Recese zvyšuje bezpečnostní hrozby, především od insiderů

Jedno z největších ohrožení korporátních dat a systémů tradičně pochází od insiderů disponujících potřebnými přístupovými právy. Ti mají možnost způsobit mnohem více - ať už úmyslných, či neúmyslných - škod, než útočníci operující zpoza podnikového perimetru.

Toto ohrožení pak samozřejmě stoupá v dobách propouštění, utahování opasků, konsolidací provozů a implementace outsourcingu, k nimž se sahá především kvůli dosažení potřebných úspor. „Všechna tato opatření zvyšují riziko vnitropodnikového napadení," říká ředitelka atestačních služeb společnosti Management Concepts Shelley Kirkpatricková.

Krušné ekonomické podmínky zvyšují míru nejistoty na pracovišti. Lidé se kupříkladu mohou obávat o ztrátu zaměstnání či oddálení povýšení, nebo o prostý fakt, aby vůbec dostali příští výplatu. „Z této nejistoty pro pracovníky pramení stres. Společnost je tak zranitelnější a odhalenější hrozbám," vysvětluje Kirkpatricková, jež dříve pracovala jako hodnotící výzkumník behaviorálních hrozeb v Homeland Security Institute.

Hrozby mohou nabývat různých podob. Insideři s přístupem k podnikovým informacím typu zákaznických a korporátních dat se mohou pokusit obohatit jejich prodejem, či je zkrátka zcizit, aby se firmě „pomstili" při svém eventuelním propuštění. Technicky zruční jedinci zase nemusejí mít větší problém sabotovat důležitá data, nebo do počítačů nasadit škodlivý kód, či tzv. logické bomby, které lze nastavit k budoucímu smazání určitých dat na kritických systémech.

Krom toho vystresovaní lidé mohou snáze podlehnout nabídkám oportunistické konkurence. „Kdybych toužila po důvěrných obchodních datech konkurenční společnosti, nejspíše bych se obrátila na její emočně vystresované zaměstnance," uvažuje Kirkpatricková.

Příklady sabotáže zevnitř

Jak ukazuje minulost, nesmí být škoda, jíž mohou napáchat insideři s privilegovaným přístupem, být brána na lehkou váhu. Například v červenci uzamkl frustrovaný administrátor města San Franciska přístup do kritické sítě. Učinil tak vyresetováním administrátorských hesel k jejím přepínačům a směrovačům. Síť tak byla paralyzována po několik dlouhých dní.

V obdobném incidentu jeden administrátor Unixu v Medco Health Solutions očekával své propuštění a do systémů nastražil logickou bombu. Ta by v případě spuštění smazala data ze sedmdesátky serverů.

Oba z předchozích případů měly za hlavní aktéry technicky zručné jedince, stejné nebezpečí ovšem může představovat také personál z oddělení mimo IT. Kupříkladu v listopadu 2006 se vědec pracující ve společnosti DuPont přiznal ke krádeži korporátních dat ceněných na přibližně 400 milionů dolarů.

 „Klíčem je vědět, jak vypadají varovná znamení, a jak na ně reagovat," říká senior viceprezident bezpečnostní společnosti Hillard Heintze Matt Doherty. Jedním z příkladů takové vztyčené výstražné vlajky může být, když zaměstnanec zničehonic začne bez zjevných důvodů zůstávat ve firmě dlouho do noci a dobrovolně si brát přesčasy. Stejně tak je velice podezřelé, začne-li si člověk žádat přístup do systémů a k informacím, které pro svou práci vůbec nepotřebuje. A analogicky je možným předznamenáním hrozby také to, když pracovník najednou tiskne mnohem více materiálů, či přeposílá velké množství e-mailů na svou soukromou adresu.

Stejně důležité jako rozeznat tato znamení je také sledovat morálku a chování zaměstnanců. Nadřízení by měli být proškolení, aby rozpoznali nespokojené zaměstnance, takové, kteří by mohli představovat budoucí bezpečnostní problém. Společnosti by rovněž měly vzdělávat zaměstnance o důležitosti sledování míry stresu jejich spolupracovníků, a následně je vést k tomu, aby veškeré observace hlásili vedoucím pracovníkům. Pro vedoucího pracovníka je kritické, aby měl o svých podřízených co nejlepší přehled.

Je rovněž důležité vědět, že stres může pramenit také z událostí mimo pracovní prostředí. Člověk si může procházet osobní finanční krizí nebo v rodině zažít nějakou tragédii. Identifikace a zneškodnění potenciálního škodlivého vyústění těchto „doutnajících náloží" vyžaduje koordinovaný postup. Pro společnosti je podle Kirkpatrickové nejlepší sestavit kombinovaný tým jedinců z různých oddělení - lidských zdrojů, IT, korporátní bezpečnosti, právního a provozního -, který bude eliminovat potenciální bezpečnostní rizika ze strany zaměstnanců. Důležitá je v tomto případě především včasná reakce. Zároveň je však třeba dohlédnout, aby kvůli tomu nebyla pošlapávána základní práva zaměstnanců.