Hlavní navigace

Jak zabezpečit toky dat mezi zaměstnanci a podnikovou sítí

18. 11. 2021
Doba čtení: 8 minut

Sdílet

 Autor: Depositphotos
Práce striktně v kanceláři je přežitek. Znalostní pracovníci přechází na flexibilnější, fluidnější, distribuovanější modely práce odkudkoli, kde nezáleží na místu jejího výkonu. Úspěch práce odkudkoli však závisí na tom, zda budou zaměstnanci mít k dispozici aplikace a informace rychle, kdekoli a především bezpečně.
Jan Lawford 18. 11. 2021
Doba čtení: 8 minut

Zaměstnanci mohou potenciálně pracovat kdekoli – v autě, doma, v centrále firmy, v regionální pobočce, ve sdíleném pracovním prostoru, v kavárně. Toky dat jsou kvůli tomu podstatně komplikovanější s novými rizikovými místy mezi datovými centry, aplikacemi, sítí, cloudem, počítači, telefony a okrajovými zařízeními, systémy čelí i mnohem nebezpečnějším hrozbám, a to jak z hlediska množství, tak rozsahu. Podniková data již nejsou chráněna tradičním perimetrem podnikové infrastruktury. Ve světle exponenciálního růstu bezpečnostních hrozeb v posledních 12–18 měsících není divu, že se zabezpečení dat na všech potenciálních vstupních bodech stalo tématem probíraným v nejvyšších patrech managementu.

Studie Global Security Insights Report, kterou na základě celosvětového průzkumu mezi 3500 manažerů na pozicích CIO, CTO a CISO vydala společnost VMware, odhaluje nejzranitelnější místa toků dat v souvislosti s přizpůsobováním infrastruktury práci odkudkoli. Velká většina (80 %) podniků oslovených v průzkumu zaznamenala počítačové útoky v souvislosti se zvýšeným počtem zaměstnanců pracujících z domova, což odhaluje zranitelnosti v tradičních bezpečnostních technologiích a postupech.Pojďme se tedypodívat, jak cesta dat vypadá, jaká se na ní vyskytují problematická místa a jak je ošetřit. Ukážeme si také příklady podniků a organizací, které k těmto otázkám přistupují aktivně.

Zabezpečení aplikací a pracovních zátěží – součást podstaty každé moderní organizace

Zpřístupnit zaměstnancům důležité pracovní zátěže a aplikace je naprostou prioritou, obzvlášť s náhlým plošným přechodem na práci na dálku. CIO zároveň vnímají aplikace jako nejzranitelnější body na cestě dat. Za nejrizikovější z hlediska možného napadení je považuje 34,7 % dotázaných (pracovní zátěže 19,5 %).

Tradiční aplikace, z nichž některé mohou být i 15 let staré nebo ještě starší, nikdy nebyly uzpůsobené ke vzdálenému přístupu – vždy byly chráněné firewallem na perimetru síťové infrastruktury. Avšak kvůli zachování základního fungování podniku bylo podnikové IT nuceno riskovat a vytvořit v síti průchody s nezabezpečenými VPN, aby mohli mít zaměstnanci přístup k aplikacím, které nutně potřebují k práci. Panují obavy, že některá taková provizorní řešení dosud fungují a vystavují množství data možným hrozbám.

Většina manažerů bezpečnosti (63 %) se shoduje, že je nutné zajistit lepší přehled o datech a aplikacích jako prevenci útoků. Aplikace je nutné modernizovat, aby mohly fungovat ve světě cloudu a práce odkudkoli. Ukázalo se, že tradiční antivirová řešení a procesy aplikace bezpečnostních záplat nejsou v dynamickém digitálním světě optimální. Zároveň se rozevírají nůžky vědomostí mezi bezpečnostními a infrastrukturními specialisty. Bezpečnostní týmy neví, jak se mají chovat produkční pracovní zátěže, a infrastrukturní týmy nedokáží rozpoznat aktivity útočníků. Tím vzniká slepé místo. Zabezpečení na principu nulové důvěry proto musí – a dnes už skutečně může – být nedílnou součástí aplikací a pracovních zátěží od samého počátku, nikoli jako dodatečná nadstavba.

