Čeká vás náročný den – nejste ale jediní. Navzdory řadě publikovaných případů závažných bezpečnostních úniků (například prolomení databáze britského daňového a celního úřadu před více než rokem či únik informací o 5 tisících příslušníků federální vězeňské stráže v USA na podzim minulého roku) je v mnoha případech ochrana citlivých dat nedostatečná.
Ani špičková prevence ale není stoprocentní zárukou klidného spánku – je proto dobré mít v záloze plán jak postupovat, pokud k úniku dojde.
První hodina
Zaprvé – nepanikařte. Potlačte tendenci myslet hned na to nejhorší, přehrávat si v hlavě všechny možné katastrofické scénáře. Takové myšlenky situaci jen zhoršují, je třeba se k věci postavit s nadhledem a chladnou hlavou. V první hodině po události je nezbytné zhodnotit rozsah možného poškození dat. To znamená také zjistit, koho by mohla uniklá data zajímat a jaké další nepřímé důsledky by to mohlo mít. Například v případě zmíněného úniků údajů vězeňských dozorců bylo potřeba zvážit bezpečnost jejich rodin, pokud by tyto údaje dostali do rukou nebezpeční zločinci.
Geoff Donson, bývalý detektiv pro boj s hi-tech kriminalitou a nynější bezpečnostní manažer v TelecityGroup, říká, že on sám by v kritické první hodině rozhodně chtěl vědět, co přesně za data je v ohrožení. Tím je sice nezíská zpět, ale umožní mu to odhadnout následné škody i to, kdo by o údaje mohl mít zájem. Neil O’Connor, šéfkonzultant v bezpečnostní firmě Activity, tvrdí, že klíčem k úspěšnému zvládnutí krize je mít plán, hlavně ovšem mít tento plán důkladně otestovaný. Testování krizových plánů je zcela zásadní, a to jak ve sféře komerční, tak veřejné, jejich kvalita několikanásobně stoupá s opakovanými zkouškami.
Prvních 12 hodin
Pokud jste schopni zjistit, která data unikla, kterážto šance se zvyšuje, udržujete-li dostatečně podrobnou mapu rozložení dat ve firmě, je dalším krokem vypátrat, kdo se k nim mohl dostat, ať již jde o útočníka zvenku či zevnitř firmy, a jak by s nimi mohl naložit. Samozřejmým krokem je prohlédnout záznamy, logy, které by měly obsahovat, kdo a kdy k datům přistupoval a případně zda byla kopírována či tisknuta.
Dave Martin, výkonný bezpečnostní konzultant firmy Logica, připomíná, aby firmy řešící datový únik shromáždily a uchovaly všechny důkazy pro případ jakéhokoli následného soudního sporu, ať již budou součástí strany žalující, či žalované. To znamená nejen elektronické údaje, ale i data o možném pohybu osob, například kdo a kdy byl přítomen, kdo měl kam přístup. Ke zdokumentování specifických forenzních údajů může být zapotřebí povolat specializovanou firmu s patřičným vybavením. Jednoduchým a přitom účinným postupem je v obdobné situaci fyzicky zabezpečit místo činu, tedy uzamknout místnosti se servery, počítači či dalším souvisejícím vybavením.
Vedle zajištění důkazních materiálů je dalším podstatným opatřením utajit informace o bezpečnostním úniku, samozřejmě vyjma institucí, které je potřeba ze zákona o takové události informovat. Vzhledem k tomu, že většinu datových úniků mají na svědomí zaměstnanci firmy, ať již záměrně, či omylem, je důležité, aby co nejméně z nich vědělo o probíhajícím vyšetřování. Tak se sníží pravděpodobnost, že se o tomto dozví případný viník uvnitř firmy. Mezi jeho reakcemi by mohlo být vytváření falešných stop a ničení důkazů.
Prvních 24 hodin
Po identifikování uniklých dat, po analyzování následků a vytipování případných viníků je na čase se rozhodnout, zda celou událost hlásit. To záleží především na charakteru ohrožených dat. Geoff Donson k tomu říká, že ze své 27leté zkušenosti z policejní i soukromé praxe ví, že takové rozhodování bývá velmi obtížné, zejména v případě soukromých firem, které musí řešit dilema cizí mnohým veřejným institucím. Na jedné straně stojí ztráta důvěry zákazníků a investorů, na druhé pak povinnost starat se o svěřené osobní údaje, jejichž ohrožení je třeba rychle veřejně oznámit.
