Poradna_obrazek_canva.png
Katalog odpadů

Při zabezpečení dat hrají klíčovou roli zaměstnanci

| autor: Luděk Sefzig, analytik Centra kyberbezpečnosti0

Při zabezpečení dat hrají klíčovou roli zaměstnanci

Nejslabším článkem bezpečnosti jsou zaměstnanci institucí, které data spravují

Je zapotřebí si uvědomit, že informace jsou dnes nejcennějším majetkem,“ říká Luděk Sefzig, analytik Centra kyberbezpečnosti, „Veřejná sféra navíc hospodaří s informacemi o nás, občanech, které jsou často velmi osobní, důvěrné, citlivé.“

Jedna věc je tedy možný únik osobních dat a z toho plynoucí hrozby. Mnohem závažnější jsou ale útoky zaměřené na změny dat, či jejich ztrátu.

Představte si například, že hacker změní záznamy v katastru nemovitostí, občanských rejstřících nebo záznamech ČSSZ,“ varuje Sefzig. Na obecní úrovni to mohou být data o uhrazených poplatcích, sociální údaje obyvatel. Z české praxe šlo například o změny v evidencích sociálních dávek apod.

Platí, že nejslabším článkem bezpečnosti jsou sami zaměstnanci institucí,“ upozorňuje Luděk Sefzig. Většinu úniků dat, například v podobě seznamů občanů, citlivá data o podnikatelích, úniky o plánovaných grantech apod. měli na svědomí nespokojení nebo nedostatečně vzdělaní zaměstnanci.


Proškolení zaměstnanci mohou útoku zabránit

Jedinou ochranou je mít definované procesy zabezpečení dat, síťové zabezpečení přístupů, monitoring toků a proškolené zaměstnance s přesně přidělenými právy k datům. To platí obzvlášť v dnešní době a kvůli existujícímu nařízení EU GDPR,“ říká Luděk Sefzig.

Vhodné je mít také systémy monitorující chování zaměstnanců, které jsou schopné potenciální rizika úniku dat včas odhalit. Do této oblasti spadá například ochrana před malware útoky.

Hackeři například rozešlou škodlivé emaily plošně na adresu obce s prefixem typu "starosta@", což ve většině obcí zprávu doručí sekretariátu starosty. Pak stačí jen otevřít přílohu a škodlivý kód napadne počítače úřadu. Jistě vzpomínáte na řadu tzv. ransomware útoků z poslední doby. Kód zašifroval data institucí a požadoval výkupné za dešifrování dat. Napadení probíhalo nejčastěji výše popsanou cestou.

Úroveň bezpečnosti dat veřejného sektoru je nedostatečná

V oblasti prevence proti napadení je veřejný sektor proti soukromému velmi pozadu. Mnoho úřadů provozuje vlastní hardware, například v podobě datových úložišť. IT odbory ale nezvládají udržovat kvalitu bezpečnosti. Často ani nemohou, například z důvodu dodavatelských smluv a veřejných zakázek. Není tedy výjimkou, že úroveň bezpečnosti dat odpovídá době, kdy byl tendr zadán, což může být i několik let v minulosti.

Z těchto důvodů bohužel hodnotíme průměrnou úroveň ICT bezpečnosti v českém veřejném sektoru za nízkou,“ uzavírá hodnocení Luděk Sefzig.

Foto: Luděk Sefzig archiv

Komentáře

  1. Tento článek zatím ještě nikdo neokomentoval.

Okomentovat

Partneři

Vodárenství
Sovak
Zdravá města
Satturn
Wasten
JRK
SKS
Ecobat
Nadace Partnerství
Adapterra Awards
Teplárna ČB
EkoWATT
Solární asociace
AKU-BAT
I-tec
SmVaK Ostrava
Energie AG
Den malých obcí
Denios
PSAS
Rema
K-tech Komunální technika
Meva a.s.
EKO-KOM
ČEVAK
Povodí Vltavy
SRVO
Bert