PRÁVO: Proč nefunguje ochrana informací v podnicích?
Víme o nich všichni. Nejsme schopni bez nich čehokoli dosáhnout, neumíme bez nich nic sestrojit a nic bez nich nefunguje. Víme, že je po nich poptávka a že jsou lidé, kteří je chtějí získat za každou cenu. O čem to vlastně mluvím? O informacích! O materiálních hodnotách, které nikdo nechrání i navzdory tomu, že jsou nejcennějším majetkem každého podniku.
Proč tedy vlastně podniky nechrání to nejdůležitější ze svého majetku, tedy informace, když ví, že by je chránit měly? Následující řádky se na tuto nesnadnou otázku pokusí najít odpověď.
Nedostatečné vědomí hodnoty informací aneb Management stojí za vším
Zeptáte-li se na finanční hodnotu informace, devět z deseti podnikových ředitelů odpoví, že hodnota informace je záležitost krajně subjektivní, příp. dokonce, že informace jsou zcela bezcenné. Jedna a táž informace může mít pro někoho hodnotu zanedbatelnou (pokud ji má), zatímco pro jiného hodnotu nezměrnou (když ji nemá). Managementy podniku velmi často zaměňují finanční hodnotu informace (je pro vedení podniku malá) a její důležitost (jejíž hodnota je vysoká). Je proto potřeba si uvědomit, že důležitost informací musí být zviditelněna určením jejich hodnoty (byť nikoli finanční) a rovněž zajištěním jejich bezpečnosti.
Důležitým důsledkem nedostatečného vědomí hodnoty informací ze strany vedení podniků je signál, který tak vysílají svým zaměstnancům. Pokud totiž vedení podniku otevřeně deklaruje, že "informace nejsou důležité", nemohou pak jiný přístup požadovat ani po zaměstnancích. Ostatně tomuto tématu se ještě budu podrobněji věnovat.
Ochrana informací by měla fungovat jako dobře nastavený termostat
Ochrana informací je oblastí, kterou každý vnímá optikou svých vlastních znalostí a zkušeností. Z toho pak zcela logicky plyne, že podniky oscilují mezi dvěma extrémy. První z nich ochranu informací nepovažuje za příliš důležitou a tudíž jej v podstatě nezajímá (tedy, alespoň dokud se něco nestane). Zatímco druhý zas naopak klade na ochranu informací obrovský důraz. Naneštěstí, ani jeden z těchto pohledů není z hlediska ochrany informací ten správný a šťastný.
Ochrana informací musí vždy reflektovat hlavní okolnosti, v nichž podnik pracuje. Zejména tedy velikost podniku, druh informací, které mají být chráněny, ale i různé venkovní vlivy - například všeobecnou bezpečnostní situaci státu, nebo vlastní pozici na trhu s produkty, které podnik vyrábí, příp. prodává. Všechny tyto aspekty by měly být zváženy vedením podniku a teprve na základě jejich rozboru by měla být podniknuta opatření k ochraně podnikových informací.
Vlastní hodnocení situace je týmová práce. Musí ji vždy společně dělat někdo nezávislý - znalý okolností vně podniku a všeobecných zásad bezpečnosti informací - společně se zaměstnancem (nebo zaměstnanci) podniku, znalým informací o postavení podniku na trhu s jeho produkty a zároveň i poměrů v podniku.
Ochrana informací musí v podniku pracovat jako dobře nastavený termostat. Musí být připravena k akci a "sepnout" se vždy ve správnou dobu, jinak hrozí dva extrémní stavy. Tedy stav, kdy ochrana informací buď nebude fungovat vůbec, a nebo naopak bude fungovat stále, čímž znechutí všechny dokola, a stane se tak kontraproduktivní. Laicky řečeno - neexistují dva podniky natolik stejné, aby mohly použít stejně vypracovanou a nastavenou ochranu informací. Ochrana informací musí být vždy tzv. ušita na míru konkrétnímu podniku.
Neznalost vedení podniků a nízká informovanost obyvatelstva o dopadech nedostatečné ochrany informací.
