Je to ich ukradnutie inou osobou, ktorá by ich mohla použiť na svoj zisk. Zlodeji veľmi dobre poznajú hodnotu informácií.
Predstavte si prípad, keď sa farmaceutická spoločnosť snaží utajiť škodlivý účinok svojho lieku, ktorý sa začne prejavovať až po niekoľkých rokoch po jeho užívaní. Snažia sa nájsť východisko a liek potichu stiahnuť, aby sa vyhli žalobám. Zlodej sa však k tejto informácii dostane a ponúkne ju veľkému denníku či televízii za zaujímavú "províziu“. Tá, samozrejme, podobnú informáciu neodmietne a zverejní ju. Firma sa z toho pravdepodobne už nezotaví. Uviedli sme len jeden prípad, ktorý sa stal v zahraničí. V tomto prípade má únik informácie aj pozitívne stránky pre verejnosť, v tisícoch iných prípadov sa však dáta dostanú najmä k priamej konkurencii alebo sa použijú na vydieranie. Počet zlodejov, ktorí sa zameriavajú na odcudzovanie citlivých informácií, rastie zo dňa na deň, a preto treba byť pripravený svoje dáta ochrániť.
Bezpečnosť "až v prvom rade“
Ochrana informácií, obzvlášť tých citlivých, je dnes priorita číslo jeden. Strata napríklad finančných výkazov prestížnej spoločnosti by mala obrovské následky. Tieto informácie sú ukladané na disku počítačov či serverov, pričom sú chránené proti mnohým spôsobom útokov, ktoré by umožnili útočníkovi ich získať. K tej istej informácii však vedie mnoho ciest a väčšinou sa na niekoľko pri bezpečnostnom návrhu ochrany zabudne.
Spoločnosti ročne vynakladajú miliardy na ochranu svojich informácií. Nie vždy sú však poučení všetci zamestnanci o rizikách alebo sa objavia leniví administrátori počítačových systémov, ktorí bezpečnostnú latku nastavia príliš nízko. Dnes je najčastejším cieľom útočníkov webová stránka spoločnosti. Ak aj webová stránka neobsahuje žiadne zaujímavé skryté informácie, jej kompromitácia, napríklad vložením škodlivého kódu, môže znamenať pre spoločnosť katastrofu. Často sú však do rôznych priečinkov, ktoré sa priamo na stránke nezobrazujú, ukladané informácie, ktoré sú napríklad ponúkané firemným partnerom. Tie sú však niekedy odhaliteľné aj s pomocou vyhľadávača Google, ktorý zaindexuje aj skryté priečinky a tie je možné získať zadaním špecifických príkazov. Ak sú webové stránky spoločnosti prepracovanejšie a slúžia napríklad na komunikáciu s klientmi či outsourcingovými partnermi, získanie neautorizovaného prístupu útočníkom môže znamenať pre spoločnosť katastrofu.
Dvere k ďalším dverám
Podobne na tom je server spoločnosti, ktorý je napojený na internet. Jeho obrana je technicky dosť náročná a niekedy nie je možné úplne zabrániť jeho zraniteľnosti. V prípade, že by sa podarilo útočníkovi získať prístup na server, má pravdepodobne prístup aj do celej podnikovej siete (ak sú, samozrejme, prepojené), čím sa bude môcť dostať aj k najcitlivejším dátam. Po príklad nemusíme ísť ďaleko. U nás známa kauza NBÚ vznikla práve v dôsledku toho, že lajdáctvo administrátorov umožnilo hackerom vstup na jeden zo serverov, odkiaľ sa potom dokázali dostať do celej siete. Pravdepodobne však najväčšou slabinou spoločnosti sú jej zamestnanci. Tí sa riadia heslom: "Čo nie je zakázané, to je povolené,“ a často do svojich počítačov svojou nezodpovednosťou nevedomky stiahnu vírus či iný škodlivý kód. Zastarané domnienky, že ak do počítača dostanete vírus, ten sa už nejako prejaví, dnes neplatia. Najčastejším záškodníkom je taký, ktorý vytvára botnety (siete počítačov využívané napríklad pre vydieranie spoločností). Prioritou tohto malwaru je zostať na infikovanom počítači čo najdlhšie, čiže bez povšimnutia.
Neznamená to však nulovú aktivitu - ako si napríklad všimnete, že celá vaša aktivita na počítači sa postupne odosiela cez internet útočníkovi? Ak by to škodlivý kód robil postupne a nezahltil by pripojenie, nijako. Je to pritom jeden z najbežnejších postupov zlodejov v súčasnosti a úspešnosť sa pohybuje v percentách. Podľa štatistík zaplatili minulý rok spoločnosti zlodejom, ktorí ich vydierali, miliardy dolárov. V ochrane pred novodobým malwarom dnes síce pomáhajú komerčné nástroje, ktoré sa snažia zabrániť vstupu škodlivých programov do počítača, útočníci sú však často o krok vpredu.
