jsou vždy o krok napřed a mají proti nám výhodu neomezeného času a relativně nízkých nákladů na přípravu. Důležité je, útok co nejdříve zaznamenat. K tomu slouží systémy k detekci útoku. Když už je škodlivý software a jeho stvořitel u nás, musíme ho co nejrychleji zastavit a následně zjistit případný rozsah škody. Takže potřebujeme systém, který je schopný zjistit rozsah škod v co nejkratším čase a v souladu s nařízením GDPR ho reportovat.
Dobrá prevence je těžká a skládá se hned z několika kroků. Tím snazším a přitom nejdůležitějším, je ochrana formou šifrování. Je potřeba soustředit se na data centra, tedy místa, kde jsou data uschována a zpracovávána. Šifrovat by se měly harddisky všech počítačů jako celky a u osob, u nichž se předpokládá, že budou vlastnit zranitelnější data, i samotné vybrané složky.
Mezi další základní body prevence by měly patřit bezpečnostní audity, aktualizování systémů a jejich opravy. Virtuální patchování (záplatování) nám zkrátí čas potřebný k nasazení oprav výrobce a chrání náš systém okamžitě, dávno před tím, než výrobce daného softwaru opravu zveřejní.
V neposlední řadě je třeba myslet na zaměstnance, jsou nejdůležitější a zároveň nejzranitelnější součástí společnosti. Všichni, kdo byť jen minimálně přijdou do styku s daty, by měli být proškoleni, jak zamezit útoku na počítači nebo mobilním zařízení. Třetí nejčastější hrozbou je útok skrze firemní emailovou schránku, jak mu předcházet? Na nabídky, které se netýkají pracovních záležitostí by uživatel vůbec klikat neměl. Co když přijde email, který se tváří jako zpráva od vašeho kolegy. Může obsahovat údajný link na „kompromitující fotku nadřízeného“, „seznam nejlepších zaměstnanců měsíce“, „fakturu“, a mnoho dalšího. Takové věrohodně vypadající emaily, mají na svědomí nemalé finanční ztráty. Každý takový email ale nese znaky, podle kterých lze určit, že jde o podvod.
Vzdělaní zaměstnanci
Mnohdy by prostě stačilo přemýšlet, seznam nejlepších zaměstnanců přece obvykle nechodí, z této adresy vám email ještě nikdy nepřišel, tohoto člověka neznáte, v textu toho emailu je překlep v místě, kde by ho majitel emailového účtu nikdy neudělal. Pokud vás takové věci napadnou, jsou to ukazatelé toho, že email je pochybný. K takovéto úvaze, ale nedojde zaměstnanec sám, jsme zpět u toho, že je třeba všechny pravidelně a kontinuálně vzdělávat.