Firmu může ohrozit i její vlastní IT pracovník, třeba když si vytvoří vlastní wi-fi síť.

Pavel je IT administrátor středně velké výrobní firmy ze severní Moravy. Jeho motivace k porušení interních pravidel byla vlastně bohulibá: do náplně jeho práce patří poskytovat IT podporu pracovníkům v celém komplexu firmy, takže potřeboval mít vždy po ruce svůj notebook a připojení k internetu. Jenže firma neměla wi-fi síť, takže musel v každé kanceláři hledat volnou zásuvku na připojení kabelem.

Vytvořil si proto vlastní wi-fi. Do firemní sítě zapojil vysílač (access point), který si sám opatřil, dostatečně výkonný, aby měl signál bez problémů všude v podniku. „První potíž byla v tom, že síť nebyla zabezpečená proti neautorizovanému přístupu, takže se k ní mohl připojit kdokoli. A díky vysokému výkonu mu stačilo sedět třeba vedle v parku na lavičce,“ říká Jan Kopřiva, vedoucí bezpečnostního týmu společnosti ALEF NULA. Nejhorší však bylo, že Pavel svůj access point připojil do části firemní sítě, ke které byly připojeny i servery s veškerými daty.

artboard_12_copy_wifi

„Kdokoli zvenku se tak mohl dostat k citlivým firemním informacím. Naštěstí se nic takového nestalo, jak ukázala zpětná analýza datového provozu v síti. Krádež dat může ale v krajním případě znamenat konec podnikání, takže v sázce bylo opravdu hodně,“ popisuje Jan Kopřiva.

„Tento případ ukazuje, že bezpečnost nelze řešit jen nějakou chytrou krabičkou, kterou někde ve firmě zapneme, a dál se o nic nestaráme,“ doplňuje Milan Habrcetl, expert na kybernetickou bezpečnost společnosti Cisco. Péče o bezpečnost podle něj vyžaduje komplexní propracovaný systém, který zahrnuje technická zařízení, závazné směrnice, pravidelná školení a krizový plán pro případ odhalení bezpečnostních incidentů.

Také je dobré jasně oddělit role těch, kdo se starají o běžný provoz firemního IT a kdo mají na starost právě kybernetickou bezpečnost. „To by totiž popisovanou rizikovou situaci zastavilo hned v zárodku. Je třeba jasně říci, že nastavení a vymáhání pravidel je zodpovědností vrcholového managementu firmy. Rizika při jejich porušení jsou prostě příliš vysoká,“ konstatuje Milan Habrcetl.