Zdravím, prišiel som upratovať
Nie tak častým, zato oveľa sofistikovanejším spôsobom útoku, je fyzický prístup alebo infiltrácia spoločnosti. Dnes je známych niekoľko tisíc prípadov, keď sa útočník zamestnal v spoločnosti len s cieľom získania citlivých informácií. Len veľmi málo spoločností má vytvorené pravidlá, pri ktorých by musel prekonávať mnoho opatrení. Ak sa takýto hacker zamestná ako administrátor, jeho právomoci bývajú často neobmedzené. Ešte horšie však je, ak sa hacker zamestná ako pomocná sila či poslíček. Tým sa stane tou najmenej podozrievateľnou osobou, čo mu dáva obrovskú výhodu anonymity. Stačí len chvíľka nepozornosti jedného zo zamestnancov, neuzamknutie počítača pri pauze, a hacker sedí za počítačom, často úplne nepovšimnutý. Väčšinou zlý bezpečnostný návrh podnikovej siete umožňuje aj náhodným návštevám jednoduchý prístup do siete spoločnosti. Skúste vo svojej firme preveriť, či by si cudzí počítač po pripojení sa cez sieťovú zásuvku mohol pozrieť zdieľaný obsah z okolitých počítačov.
Čo najviac sťažiť
Aj napriek tomu, že dokonalá ochrana zväčša neexistuje, je vždy možné urobiť veľa pre to, aby bol prístup do systémov spoločnosti čo najťažší. Ako prvé je potrebné zvážiť všetky možné riziká vrátane zamestnancov, kolegov, rodinných príslušníkov. Rizikom je už len umožnenie vstupu škodlivého programu do počítača. Následne je potrebné vypracovať schémy a pravidlá prístupov k jednotlivým dátam, ktoré je dôležité rozdeliť na úrovne podľa ich dôležitosti. Prístupy musia poverení zamestnanci monitorovať a často vyhodnocovať. Bezpečnostné projekty nie je vhodné robiť vlastnoručne, ak nemáte dostatočné skúsenosti v odbore. Nechajte si ich vypracovať skúsenej spoločnosti, ktorá sa podobnými praktikami zaoberá. Samozrejme, je možné urobiť veľa aj za seba. V prvom rade pri používaní počítača a internetu sa riaďte zdravým rozumom. Neotvárajte neznáme prílohy ani odkazy. Používajte aktualizovanú verziu prehliadača, operačného systému, všetkých ostatných programov. Možností, ako sa chrániť, je mnoho, vždy si však vyžadujú dlhodobejšie plánovanie. Nikdy netreba podceňovať zamestnancov.
Strata? Radšej sa priznajte
Čo však spraviť, ak už došlo ku krádeži informácií? V prvom rade je potrebné zanalyzovať možné škody. Určite je dôležité upovedomiť každého, koho by sa únik informácií mohol priamo aj nepriamo týkať. Ak by boli zneužité akékoľvek informácie, právne následky by mohli byť katastrofálne. USA má už niekoľko rokov zákon, ktorý nariaďuje každej spoločnosti, ktorá sa stala obeťou hackera, okamžite tento prienik nahlásiť patričnému úradu. Ak sa mohli stať potenciálnymi obeťami zákazníci spoločnosti, musia byť upovedomení a musí im byť nahradená vzniknutá škoda spojená hlavne s výmenou dokladov a často i platobných kariet či bankových účtov.
Potrebné je aj dočasne odstaviť prístup k miestam, ktoré sa mohli stať potenciálnou obeťou útoku a snažiť sa okamžite nájsť zraniteľnosť, ktorú útočník zneužil. To si často vyžaduje prejsť obrovské kvantum rôznych systémových výpisov (logov). Ak ste dokázali zraniteľnosť odstrániť, je potrebné prejsť všetky časti serverov, či si útočník nenechal otvorené "vrátka“ a či náhodou na serveri nespustil kód, ktorý mu bude získavať ďalšie informácie alebo mu nabudúce uľahčí prístup. Nakoniec je nutné urobiť analýzu celého útoku a zistiť, či sa mu nedalo predísť. Je napríklad častou chybou, ak sú servery v primárnej podnikovej sieti, aj keď tam nemusia byť, a nie je dôvod ich tam mať. Najčastejšie je to webový server, ktorý by nemal mať žiadny prístup k podnikovej sieti, pretože ho nutne nepotrebuje. Webový server je najčastejším terčom útoku. Dobré je tiež oddeliť jednotlivých zamestnancov. Každé oddelenie potrebuje inú formu prístupu k jednotlivým dátam a je nežiaduce, aby napríklad sekretárka riaditeľa mala prístup k vývojovým serverom.
Milión ciest na únik
O citlivé dáta je možné prísť mnohými spôsobmi. Je len na vás, koľko z nich dokážete zachrániť. Strata takýchto dát vás môže hlboko zasiahnuť, a to hlavne z finančnej stránky. Preto netreba podceňovať bezpečnosť od návrhu až po striktné dodržiavanie. A aj keď budete možno považovaný za paranoika, nikdy si nepíšte heslá na lístočky prilepené k monitoru, nikdy nehovorte svoje heslo nikomu cudziemu, ba ani vlastnému kolegovi. Neviete, kedy ho môže využiť vo svoj prospech.