Je až ohromující, jakou neznalost v této oblasti vykazují členové managementů podniků (nejen) v České republice. Zatímco například v USA je ochrana informací považována za jednu z nejdůležitějších věcí (po primární obchodní činnosti), v Evropě její úroveň výrazně zaostává. Důsledkem je pak častý neúspěch při jednání o obchodních zakázkách, v nichž vítězí podniky s lepší ochranou vlastních informací a zároveň i s lepší schopností informace získávat na úkor (resp. "nelegálně od") jiných. Pokud má ochrana informací fungovat, musí vždy nejdříve dojít ke zvýšení bezpečnostního povědomí vedení jednotlivých podniků.
Management dodnes ochranu informací vnímá jako příliš vzdálenou a nedůležitou věc, kterou stejně nemůže ovlivnit. Pokud se zeptáte ředitele středně velkého podniku na oblast ochrany informací, budete pravděpodobně odkázáni na vedoucího informatiky. Od něj se pak s největší pravděpodobností dozvíte nanejvýš informaci o tom, že v podniku je hlídací služba, dále pak firewall, že používají antivirový systém a zároveň i systém pro detekci a odstraňování spamu, že dělají zálohy a archivují data. Vše důležité z pohledu současného managementu podniku tak bylo aplikováno.
Jenomže, tento přístup zcela opomíjí největší nebezpečí pro chráněné informace, jímž jsou samotní zaměstnanci podniku. K eliminaci některých rizik v ochraně informací totiž pomohou pouze organizační, objektová a personální opatření. A právě veškerá opatření objektové, personální a organizační povahy obvykle bývají v přístupu vedení firmy zcela opomíjena. V současnosti tak více než 80% podniků v ČR a víc než 50% evropských podniků nemá řádně zpracované a implementované předpisy pro ochranu informací a o jejich příp. vymáhání tak pochopitelně nemůže být ani zmínka. Nejsou-li řádně definována pravidla, nelze dbát na jejich dodržování. A to platí jak pro řízení společnosti, tak i ochranu informací.
Nedostatek zdrojů a nevhodné načasování investic do ochrany informací
Dokud se nic nestane - tedy, dokud se nestane něco, co vedení podniku důrazně upozorní na neudržitelnou situaci v oblasti ochrany informací - je jakákoli šance, že oddělení bezpečnosti dostane řádné a pravidelné přísuny investic, téměř nulová. Ale i zde je samozřejmě potřeba v první řadě zajistit přesun všech činností v ochraně informací k činnostem preventivním a nikoli až k následným reakcím po incidentu. Je totiž jasně dokázáno, že investice do prevence v ochraně informací jsou levnější a podstatně účinnější. Stručně řečeno - je mnohem jednodušší a efektivnější snažit se jakýmkoli incidentům v ochraně informací předcházet, než pak na ně zpětně reagovat. Podle údajů vládních agentur v USA je totiž průměrná cena incidentu v oblasti ochrany informací pro podnik rovna průměrně až 45% jeho ročního řádného nákladového rozpočtu.
Většina managementů v ČR (ale i v Evropě) však dosud nedokáže pochopit prostý fakt, že výdaje na ochranu majetku nejsou náklad, nýbrž úspora. Pokud dojde k incidentu v oblasti ochrany informací, je vždy mnohonásobně (až 50x) nákladnější odstranit jeho následky, než aplikovat předem příslušná opatření.
Nevhodný systém organizace ochrany informací
V současné době převládají v ochraně informací dva hlavní - a bohužel docela nevhodné - směry.
První směr je klasický, tzv. ochrankový - tedy orientace na hlídací službu. Ta však ochranu informací nezajistí. Ochranka (možná) zajistí, aby se někdo nepovolaný nedostal do podnikua tam něco fyzicky nezcizil. Ochranka dokáže většinou zajistit, aby zaměstnanci z podniku neodnášeli majetek. Avšak nikdy není schopná zajistit ochranu informací. Na to jsou zaměstnanci ochranných služeb opatřeni jen malou dávkou pravomocí a rovněž znalostí.
Druhý, ne zcela vhodný směr, je směr tzv. krabičkářů. Ovšem ochrana informací není jen věcí "inteligentních krabiček", jako jsou firewally, systémy detekce průniku, nebo prevence průniku, či různé VPN boxy. Nejsou jí ani jiné podobné high-tech produkty (nemluvě o faktu, že podnik nikdy nemá takových zařízení dostatek a stejně tak nemá ani dostatek znalostí pro jejich použití).
