Jeden software z firmy kyberpevnost neudělá

Kdo může, kam může a co opravdu dělá? Tak zní tři klíčové otázky bezpečnosti jakéhokoli informačního systému. Co se děje, když jim firmy nevěnují pozornost, se dočtete v novém sloupku šéfa NEWPS Aleše Kučery.

Zaměstnanec jedné slovutné banky kdesi v Asii navrhoval nákupy cenných papírů, schvaloval je, sám je prováděl, a nakonec to byl opět on, kdo prodával. Nahromadila se mu nejrůznější práva, takže nikdo dlouho nebyl schopen jeho hazard odhalit. Ve výsledku byla banka chudší o několik miliard eur. On ale jen využil toho, co mu systém dovolil, co by mu však správně nikdy dovolit neměl.

V jakémkoli IT systému platí, že je v první řadě třeba mít přehled, kdo všechno do něj má přístup. Není přitom neobvyklé, že to jsou i lidé, kteří už ve firmě dávno nepracují, a to jen proto, že jim nikdo přístup nezrušil. Což je dnes v kombinaci s tím, že se k většině systémů lze přihlásit z domova či odkudkoli zvenku, dost riskantní.

Druhou základní otázkou pak je, k čemu všemu se uživatelé dostanou. V dlouho běžících organizacích mnohdy existují zaměstnanci, kteří už mají pomyslné klíče prakticky od všeho. A to jen proto, že třeba občas někoho zastupovali, přístupová práva dostali, ale pak už jim je nikdo neodebral.

Mít opravdu živé identity uživatelů a dávat pozor, aby se jim nekumulovala oprávnění takovým způsobem, že pak mohou dělat věci, které jim nikdy nikdo nezamýšlel svěřit, je ovšem jen první část.

Ta druhá, neméně důležitá, jsou monitorovací programy, které sledují, co se v systému reálně děje. A okamžitě to vyhodnocují v tom smyslu, že třeba 99,5 procenta událostí je v pořádku a není potřeba se jimi dále zabývat. Ale pokud něco v pořádku není, musí se rozsvítit výstražná kontrolka. A pokud bliká červená, je třeba jít a pachatele chytit za ruce na místě činu.

Samozřejmostí by také mělo být oddělení funkce administrátora, který uděluje přístupová práva, a auditora, který má na starost kontrolu. Jedině tak se lze vyhnout tomu, že někdo v roli administrátora napáchá škodu, a ještě po sobě v roli auditora zamete stopy.

Bohužel spousta firem ale i dalších institucí se spokojí s tím, že jim někdo nakuká: kupte si tenhle produkt a všechno bude v pořádku. Nebude. Problém bezpečnosti je mnohem širší. A nakonec jako vždy hrají klíčovou roli lidé a to, jak se k věci postaví.

 

Aleš Kučera
předseda představenstva
NEWPS HOLDING SE

 

 

Další články

Většinu času jsme v defenzívě, přiznávají bezpečnostní experti
Více
Nezabezpečené API jako pozvánka pro hackery
Více

Zpět na výpis novinek