Únik dat z cloudu: 5 způsobů, kterými zabráníte vynesení citlivých údajů

Už více než tři týdny má Úřad pro ochranu osobních údajů možnost u kterékoliv tuzemské společnosti prověřit dodržování GDPR. Směrnice z pera Evropského parlamentu vnesla do podnikatelských kruhů bez přehánění zmatek. Východisko mnoha podnikatelům nabídli provozovatelé cloudových uložišť, disponující náležitým zabezpečením. Jenže i v cloudu mohou být osobní data klientů v ohrožení.

Cloudy táhnou. Podle průzkumu společnosti Intel je pro výhradní správu firemních dat (včetně informací o zákaznících) v loňském roce využívalo okolo 62 % společností. Mnohé z nich své údaje přesunuly v reakci na blížící se začátek platnosti obecného nařízení o ochraně osobních údajů. A také pod příslibem správců cloudu o splnění podmínek, které GDPR klade.

Office 365 a G Suite své sliby podle všeho naplňují. Však se také o dodržení podmínek nařízení stará armáda špičkových právníků, techniků a bezpečnostních odborníků. Jenže i ze zabezpečených cloudových uložišť mohou data uniknout, často vinou nezodpovědných zaměstnanců.

Proti vynesení citlivých dat naštěstí existuje hned několik pojistek. Jejich zavedením se pojistíte proti úniku osobních dat – a hněvu úřadů i vlastních zákazníků.

Důvěřuj, ale prověřuj

Zabezpečit server proti bezpečnostním incidentům a v souladu s GDPR je drahé. Platí to jak pro „běžné“ firmy (ostatně proto se většina z nich na cloudová uložiště obrací), tak pro provozovatele cloudů.

Z výzkumu společnosti Intel vyplývá, že až neuvěřitelných 40 % poskytovatelů cloudových služeb si služby bezpečnostních odborníků nemůže dovolit. Své servery nedokáží náležitě ochránit, problémem je pro ně také okamžité potlačení útoku.

Z pohledu GDPR ale za ochranu osobních dat svých klientů odpovídáte i v případě, že se o jejich zabezpečenípodělíte se třetí stranou. Především máte povinnost zajistit, že uložiště s osobními daty nakládají podle zákona a brání jejich zneužití.

Prakticky se takový dozor provádí formou hloubkových auditů, které jsou dostupné i jako služby.

Změňte hesla

Slabé heslo je skulinou, kterou útočník hravě pronikne a citlivá data si jednoduše stáhne. Statistiky nejsou lichotivé; podle průzkumu společnosti Preempt 35 % uživatelů spoléhá na hesla, která používali v minulosti a u kterých je šance, že unikly z nezabezpečených serverů.

Dalších 65 % internetových uživatelů využívá slabá hesla; problémem je nedostatečná délka a absence speciálních znaků. Heslo sestávající z devíti písmen prolomí útočníci asi za 2 minuty, obsahuje-li ale speciální znak, stoupá tato doba na 2 hodiny. Hesla o dvanácti písmenech dešifrovací software odhalí po roce intenzivního testování. Stačí ale zakomponovat např. vykřičník a odhalení hesla zabere dnešním hackerským aplikacím až 200 let.

Robustní hesla (ideálně jednoduché fráze) s číslicemi a speciálními znaky tvoří základ zabezpečeného cloudu. Při používání Password Management aplikací (nástroj LastPass) si vaši spolupracovníci vystačí s jedním heslem; zbylá (třeba pro přístup do cloudu nebo k e-mailové schránce) vygeneruje specializovaný software – např. aplikaceDashlane.

Účinnou pojistkou proti prolomení hesla je dvoufázové ověření, které poskytují G Suite, Office 365 i další uložiště. Po zadání hesla uživatel svou totožnost prokazuje číselným kódem, doručeným sms zprávou.

Šifrujte

Šifrování osobních údajů zmírňuje negativní dopady úniku dat na renomé firmy. Bez klíče se k údajům nikdo nedostane, incident stačí nahlasit dozorovým úřadům; není třeba kontaktovat tzv. subjekty údajů – tedy osoby, jejichž informace unikly.

Téměř všechna cloudová uložiště data třetích stran šifrují, úroveň zabezpečení se ovšem liší. Kryptografické klíče jsou navíc často přístupné přes osobní účet. I zde slabé heslo představuje mimořádné bezpečnostní riziko. Vlastní šifrování tak představuje další obranný val, na kterém si útočníci vylámou zuby. O vhodných kryptografických nástrojích jsme psali v minulosti.

Zabezpečte firemní síťový perimetr

Vynesení dat z firemní sítě zabraňuje řešení Data Loss Prevention. Osobní a citlivé údaje dokáže vyhledat a označit; po zavedení příslušných opatření nástroj znemožní přesunout soubory s označenými daty mimo zabezpečený perimetr. Typicky se tak děje v případech, kdy se zaměstnanec „zapomene“ a citlivé dokumenty se snaží poslat e-mailem, vytisknout nebo přesunout na externí disk.

Nezapomeňte své spolupracovníky o zásadách nakládání s firemními daty poučit. Pokuty za případný únik jsou astronomické a odpovědnost nese i pracovník, který citlivé soubory vynesl. O zavedení a praktickém využití řešeníData Loss Prevention jsme psali tady.

Dejte pozor na koncová zařízení

Neštěstí nechodí po horách, ale po zařízeních vašich zaměstnanců. Ochrana firemní elektroniky robustními antiviry je už ve většině podniků naštěstí samozřejmostí, o smartphonech a osobních noteboocích vašich spolupracovníků se to ale říct nedá.

I tyto přístroje přitom bývají součástí jejich práce; někteří na nich prohlížejí firemní e-maily, jiným slouží jako „projektor“ virtuální plochy při práci z domova. Bezpečnostní opatření na elektronice zaměstnanců přitom bývají tristní.

Podle cloudové společnosti Druva navíc 76 % firem na přinesených zařízeních nevynucuje šifrování dat. Tímto slabým místem často proudí podniková data z jinak skvěle zabezpečených cloudových uložišť.

Pomohl vám článek? Pošlete jej i svým známým a nezapomeňte jej sdílet!