Nejslabším článkem bezpečnosti jsou zaměstnanci institucí, které data spravují
„Je zapotřebí si uvědomit, že informace jsou dnes nejcennějším majetkem,“ říká Luděk Sefzig, analytik Centra kyberbezpečnosti, „Veřejná sféra navíc hospodaří s informacemi o nás, občanech, které jsou často velmi osobní, důvěrné, citlivé.“
Jedna věc je tedy možný únik osobních dat a z toho plynoucí hrozby. Mnohem závažnější jsou ale útoky zaměřené na změny dat, či jejich ztrátu.
„Představte si například, že hacker změní záznamy v katastru nemovitostí, občanských rejstřících nebo záznamech ČSSZ,“ varuje Sefzig. Na obecní úrovni to mohou být data o uhrazených poplatcích, sociální údaje obyvatel. Z české praxe šlo například o změny v evidencích sociálních dávek apod.
„Platí, že nejslabším článkem bezpečnosti jsou sami zaměstnanci institucí,“ upozorňuje Luděk Sefzig. Většinu úniků dat, například v podobě seznamů občanů, citlivá data o podnikatelích, úniky o plánovaných grantech apod. měli na svědomí nespokojení nebo nedostatečně vzdělaní zaměstnanci.
Proškolení zaměstnanci mohou útoku zabránit
„Jedinou ochranou je mít definované procesy zabezpečení dat, síťové zabezpečení přístupů, monitoring toků a proškolené zaměstnance s přesně přidělenými právy k datům. To platí obzvlášť v dnešní době a kvůli existujícímu nařízení EU GDPR,“ říká Luděk Sefzig.
Vhodné je mít také systémy monitorující chování zaměstnanců, které jsou schopné potenciální rizika úniku dat včas odhalit. Do této oblasti spadá například ochrana před malware útoky.
Hackeři například rozešlou škodlivé emaily plošně na adresu obce s prefixem typu "starosta@", což ve většině obcí zprávu doručí sekretariátu starosty. Pak stačí jen otevřít přílohu a škodlivý kód napadne počítače úřadu. Jistě vzpomínáte na řadu tzv. ransomware útoků z poslední doby. Kód zašifroval data institucí a požadoval výkupné za dešifrování dat. Napadení probíhalo nejčastěji výše popsanou cestou.
Úroveň bezpečnosti dat veřejného sektoru je nedostatečná
V oblasti prevence proti napadení je veřejný sektor proti soukromému velmi pozadu. Mnoho úřadů provozuje vlastní hardware, například v podobě datových úložišť. IT odbory ale nezvládají udržovat kvalitu bezpečnosti. Často ani nemohou, například z důvodu dodavatelských smluv a veřejných zakázek. Není tedy výjimkou, že úroveň bezpečnosti dat odpovídá době, kdy byl tendr zadán, což může být i několik let v minulosti.
„Z těchto důvodů bohužel hodnotíme průměrnou úroveň ICT bezpečnosti v českém veřejném sektoru za nízkou,“ uzavírá hodnocení Luděk Sefzig.
Foto: Luděk Sefzig archiv
Komentáře