V tuto chvíli se již nepochybně rozzlobili odborníci na ochranu sítí a serverů, nebo webových stránek, protože mají pocit, že podceňuji "jejich nádobíčko". Byl bych nerad, aby to tak vyznívalo. Rozhodně nepodceňuji ochranu sítí firewally, která má podobný účinek, jako hlídací služba na zloděje - tedy, ochraňuje perimetr - hranici - sítě. Říkám, že největší nebezpečí v každém mechanizmu podnikového charakteru hrozí zevnitř - a tam moc podobných "inteligentních krabiček" nenajdete, protože zde stejně nepomohou (maximálně snad proti více nebo méně amatérským pokusům vniknout se do nějakého odkladiště dat).
Největší nebezpečí pochází od zaměstnanců - změňme způsob jejich myšlení.
Skutečně největší nebezpečí se nachází v myslích a v chování zaměstnanců podniků. Zaměstnanec, přistupující k informacím, je sám jejich největším nebezpečím. A nebezpečí vzrůstá, když zaměstnanec podniku není schopen sám rozlišit, zda akce, kterou chce provést, znamená nebezpečí pro informace podniku. Pokud je tedy například zaměstnanec požádán o sdělení přístupových údajů k podnikové síti, musí odmítnout cokoliv sdělit, byť by měl pocit, že hovoří s prezidentem svého podniku.
Klíčem k bezpečnosti je pravidelné a opakované školení zásad ochrany informací, přezkušování znalostí těchto zásad a zejména jejich tvrdé a nekompromisní vymáhání. Zaměstnanci ale musí cítit tlak vedení na ochranu informací (zde se dostáváme k jedné z prvních vět tohoto článku), protože jinak jakékoliv vymáhání těchto zásad v podstatě ztrácí smysl.
Co tedy říci závěrem?
Ochrana informací se mění stejně jako kterákoli jiná oblast lidského konání. Dík novým technologiím je čím dál obtížnější tok informací sledovat a informace chránit. V zemích, kde ochrana informací není "v plenkách", lze vypozorovat stále silnější a neustále nové tendence v ochraně informací:
- 91% velkých firem (s více než 5000 zaměstnanci) a 83% středních firem (500 až 5000 zaměstnanců) si myslí, že je čas na změnu pohledu na ochranu informací.
- Spokojenost s výkonem ochrany informací ve velkých firmách je posuzována známkou 5,1 (na stupnici od 1 - nejlepší do 10 - nejhorší). U středních firem je tato známka 7,8.
- Dochází k přesunu pozornosti od ochrany perimetru, k k ochraně vybraných "hodnot" s vysokou důležitostí.
- Dochází k přesunu pozornosti od nasazování zařízení, k vlastnímu managementu chování lidí.
- Dochází k přesunu od důrazu na doporučení externích konzultantů, k implementaci opatření, která podniky opravdu potřebují.
- Dochází k upřednostňování prevence, před odstraňováním následků.
- Dochází k upřednostňování bezpečnosti vývoje informačních systémů a vlastní bezpečnosti informačních systémů, před neustálým opravováním jednotlivých bezpečnostních citlivostí informačních systémů.
Situace v oblasti ochrany informací v ČR ale stále není taková, jaká by být měla. Pouze několik podniků implementuje alespoň základní pravidla ochrany informací (vesměs to ale bývají podniky se zahraniční majetkovou účastí, vědomé si hodnoty svých informací). Důkazem špatného stavu v této oblasti je také poptávka po bezpečnostních odbornících, která vlastně neexistuje.
Proč tedy vlastně podniky nechrání to nejdůležitější ze svého majetku, tedy informace, když ví, že by je chránit měly? Následující řádky se na tuto nesnadnou otázku pokusí najít odpověď.
Nedostatečné vědomí hodnoty informací aneb Management stojí za vším
Zeptáte-li se na finanční hodnotu informace, devět z deseti podnikových ředitelů odpoví, že hodnota informace je záležitost krajně subjektivní, příp. dokonce, že informace jsou zcela bezcenné. Jedna a táž informace může mít pro někoho hodnotu zanedbatelnou (pokud ji má), zatímco pro jiného hodnotu nezměrnou (když ji nemá). Managementy podniku velmi často zaměňují finanční hodnotu informace (je pro vedení podniku malá) a její důležitost (jejíž hodnota je vysoká). Je proto potřeba si uvědomit, že důležitost informací musí být zviditelněna určením jejich hodnoty (byť nikoli finanční) a rovněž zajištěním jejich bezpečnosti.