Dva příklady za všechny:

  • Americká letecká záchranná služba Angel MedFlight poskytuje služby létající jednotky intenzivní péče (JIP). Neexistuje snad lepší příklad práce odkudkoli. Ošetřování pacientů v kritickém stavu 12 kilometrů nad zemí, kdy se počítá každá sekunda, nenechává prostor pro chybu nebo výpadek. Je tedy zcela zásadní zajistit bezpečnost infrastruktury. Společnost proto u svých aplikací a dat přešla na řízení přístupu podle identity. Využila digitální platformu, která umožnila uplatnit princip nulové důvěry a rychle přejít na plnou práci na dálku, kdy si každý zaměstnanec odnesl domů svůj Apple Mac mini a mohl pokračovat v práci, s bezpečným přístupem k veškerým aplikacím potřebným k zajištění transportu pacientů.
  • Poskytovatelé finančních služeb musí dennodenně chránit údaje o svých klientech a platebních transakcích a současně zajišťovat, že žádná aplikace nebude vystavená hrozbám. Platí to i o německé bance DVB Bank.  Ta se specializuje na financování mezinárodní dopravy. Zvolila si automatizované řešení pro pracovní zátěže, které ověřuje změny a synchronizuje je s implementovanými bezpečnostními mechanismy. Inherentní bezpečnostní vrstva umožnila zajistit výkonné zabezpečení, které nejen zvýšilo důvěryhodnost banky v očích klientů, ale také zvýšila povědomí o problematice bezpečnosti IT mezi zaměstnanci.

Síť až po okraj – když má kontakt se sítí vše, bezpečnost je na prvním místě

Síť je prvořadá. Přenáší data z datového centra k aplikacím, do cloudu a do koncových zařízení. Zatímco zabezpečení tradiční sítě se povětšinou omezovalo na perimetr podnikové infrastruktury – jako bezpečná bublina strážená firewallem – v moderním světě již takováto ostrá hranice, kterou by bylo možné chránit, prakticky neexistuje: bodů připojení mimo tradiční firewall může být třeba 50 000, podle toho, odkud se zaměstnanci právě rozhodnou pracovat.

Pro 19 % oslovených CIO představuje síť nejzranitelnější bod. Rozšířením dosahu sítě pomocí VPN (někdy ironicky přezdívaného „Virtually Pointless Networks“, tedy „prakticky zbytečné sítě“) ztratilo podnikové IT ucelený přehled, na který doposud spoléhali.

Kvůli plánování fyzických i virtuálních sítí je nutné posílit bezpečnost a zlepšit viditelnost. Virtuální cloudová síť, jako modernizovaný model podnikových sítí, nabízí všudypřítomnou konektivitu a inherentní bezpečnost jako vestavěnou distribuovanou službu pro uživatele, aplikace, celý podnik a data bez ohledu na jejich umístění. Základem jsou nové technologie, např. služby na okraji sítě pro bezpečný přístup (SASE), které přesměrovávají síťové požadavky přes cloud. Tato virtuální překryvná síťová vrstva řeší problém viditelnosti, poskytuje lepší informace o kontextu a zajišťuje lepší uživatelskou zkušenost. Pro distribuovaný podnik znamená SASE jednoduchost, škálovatelnost, flexibilitu a všudypřítomnou bezpečnost v jednom provázaném celku. Analytická společnost Gartner předpovídá, že do roku 2024 přejde více než 60 % zákazníků, kteří užívají softwarově definované sítě WAN (SD-WAN), právě na architekturu SASE, zatímco v roce 2020 to bylo pouhých 35 %.

Podobné problémy s nedostatečným přehledem panují u okrajových zařízení internetu věcí (IoT). Většina CIO sice tuto problematiku nepovažuje za tak vážný problém (jako svoji hlavní obavu ji uvedlo 4,5 % respondentů), ale platí zde totéž. Pro poskytovatele kritické infrastruktury, například dodavatele energií, jsou zařízení IoT klíčovým nástrojem monitorování stavu systémů. Jejich rozsah a nedostatečná viditelnost znamenají bezpečnostní riziko. Pro řízení provozu společnosti Ansaldo Energia je zásadní její monitorovací a diagnostický systém, který sbírá data z více než 200 elektráren po celém světě. Na ochranu zařízení, která data sbírají, zavedla společnost Ansaldo cloudové řešení, které o 30 % snížilo celkové náklady na vlastnictví a zároveň zlepšilo úroveň zabezpečení a zvýšilo flexibilitu.

Koncové body a jejich uživatelé – notebooky, chytré telefony, internetové kavárny, domácnosti, auta a jak zabezpečit lidskou povahu

Vedle jiných součástí podnikového IT prostředí i u koncových bodů znamenal přechod na práci odkudkoli, že se podnikové IT muselo vzdát prvku kontroly. historicky si forma zachovávala plné vlastnictví a kontrolu nad služebními zařízeními. Ale ve jménu zachování provozu muselo dojít k určité míře tolerance připojování mnoha různých zařízení vlastněných zaměstnanci do podnikové sítě. Nevhodně nastavená a starší kancelářská zařízení, která dlouhou dobu nebyla připojená k podnikové síti, nevybavená pro práci na dálku, představují vážné riziko.

