Čím viac sa náš reálny život prelína s virtuálnou realitou internetu a všadeprítomných komunikačných zariadení, tým sú naše aktivity zraniteľnejšie. Verejnosť tieto riziká vníma cez kauzy, akou bol nedávny únik chúlostivých fotiek celebrít svetového šoubiznisu. Alebo cez odpočúvacie škandály tajných služieb. No osobitne zraniteľné sú komerčné subjekty. Nejeden konkurent sa môže pokúsiť získať nečistú výhodu na trhu trebárs vďaka priemyselnej špionáži. Napáchané škody môžu byť nedozerné. V Bratislave sa 14. októbra bude konať konferencia o IT-bezpečnosti s názvom Dáta mimo ohrozenia. Pri tejto príležitosti sme oslovili troch pozvaných rečníkov s niekoľkými otázkami.
.najväčšie riziko človek
Systémové chyby technického charakteru; hackeri, najatí konkurenciou; mladí geekovia, ktorí si chcú nabúraním cudzích databáz len čosi dokazovať; alebo dokonca vlastní zamestnanci... Útok na firemné informačné systémy môže prísť z viacerých strán. Čo považujú experti na IT-bezpečnosť v súčasnosti za najzásadnejšie bezpečnostné riziká pre firmy? „V prvom rade ľudský faktor,“ hovorí šéf spoločnosti Citadelo Tomáš Zaťko. „V druhom to, že nasadzovanie nových technológií sa deje rýchlo a často bez zváženia bezpečnostných dopadov.“ Zaťko má dlhoročné skúsenosti s bezpečnostnými auditmi a budovaním bezpečných systémov. Ako etický hacker pomáhal zabezpečovať systémy veľkým hráčom vo finančnom sektore.
Podobný názor má aj Ondrej Krajč zo spoločnosti ESET: „Vraví sa, že sila systému je závislá od sily jeho najslabšieho článku. Osobne tak pre mňa stále samotný IT používateľ figuruje na popredných miestach bezpečnostných rizík. Často je tak sám sebe najväčšou hrozbou a ani o tom nemusí vedieť.“ Podľa Krajča je na tom firemné prostredie veľmi podobne. „Firmy väčšinou zvládajú úspešne pokryť technologické riziká, majú postupy pri zlyhaniach, procesy na obnovu, no sem-tam zabudnú na zamestnancov.“
Vojtech Németh, technologický riaditeľ spoločnosti VNET, upozorňuje, že na jednej strane možno pociťovať vo firmách potrebu implementovať čoraz viac IT riešení, a to v čoraz kratších časových intervaloch a na strane druhej sú tieto IT riešenia čoraz komplexnejšie: „Okrem už často proklamovaných problémov so samotnými užívateľmi IT systému, ako aj zabezpečením komplexného systému netreba podceniť ani kontinuitu IT prevádzky počas záťaže spôsobenej externými faktormi. Napríklad v súčasnosti mimoriadne rozšírenými hackerskými útokmi typu DDoS.“ Pod pojmom „DDoS útok“ sa rozumie snaha urobiť online službu nedostupnou tým, že sa zahltí obrovským množstvom požiadaviek.
