AVG: Malé firmy jsou pro hackery nejsnazším soustem

Karel Obluk | 23.11.2011 | Bezpečnost, Cloud | Žádné komentáře

Bezpečnost dokáže potrápit každého, ale pokud jde o bezpečnost informačních systémů, jsou na tom asi nejhůře malé firmy. Malými firmami myslíme ty skutečně malé – s pěti, maximálně deseti až dvaceti zaměstnanci a jen s několika počítači. Rozpočet na IT je samozřejmě velmi omezený, přitom složitost systémů neustále roste a s tím rostou i nároky na jejich zabezpečení. Podle nedávného globálního průzkumu dvě ze tří malých firem vidí v IT klíč k fungování svého podnikání, ale víc než polovina jich nemá přístup k IT expertům.  A celých 77 procent si velmi dobře uvědomuje, že narušení bezpečnosti by mohlo mít významný dopad na jejich podnikání.

Je každý počítač zajímavý?
Bohužel, odpověď na tuto otázku je kladná. Celá řada uživatelů si to neuvědomuje, ale počítačová kriminalita je už úplně profesionální byznys, který generuje obrovské peníze – podle některých zdrojů dokonce víc než obchod s drogami. Pro útočníky je zajímavá každá informace, ale i každý počítač. Kromě krádeží dat, průmyslové špionáže a nebo neoprávněného přístupu na bankovní účty je nejčastějším cílem útočníků vzdálené ovládnutí počítačů a jejich zneužití na další nelegální aktivity.

Hodně firem se tak nevědomky stane spolupachatelem těchto zločinů, protože jejich webové stránky jsou zneužité na šíření škodlivého kódu nebo jejich počítače šíří spam do celého světa. To samozřejmě znamení jednak vyšší náklady (připojení, spotřeba energie), ale i riziko legálního postihu a především hrozbu poškození dobrého jména v očích zákazníků. Kolik klientů přijde znovu na webové stránky, které už jednou byly infikovány a zaútočili na jejich PC? Kolik klientů bude důvěřovat firmě, která – ať už nedopatřením nebo v důsledku cíleného útoku – přišla o citlivé údaje svých zákazníků?

Firmy nepovažují sociální inženýrství za hrozbu
Mnoho firem si riziko ztráty svého dobrého jména velmi dobře uvědomuje, opět budeme citovat výsledky průzkumu, podle kterých si je až 79 % malých a středních firem vědomo hrozeb počítačových virů a 49 % si uvědomuje rizika napadení z internetu. Bohužel jen 12 % z nich považuje za nebezpečné i techniky sociálního inženýrství, které přitom v současnosti představuje jeden z hlavních způsobů útoků na počítačové systémy.

Uživatel se stal nejslabším článkem zabezpečení a moderní techniky sociálního inženýrství tento fakt zneužívají. Pokud si nepoučený (nepoučitelný?) uživatel „nevyhnutelně“ potřebuje prohlédnout video „co dělají studentky, když jsou na koleji samy“ a nebo se neobejde bez aplikace, která „zaručeně zjistí, kdo si prohlížel jejich profil na Facebooku“, je situace pro útočníky mnohem jednodušší. A oni to i patřičně zneužívají.

Změna přístupu k zodpovědnosti za škody
Před dvěma roky zjistil americký rodinný podnik Patco Construction, že jim hackeři odcizili 300 000 amerických dolarů z on-line bankovního účtu. Banka Ocean byla schopná zrušit dalších 240 000 dolarů v příkazech na převody, ale protože hackeři pracoval s oprávněnými informacemi o účtu, ke kterým se dostali díky počítačovému viru Zeus, zaměřujícím se na krádeže hesel, banka Ocean odmítla proplatit zbytek peněz. Společnost Patco sice banku zažalovala, že nebyla schopná reagovat ve chvíli, kdy peníze odcházely z účtu ve výši 100 000 dolarů denně, ale soudce nedávno rozhodl ve prospěch banky Ocean.

Pokud vás to nevyděsilo, mělo by. Do této doby totiž banky v případě podvodných převodů reagovaly stejně jako v případě pojištěných kreditních karet. Pokud někdo zneužije váš účet k podvodným nákupům, dostali jste náhradu. Aktuální rozhodnutí soudu v USA však indikuje změny v tomto přístupu. Je to děsivá představa zejména s ohledem na fakt, že malé a střední firmy jsou dnes preferovaným cílem hackerů. Dá se očekávat, že přijde čas, kdy banky a obchodníci nebudou moci pokrýt obrovské finanční ztráty, ke kterým dochází díky podvodně získaným informacím o účtu s cílem dostat přístup k finančním prostředkům.

Systémy v cloudu jsou bezpečné, hrozbou jsou uživatelé
Se zabezpečením počítačových systémů malých podniků souvisí ještě jeden poměrně nový fenomén, cloud computing. Pronájem služeb typu hosting e-mailových serverů, datových úložišť, webových prezentací a mnoha dalších slibuje nižší náklady, větší flexibilitu a také větší bezpečnost. Řada malých firem na tyto argumenty reaguje a tak se tento segment rozvíjí raketovým tempem.

A skutečně především flexibilita je jednoznačně vyšší. Řešení založené na pronájmu výpočetního výkonu a diskových a přenosových kapacit umožňují jednoduše zvyšovat a snižovat objem poskytovaných služeb podle potřeb firmy a bez nároku na dlouhodobé investice. Další nezanedbatelná výhoda je správy systémů. Jak jsme už zmínili v úvodu, zejména malé firmy si nemohou dovolit vlastního správě IT. Pronájem služeb v „cloudovém systému“ tento problém řeší velmi elegantně. Jednoduchá údržba a jednoduché využívání se tak uvádí jako hlavní důvody pro přechod na technologii cloudu.

Zdálo by se tedy, že „cloudové systémy“ řeší všechny palčivé problémy malých firem včetně bezpečnosti. Ovšem tato oblast je zatím jednou z největších slabin. Ani ne tak pro cloudové systémy a služby a jejich nedostatečné zabezpečení, tam experti a správci vykonají ve většině případů velmi dobrou práci. Je to však opět ten nejslabší článek, kterým se může stát sám uživatel. K čemu je platná ten nejlépe zabezpečený virtuální počítač s několikanásobným zálohováním, když na pracovní stanici, z které na něho přistupujeme, bude vir, keylogger a nebo jiný škodlivý program?

Cloudové systémy jsou velmi efektivní a jejich popularita právem roste. Jeden kolega ze Silicon Valley mi nedávno řekl: „Neumím si už dnes představit, že bych pro svůj startup kupoval servery, všechno si pronajmu v cloudu.“ Navzdory tomu, nebo možná právě proto, je potřeba otázkám bezpečnosti věnovat dostatečnou pozornost. Vzdělávání uživatelů a varování před riziky počítačové kriminality je neoddělitelnou součástí toho všeho. Mějte to prosím ve vaší firmě na paměti, až budeme migrovat svoje systémy „do oblak“ i vy.

Autor je předsedou poradního technického výboru AVG Technologies.

Zdroj: Infoware.sk

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


šest − = dva

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz