Według raportu „The Security Paradox” opublikowanego w październiku tego roku, średnio jedna na 5 firm odnotowała problemy z bezpieczeństwem danych, co skutkowało dla każdej stratą równowartości 41 tysięcy dolarów. O ile z błędami – ludzkimi czy też konfiguracyjnymi – można sobie radzić, podejmując szereg działań prewencyjnych; o tyle w przypadku świadomych ataków cyber-przestępców jest znacznie trudniej. Czy i w jaki sposób można zabezpieczyć firmę przed utratą lub kradzieżą istotnych danych?

Jednym z najpoważniejszych zagrożeń dla bezpieczeństwa firmy są ataki hakerów… Ataki na systemy komputerowe stały się powszechne. Dawniej przeprowadzenie takiego ataku wymagało specjalistycznej wiedzy, a dziś wystarczy użycie jednego z exploitów (programy mające na celu wykorzystanie błędów w oprogramowaniu lub systemach), które publikowane są na wielu portalach. Wtedy wszystko odbywa się praktycznie automatycznie. – wyjaśnia Piotr Błaszczeć, ekspert ds. systemów IT, biegły sądowy.

Następnym po atakach zagrożeniem dla bezpieczeństwa danych w firmie są błędy, zarówno ludzkie, jak i konfiguracyjne. Aby ochrona danych w firmie była skuteczna, trzeba dbać nie tylko o kanały, jakimi przepływają, ale także o „higienę” miejsca przechowywania, biorąc pod uwagę wszystkie możliwe zagrożenia.

Zabezpieczenie nośników

Ochrona miejsc, w jakich dane są przechowywane, obejmuje szereg aspektów: to przede wszystkim kontrola dostępu do fizycznych nośników (serwerownie). Problem komplikuje się, jeśli firma korzysta z technologii chmury – z jednej strony pozwala to na zminimalizowanie ryzyka utraty danych, z drugiej podnosi ryzyko ich wycieku. Miejscem przechowywania danych są też służbowe smartfony oraz laptopy, które również należy odpowiednio zabezpieczyć na wypadek przechwycenia przez niepowołane osoby (na przykład w przypadku zagubienia). Można to zrobić za pomocą wprowadzenia kodów pin.

Kolejnym etapem zabezpieczania miejsc przechowywania danych jest kontrola wirtualnego dostępu. Polega ona na zarządzanie uprawnieniami dla pracowników, tak by dostęp do poszczególnych danych był zależny od statusu i rodzaju wykonywanych obowiązków w firmie. Oprócz tego konieczne jest powadzenie szkoleń wewnętrznych. – Regularna edukacja pracowników mająca na celu wypracowanie odpowiednich procedur  jest niezbędna dla podtrzymania kontroli wirtualnego dostępu do danych – mówi Patryk Pietroń, administrator sieci w firmie IT Kontrak. – Nieodpowiedzialne korzystanie z oprogramowania może doprowadzić do wystąpienia błędu, lub skutkować w osłabieniu ochrony na wypadek ataku hakerskiego.

Bezpieczne kanały transmisji

Korzystanie z odpowiednich technologii pozwala ustrzec się przed przejęciem strumienia danych przez cyber-przestępców. Dwa główne narzędzia ochrony transmisji danych to SSL oraz VPN. – Podczas przesyłania danych należy korzystać z połączeń szyfrowanych SSL – wyjaśnia dalej Patryk Pietroń. – Jeśli przedsiębiorca często znajduje się poza biurem, a potrzebuje stałego dostępu do danych firmowych, najlepszym rozwiązaniem jest VPN (Virtual Private Network), która pozwala w sposób bezpieczny łączyć się z prywatną siecią jego firmy za pomocą sieci publicznej – dodaje ekspert IT Kontrakt.

W przypadku transmisji danych minimalizacja ryzyka wystąpienia błędu to poprawne zaprojektowanie, skonfigurowanie i wdrażanie systemów przesyłania danych. Należy do tego zatrudnić  wykwalifikowanych specjalistów oraz upewnić się, że osoby zajmujące się tym w firmie na co dzień przejdą odpowiednie szkolenie.

Osoby odpowiedzialne za bezpieczeństwo danych powinny mieć stałą świadomość zagrożenia wynikającego z możliwości ataku bądź zawodności systemów transmisji. Tylko w ten sposób można podjąć odpowiednie kroki prewencyjne. Wprawdzie ryzyka związanego z elektronicznym przetrzymywaniem i przetwarzaniem danych nie da się całkowicie wyeliminować, można jednak znacząco ograniczyć negatywne skutki błędów, lub prób wyłudzenia. Przeprowadzanie regularnych audytów bezpieczeństwa pozwala na wykrycie słabych punktów systemu chroniącego dane.