Práce odkudkoli také přesunula prioritu zabezpečení na koncové body. Tradiční bezpečnostní nástroje pro koncové body nejsou dostatečně účinné, aby odhalovaly rizika a dokázaly předcházet nejnovějším hrozbám a útokům, detekovat je a reagovat na ně. Dnes se koncové body nachází mimo interní síť. Bezpečnostní týmy musí zajistit jejich nepřetržitou viditelnost a konektivitu a zaručit, že jejich zabezpečení bude neustále aktuální.  Tato zařízení představují trvalou hrozbu a 10,6 % CIO je v průzkumu označilo za nejzranitelnější místo.

Dalším problémem je ověření identity koncových uživatelů. Ve firemních prostorách existují fyzické bariéry, jako jsou elektronické dveřní systémy a digitální visačky, které brání vstupu nepovolaným. Nejsou však k ničemu, pracuje-li většina zaměstnanců mimo své pracoviště.

Švýcarský veřejný dopravce Basler Verkehrs-Betriebe (BVB) byl průkopníkem zabezpečení koncových bodů ještě před rozmachem práce odkudkoli, a to kvůli rozptýlenosti a mobilní povaze svých pracovníků. A nepřestává v této oblasti inovovat. Její řidiči přepravují obyvatele po celém městě a iPady se zabezpečením jim poskytují neustálý vzdálený přístup k interním aplikacím a dokumentům, jako jsou jízdní řády nebo rozpisy služeb. Při takovém množství zařízení v pohybu byla bezpečnostní rizika vysoká a vyžadovala uplatnění principu nulové důvěry. Jedině tak bylo možné zajistit, aby veškeré informace putující mezi koncovými zařízeními, sítí, aplikacemi a cloudem zůstávaly v bezpečí.

Uplatnění principu nulové důvěry u zabezpečení koncových bodů podnikům pomůže tyto problémy vyřešit. Inteligentní cloudová centrála, z níž lze řídit vše na všech místech v reálném čase, může sloužit jako ústřední „zdroj pravdy“ pro všechny koncové body. Tato platforma dokáže díky monitorování v reálném čase upozornit bezpečnostní pracovníky na podezřelé události. Dojde-li k útoku, dokáže jej podnik rychleji odhalit a vyhodnotit, zablokovat a podniknout příslušné kroky k nápravě škod s minimálním dopadem. Kroky jsou založené na faktech, automatizované a koordinované, nikoli prováděné ručně na základě domněnek a odhadů.

Zavedení nulové důvěry a využití komplexních modelů podmíněného přístupu na základě vyhodnocování rizik a následná implementace vícefaktorového ověřování a jednotného přihlašování pomáhá omezit provozní rizika a snížit únavu bezpečnostních pracovníků z přemíry výstrah a zároveň udělat zabezpečení uživatelsky přívětivější. Ve spojení s přísunem příslušných informací a automatizací může fungovat jako účinná obrana proti potenciálním útočníkům a uvolnit čas a kapacity IT a bezpečnostních týmů k činnostem s vyšší přidanou hodnotou.

Mnoho bodů kontaktu – jedno komplexní řešení

Každý koncový bod je sice vybavený prostředky na svoji obranu, ale celkové zabezpečení je nutné přehodnotit tak, aby bylo nedílnou a všudypřítomnou součástí moderního podniku a zahrnovalo všechny prvky IT, které bude účinně chránit na základě nulové důvěry. Nasazením různých bezpečnostních řešení od různých dodavatelů se však podnik může vystavit riziku zesložitění zabezpečení a ztráty přehledu.

Zavedením principu nulové důvěry v dodavatelském řetězci a implementací holistické platformy, která všechny uvedené nároky splňuje, lze dosáhnout kompletní ochrany. Vzniká komplexní „centrum provozu zabezpečení“, které poskytuje kontext a přehled, který IT týmy potřebují. Relevantní bezpečnostní informace jsou předkládány v příslušném kontextu a inteligentním způsobem propojené napříč funkčními oblastmi. To odstraňuje bariéry a výrazně zefektivňuje týmovou spolupráci a komunikaci.

Práce odkudkoli přispěje k tomu, aby se zaměstnanci cítili zapojení, že je do nich vkládána důvěra a že mají k dispozici prostředky pro produktivní práci. Tento nový přístup zajistí, že týmy budou lépe vybavené k rychlejšímu a účinnějšímu řešení dnešních i zítřejších hrozeb, s menším množstvím slepých míst. Lze tak snáze řídit provoz zabezpečení, efektivněji využívat pracovní síly i prostředky a zároveň zajistit rychlost a úroveň bezpečnosti, jakou moderní podnik vyžaduje.

Autor je Head of Security, VMware EMEA