Na druhou stranu Donson dodává, že pokud nejsou ohrožena osobní data, necítí firmy mnohdy potřebu takové události hlásit institucím, zákazníkům či veřejnosti. Ta se tak většinou o únicích nedozví – zůstanou známy jen úzkému okruhu zainteresovaných.
V českém právním řádu lze na většinu datových úniku aplikovat některé z ustanovení Trestního zákona a zejména Zákona o ochraně osobních údajů. Což obnáší povinnost bez prodlení konat a hlásit jakékoli jednání odporující zákonu. V případě ohrožení osobních údajů je potřeba kontaktovat Úřad pro ochranu osobních údajů. Je nakonec jen logické, že firma mající podezření na hackerský útok z vnějšku či na zlovolného zaměstnance, má zájem na jeho stíhání a potrestání. V úvahu je třeba vzít, že organizace může být vydírána, a i v takovém případě je dobré, aby o tom policie co nejdříve věděla. Snaha vzít zákon do vlastních rukou a vyřešit vše v absolutní tichosti „uvnitř firmy“ může sice vypadat lákavě, nicméně lepší je jednat v součinnosti s vyšetřovacími orgány.
Jakkoli je postup jasný při podezření na úmyslné nezákonné jednání, méně jasno je, pokud se jedná jen o nedopatření. I v této situaci však je vhodnější v případě osobních údajů informovat ÚOOÚ, a to zejména jde-li o velké firmy – banky, distribuční společnosti apod. Pro zajímavost – v USA existuje zákon univerzálně dávající organizacím povinnost informovat policii o jakémkoli podezření na narušení bezpečnosti dat (Data Protection Act). Zákon se zároveň snaží, aby informace o takových událostech neunikaly na veřejnost, policejní důstojník přejímající hlášení musí podepsat dohodu o nešíření informací.
V případě nehody je potřeba zahrnout lidský faktor a zvážit, zda neselhalo vedení, jestli například neuvalilo příliš velkou bezpečnostní odpovědnost na nováčka, člověka nezkušeného či nedostatečně proškoleného. Druhou částí problému je riziko ztráty jinak cenných zaměstnanců, kteří prostě jen jednou selhali – například analytik, který sice někde ztratil USB disk, firma do něj ale v minulost investovala na vzdělání desítky či stovky tisíc korun.
Podle Richarda Milletta, šéfa v Firebrand Training, zkušenosti poslední doby jasně ukazují, že spíše než nedbalost stojí za datovými narušeními nedostatek školení a vzdělávání, mnohdy ani management samotný nejde důsledně příkladem. Lidé jsou zahlceni informacemi, ať již potřebnými či nepotřebnými, a i přes veškerou techniku nejsou schopní všechno uhlídat, zvláště pokud nemají dostatečný trénink. Firmy také mohou změnit přístup k ochraně dat. Vhodné je opustit snahu bránit vše, tedy veškerá data, a soustředit se především na zabezpečení těch klíčových.
Zbrklé řešení úniku: Zprvu je často emotivně hledán viník – kdo co dopustil, nezabezpečil a komu budou poškozeny určité tělesné partie, případně přizpůsobena fyziognomie. Je proto třeba jednat rozumně a vyvarovat se impulzivního „Vyhodíme ho, on za to může!“
Nejlepší je pochopitelně únikům dat včas předcházet na úrovni organizačního a technického zabezpečení, a nikoliv je následně řešit a plakat nad rozsypanými záznamy.
Úniky nad 10 milionů:
Záznamů Společnost
94 milionů TJX Companies (2007)
40 milionů CardSystems (2005)
30 milionů America Online (2004)
26 milionů US Dept. of Veterans (2006)
25 milionů HM Revenue (2007)
17 milionů T-Mobile / D.T. (2006)
12 milionů Archive Systems (2008)
11 milionů GS Caltex (2008)
PŘEDPLATNÉ
ČLÁNKY DO MAILU