Čo však môže urobiť zákazník, aby jeho dáta boli ochránené? S príchodom komplexných IT riešení a čoraz sofistikovanejšími útokmi sa už podľa Vojtecha Németha nestačí spoliehať len na jednoúčelové aplikácie typu antivírového programu alebo na používanie zložitých unikátnych hesiel: „V súčasnosti je naozaj nevyhnutné používať ucelené bezpečnostné riešenia od popredných dodávateľov. V prípade firiem odporúčam celú túto agendu outsourcovať partnerom s dostatočnými skúsenosťami v tomto odbore.“
Inou možnosťou je mať takéhoto človeka priamo vo firme. „Spoločnosti sa musia priebežne a systematicky venovať bezpečnosti,“ hovorí Tomáš Zaťko. „Musí byť jasný jeden človek, ktorý jej rozumie, stará sa o ňu a je za ňu zodpovedný. Ten musí dynamicky reagovať na to, čo sa deje v spoločnosti aj vo svete. Totiž opatrenia, ktoré sú efektívne dnes, nemusia byť efektívne zajtra.“
Lenže podľa Ondreja Krajča sa dá pracovať aj s čiastkovými prvkami bezpečnosti, ako sú napríklad heslá. Väčšina ľudí má viac internetových účtov. V dnešnej dobe je teda značný problém s heslami. Každý portál chce bezpečné heslo, ideálne vždy iné, rôznorodé. Ľudia však zvyknú svoje obľúbené heslá opakovať, tu do sociálnej siete, tam do účtovníctva a podobne. „Účtovníctvo verzus sociálna sieť je naznačenie prechodu medzi dvoma svetmi, pracovným a súkromným, kde jeden môže ohroziť ten druhý,“ vysvetľuje Krajč. „V dnešnej dobe je preto ten správny čas začať sa obzerať po viacstupňovej autentifikácii, ktorá čiastočne rieši určité problémy práve s prihlasovaním a heslami.“
.internet of things
Budúcnosť je neistá, no prezieravá firma sa už teraz pripravuje na ohrozenia, ktoré môžu prísť o niekoľko rokov. Aké výzvy v oblasti IT bezpečnosti prinesie predvídateľná budúcnosť? „Automatizácia zažíva svoj rozmach a tým pádom sa počítače inštalujú a budú inštalovať aj do vecí, ktoré pred pár rokmi boli nemysliteľné,“ vysvetľuje Ondrej Krajč. „Ľudia nebudú mať potrebu starať sa o bezpečnosť svojej chladničky či televízora,“ dopĺňa ho Tomáš Zaťko. „A to využijú útočníci.“
Avšak v oblasti IT-bezpečnosti platí podobné pravidlo, aké poznáme už po tisícročia z dejín vojenstva. Pokrok v útočných zbraniach je sprevádzaný napredovaním vo vývoji prostriedkov obrany. „Celkom isto budú IT riešenia čoraz rozsiahlejšie a tým pádom bude aj otázka ochrany týchto riešení čoraz komplikovanejšia,“ vysvetľuje Vojtech Németh. „Preto verím, že aj čoraz zložitejšie bezpečnostné produkty budú viacej integrované do nových služieb, poskytovaných prostredníctvom cloudov.“ Napokon zrejme vplávame do doby, keď bežný užívateľ ani nebude vnímať, že tieto bezpečnostné riešenia sú integrálnou súčasťou poskytovaných služieb.
.najväčšie riziko človek
Systémové chyby technického charakteru; hackeri, najatí konkurenciou; mladí geekovia, ktorí si chcú nabúraním cudzích databáz len čosi dokazovať; alebo dokonca vlastní zamestnanci... Útok na firemné informačné systémy môže prísť z viacerých strán. Čo považujú experti na IT-bezpečnosť v súčasnosti za najzásadnejšie bezpečnostné riziká pre firmy? „V prvom rade ľudský faktor,“ hovorí šéf spoločnosti Citadelo Tomáš Zaťko. „V druhom to, že nasadzovanie nových technológií sa deje rýchlo a často bez zváženia bezpečnostných dopadov.“ Zaťko má dlhoročné skúsenosti s bezpečnostnými auditmi a budovaním bezpečných systémov. Ako etický hacker pomáhal zabezpečovať systémy veľkým hráčom vo finančnom sektore.
Podobný názor má aj Ondrej Krajč zo spoločnosti ESET: „Vraví sa, že sila systému je závislá od sily jeho najslabšieho článku. Osobne tak pre mňa stále samotný IT používateľ figuruje na popredných miestach bezpečnostných rizík. Často je tak sám sebe najväčšou hrozbou a ani o tom nemusí vedieť.“ Podľa Krajča je na tom firemné prostredie veľmi podobne. „Firmy väčšinou zvládajú úspešne pokryť technologické riziká, majú postupy pri zlyhaniach, procesy na obnovu, no sem-tam zabudnú na zamestnancov.“
Vojtech Németh, technologický riaditeľ spoločnosti VNET, upozorňuje, že na jednej strane možno pociťovať vo firmách potrebu implementovať čoraz viac IT riešení, a to v čoraz kratších časových intervaloch a na strane druhej sú tieto IT riešenia čoraz komplexnejšie: „Okrem už často proklamovaných problémov so samotnými užívateľmi IT systému, ako aj zabezpečením komplexného systému netreba podceniť ani kontinuitu IT prevádzky počas záťaže spôsobenej externými faktormi. Napríklad v súčasnosti mimoriadne rozšírenými hackerskými útokmi typu DDoS.“ Pod pojmom „DDoS útok“ sa rozumie snaha urobiť online službu nedostupnou tým, že sa zahltí obrovským množstvom požiadaviek.