Důležitým důsledkem nedostatečného vědomí hodnoty informací ze strany vedení podniků je signál, který tak vysílají svým zaměstnancům. Pokud totiž vedení podniku otevřeně deklaruje, že "informace nejsou důležité", nemohou pak jiný přístup požadovat ani po zaměstnancích. Ostatně tomuto tématu se ještě budu podrobněji věnovat.
Ochrana informací by měla fungovat jako dobře nastavený termostat
Ochrana informací je oblastí, kterou každý vnímá optikou svých vlastních znalostí a zkušeností. Z toho pak zcela logicky plyne, že podniky oscilují mezi dvěma extrémy. První z nich ochranu informací nepovažuje za příliš důležitou a tudíž jej v podstatě nezajímá (tedy, alespoň dokud se něco nestane). Zatímco druhý zas naopak klade na ochranu informací obrovský důraz. Naneštěstí, ani jeden z těchto pohledů není z hlediska ochrany informací ten správný a šťastný.
Ochrana informací musí vždy reflektovat hlavní okolnosti, v nichž podnik pracuje. Zejména tedy velikost podniku, druh informací, které mají být chráněny, ale i různé venkovní vlivy - například všeobecnou bezpečnostní situaci státu, nebo vlastní pozici na trhu s produkty, které podnik vyrábí, příp. prodává. Všechny tyto aspekty by měly být zváženy vedením podniku a teprve na základě jejich rozboru by měla být podniknuta opatření k ochraně podnikových informací.
Vlastní hodnocení situace je týmová práce. Musí ji vždy společně dělat někdo nezávislý - znalý okolností vně podniku a všeobecných zásad bezpečnosti informací - společně se zaměstnancem (nebo zaměstnanci) podniku, znalým informací o postavení podniku na trhu s jeho produkty a zároveň i poměrů v podniku.
Ochrana informací musí v podniku pracovat jako dobře nastavený termostat. Musí být připravena k akci a "sepnout" se vždy ve správnou dobu, jinak hrozí dva extrémní stavy. Tedy stav, kdy ochrana informací buď nebude fungovat vůbec, a nebo naopak bude fungovat stále, čímž znechutí všechny dokola, a stane se tak kontraproduktivní. Laicky řečeno - neexistují dva podniky natolik stejné, aby mohly použít stejně vypracovanou a nastavenou ochranu informací. Ochrana informací musí být vždy tzv. ušita na míru konkrétnímu podniku.
Neznalost vedení podniků a nízká informovanost obyvatelstva o dopadech nedostatečné ochrany informací.
Je až ohromující, jakou neznalost v této oblasti vykazují členové managementů podniků (nejen) v České republice. Zatímco například v USA je ochrana informací považována za jednu z nejdůležitějších věcí (po primární obchodní činnosti), v Evropě její úroveň výrazně zaostává. Důsledkem je pak častý neúspěch při jednání o obchodních zakázkách, v nichž vítězí podniky s lepší ochranou vlastních informací a zároveň i s lepší schopností informace získávat na úkor (resp. "nelegálně od") jiných. Pokud má ochrana informací fungovat, musí vždy nejdříve dojít ke zvýšení bezpečnostního povědomí vedení jednotlivých podniků.
Management dodnes ochranu informací vnímá jako příliš vzdálenou a nedůležitou věc, kterou stejně nemůže ovlivnit. Pokud se zeptáte ředitele středně velkého podniku na oblast ochrany informací, budete pravděpodobně odkázáni na vedoucího informatiky. Od něj se pak s největší pravděpodobností dozvíte nanejvýš informaci o tom, že v podniku je hlídací služba, dále pak firewall, že používají antivirový systém a zároveň i systém pro detekci a odstraňování spamu, že dělají zálohy a archivují data. Vše důležité z pohledu současného managementu podniku tak bylo aplikováno.
Jenomže, tento přístup zcela opomíjí největší nebezpečí pro chráněné informace, jímž jsou samotní zaměstnanci podniku. K eliminaci některých rizik v ochraně informací totiž pomohou pouze organizační, objektová a personální opatření. A právě veškerá opatření objektové, personální a organizační povahy obvykle bývají v přístupu vedení firmy zcela opomíjena. V současnosti tak více než 80% podniků v ČR a víc než 50% evropských podniků nemá řádně zpracované a implementované předpisy pro ochranu informací a o jejich příp. vymáhání tak pochopitelně nemůže být ani zmínka. Nejsou-li řádně definována pravidla, nelze dbát na jejich dodržování. A to platí jak pro řízení společnosti, tak i ochranu informací.
