Na ochranu dat uvnitř firmy už si řada společností zvykla. Jenže doba se změnila a vyžaduje opatření i pro data uložená v cloudech. Klíčové je proto ověřování uživatelů, kteří k nim mají přístup. A princip nulové důvěry, v jehož rámci se prověřuje každý požadavek.
Firemní data a dokumenty by měly zůstat na zabezpečených podnikových úložištích. Společnost Newton Media třeba využívá dvě oddělená datová centra, která navzájem fungují i jako záloha. „Když jedno vypadne, tak služby z druhého jsou dostupné a jsme schopni relativně rychle obnovit data ze zálohy. Všechna data zálohujeme a některá až na úroveň páskových mechanik,“ říká Aleš Kubík, CIO společnosti.
Jenže v dnešní době už často není možné data jen tak zavřít a střežit. Přistupujeme k nim odkudkoli, je třeba je stahovat, vytisknout, přeposlat...
Organizace každopádně musí mít přehled o tom, kam její zaměstnanci přistupují a jak používají firemní data. Měla by mít pravidla bezpečného chování, monitorovat je a vymáhat. „Pravidla máme na intranetu a některé části jsou povinně k přečtení,“ doplňuje Kubík.
Při ukládání a sdílení dat nyní raketově roste využívání cloudových služeb. A s rostoucím objemem sdílených dat roste i zájem útočníků. Pravidla i restrikce jsou nutné, ale úplný zákaz sdílení dokumentů odborníci na kyberbezpečnost podnikům nedoporučují. Zaměstnanci by si v takovém případě pravděpodobně hledali vlastní cesty a posílali dokumenty přes veřejné internetové úschovny nebo jiné nezabezpečené kanály, kde firemní data nemají co dělat.
„Bezpečnost nesmí blokovat produktivitu uživatele, a naopak produktivita nesmí být důvodem, proč opomíjet bezpečnost v IT. Jde o vyvážení obou přístupů. Sdílení souborů s externím uživatelem, jakými jsou dodavatel nebo partnerská společnost, je dnes běžným požadavkem," upozorňuje Jan Pilař, architekt bezpečnosti Microsoftu.
Firmy by pro ukládání a sdílení měly využívat bezpečné, důvěryhodné a robustní cloudové služby. Velcí cloudoví poskytovatelé mají mnohem větší zdroje na zabezpečení poskytování svých služeb. Disponují špičkovými bezpečnostními experty a technologiemi a musejí splňovat přísné technické i právní normy.
Rizika rostou
Exploze cloudových technologií a rostoucí počet lidí pracujících na dálku tak úplně mění perimetr podnikových sítí. Firmy a organizace proto potřebují nový model zabezpečení, který umožní bezpečný přístup k jejich prostředkům bez ohledu na uživatelské nebo aplikační prostředí. To znamená přizpůsobit se modernímu distribuovanému pracovišti, podporovat lidi pracující na dálku a chránit uživatele zařízení, aplikace i data, ať už se nacházejí kdekoliv.
Pro firmy je nezbytné vědět, kde jsou jejich citlivá data a kdo k nim má přístup. Zabezpečení by mělo začít podrobným zmapováním a kompletním vyhodnocením celého prostředí, odhalením slabých míst a získáním přehledu o všech zařízeních, která mají přístup k síti. A v návaznosti na to zavedením jasné přístupové politiky a pravidel pro sdílení, otevírání příloh, souborů a webů a instalaci softwaru.
Každý zaměstnanec má v průměru přístup k 17 milionům souborů.
Technologická společnost Varonis„Zatímco dříve se ochrana zaměřovala na ochranu proti vniknutí útočníka do vnitřní sítě, v cloudovém prostředí, kdy komunikujeme přes internet, je potřeba dokonale chránit tento přístup neboli identitu, přes níž se k datům hlásíme. Jako základní nástroj slouží vícefaktorové ověřování uživatele, nejlépe provázané s umělou inteligencí, která určí, o jak rizikové přihlášení se jedná a jaké ověření bude požadovat," popisuje František Fait, technický specialista pro bezpečnost společnosti Microsoft.
Nulová důvěra
Stále více se pak prosazuje model "zero trust", tedy nulové důvěry, kdy se všichni uživatelé a všechna zařízení – uvnitř i vně firemní sítě – považují za nedůvěryhodná. V podstatě to znamená znemožnit přístup všem, dokud podnikový systém opravdu nezjistí, kdo je daný uživatel a zda má odpovídající oprávnění. Prolomení zabezpečení je považováno za reálnou hrozbu, a každý požadavek se proto ověřuje, jako by pocházel z otevřené sítě.
Průzkum společnosti IDG v roce 2019 ukázal, že 21 % organizací už model nulové důvěry přijalo a 63 % to v následujících 12 měsících plánuje udělat. V jiném průzkumu IDG z roku 2018, který se týkal priorit v oblasti zabezpečení, 35 % organizací uvedlo, že plánují zvýšit výdaje na model nulové důvěry nebo pro něj vytvořit novou kategorii výdajů. Dalších 30 % považuje model nulové důvěry za potenciální novou oblast pro investice.
Nulová důvěra znamená: „nikdy nedůvěřovat, vždy ověřovat“, bez ohledu na to, odkud požadavek přichází nebo ke kterým prostředkům přistupuje. U každé žádosti o přístup proběhne před jejím schválením plné ověření, autorizace a zašifrování. A uživatelům je přidělován co nejmenší možný přístup, který potřebují ke své práci podle principu „jen na potřebnou dobu a jen s nutnými oprávněními.“
Pokud uvažujete o tom, nasadit u vás ve firmě model nulové důvěry, podívejte se, co vám tuto cestu usnadní: 10 tipů pro Zero Trust od Microsoftu
Nemáte čas na čtení? To nejdůležitější z tohoto speciálu si můžete v klidu poslechnout v našem podcastu s Danielem Hejdou ze CyberRangers a Petrem Vášou z Microsoftu.