Čo však môže urobiť zákazník, aby jeho dáta boli ochránené? S príchodom komplexných IT riešení a čoraz sofistikovanejšími útokmi sa už podľa Vojtecha Németha nestačí spoliehať len na jednoúčelové aplikácie typu antivírového programu alebo na používanie zložitých unikátnych hesiel: „V súčasnosti je naozaj nevyhnutné používať ucelené bezpečnostné riešenia od popredných dodávateľov. V prípade firiem odporúčam celú túto agendu outsourcovať partnerom s dostatočnými skúsenosťami v tomto odbore.“
Inou možnosťou je mať takéhoto človeka priamo vo firme. „Spoločnosti sa musia priebežne a systematicky venovať bezpečnosti,“ hovorí Tomáš Zaťko. „Musí byť jasný jeden človek, ktorý jej rozumie, stará sa o ňu a je za ňu zodpovedný. Ten musí dynamicky reagovať na to, čo sa deje v spoločnosti aj vo svete. Totiž opatrenia, ktoré sú efektívne dnes, nemusia byť efektívne zajtra.“
Lenže podľa Ondreja Krajča sa dá pracovať aj s čiastkovými prvkami bezpečnosti, ako sú napríklad heslá. Väčšina ľudí má viac internetových účtov. V dnešnej dobe je teda značný problém s heslami. Každý portál chce bezpečné heslo, ideálne vždy iné, rôznorodé. Ľudia však zvyknú svoje obľúbené heslá opakovať, tu do sociálnej siete, tam do účtovníctva a podobne. „Účtovníctvo verzus sociálna sieť je naznačenie prechodu medzi dvoma svetmi, pracovným a súkromným, kde jeden môže ohroziť ten druhý,“ vysvetľuje Krajč. „V dnešnej dobe je preto ten správny čas začať sa obzerať po viacstupňovej autentifikácii, ktorá čiastočne rieši určité problémy práve s prihlasovaním a heslami.“
.internet of things
Budúcnosť je neistá, no prezieravá firma sa už teraz pripravuje na ohrozenia, ktoré môžu prísť o niekoľko rokov. Aké výzvy v oblasti IT bezpečnosti prinesie predvídateľná budúcnosť? „Automatizácia zažíva svoj rozmach a tým pádom sa počítače inštalujú a budú inštalovať aj do vecí, ktoré pred pár rokmi boli nemysliteľné,“ vysvetľuje Ondrej Krajč. „Ľudia nebudú mať potrebu starať sa o bezpečnosť svojej chladničky či televízora,“ dopĺňa ho Tomáš Zaťko. „A to využijú útočníci.“
Avšak v oblasti IT-bezpečnosti platí podobné pravidlo, aké poznáme už po tisícročia z dejín vojenstva. Pokrok v útočných zbraniach je sprevádzaný napredovaním vo vývoji prostriedkov obrany. „Celkom isto budú IT riešenia čoraz rozsiahlejšie a tým pádom bude aj otázka ochrany týchto riešení čoraz komplikovanejšia,“ vysvetľuje Vojtech Németh. „Preto verím, že aj čoraz zložitejšie bezpečnostné produkty budú viacej integrované do nových služieb, poskytovaných prostredníctvom cloudov.“ Napokon zrejme vplávame do doby, keď bežný užívateľ ani nebude vnímať, že tieto bezpečnostné riešenia sú integrálnou súčasťou poskytovaných služieb.
Ak ste našli chybu, napíšte na web@tyzden.sk.