Nedostatek zdrojů a nevhodné načasování investic do ochrany informací
Dokud se nic nestane - tedy, dokud se nestane něco, co vedení podniku důrazně upozorní na neudržitelnou situaci v oblasti ochrany informací - je jakákoli šance, že oddělení bezpečnosti dostane řádné a pravidelné přísuny investic, téměř nulová. Ale i zde je samozřejmě potřeba v první řadě zajistit přesun všech činností v ochraně informací k činnostem preventivním a nikoli až k následným reakcím po incidentu. Je totiž jasně dokázáno, že investice do prevence v ochraně informací jsou levnější a podstatně účinnější. Stručně řečeno - je mnohem jednodušší a efektivnější snažit se jakýmkoli incidentům v ochraně informací předcházet, než pak na ně zpětně reagovat. Podle údajů vládních agentur v USA je totiž průměrná cena incidentu v oblasti ochrany informací pro podnik rovna průměrně až 45% jeho ročního řádného nákladového rozpočtu.
Většina managementů v ČR (ale i v Evropě) však dosud nedokáže pochopit prostý fakt, že výdaje na ochranu majetku nejsou náklad, nýbrž úspora. Pokud dojde k incidentu v oblasti ochrany informací, je vždy mnohonásobně (až 50x) nákladnější odstranit jeho následky, než aplikovat předem příslušná opatření.
Nevhodný systém organizace ochrany informací
V současné době převládají v ochraně informací dva hlavní - a bohužel docela nevhodné - směry.
První směr je klasický, tzv. ochrankový - tedy orientace na hlídací službu. Ta však ochranu informací nezajistí. Ochranka (možná) zajistí, aby se někdo nepovolaný nedostal do podnikua tam něco fyzicky nezcizil. Ochranka dokáže většinou zajistit, aby zaměstnanci z podniku neodnášeli majetek. Avšak nikdy není schopná zajistit ochranu informací. Na to jsou zaměstnanci ochranných služeb opatřeni jen malou dávkou pravomocí a rovněž znalostí.
Druhý, ne zcela vhodný směr, je směr tzv. krabičkářů. Ovšem ochrana informací není jen věcí "inteligentních krabiček", jako jsou firewally, systémy detekce průniku, nebo prevence průniku, či různé VPN boxy. Nejsou jí ani jiné podobné high-tech produkty (nemluvě o faktu, že podnik nikdy nemá takových zařízení dostatek a stejně tak nemá ani dostatek znalostí pro jejich použití).
V tuto chvíli se již nepochybně rozzlobili odborníci na ochranu sítí a serverů, nebo webových stránek, protože mají pocit, že podceňuji "jejich nádobíčko". Byl bych nerad, aby to tak vyznívalo. Rozhodně nepodceňuji ochranu sítí firewally, která má podobný účinek, jako hlídací služba na zloděje - tedy, ochraňuje perimetr - hranici - sítě. Říkám, že největší nebezpečí v každém mechanizmu podnikového charakteru hrozí zevnitř - a tam moc podobných "inteligentních krabiček" nenajdete, protože zde stejně nepomohou (maximálně snad proti více nebo méně amatérským pokusům vniknout se do nějakého odkladiště dat).
Největší nebezpečí pochází od zaměstnanců - změňme způsob jejich myšlení.
Skutečně největší nebezpečí se nachází v myslích a v chování zaměstnanců podniků. Zaměstnanec, přistupující k informacím, je sám jejich největším nebezpečím. A nebezpečí vzrůstá, když zaměstnanec podniku není schopen sám rozlišit, zda akce, kterou chce provést, znamená nebezpečí pro informace podniku. Pokud je tedy například zaměstnanec požádán o sdělení přístupových údajů k podnikové síti, musí odmítnout cokoliv sdělit, byť by měl pocit, že hovoří s prezidentem svého podniku.
Klíčem k bezpečnosti je pravidelné a opakované školení zásad ochrany informací, přezkušování znalostí těchto zásad a zejména jejich tvrdé a nekompromisní vymáhání. Zaměstnanci ale musí cítit tlak vedení na ochranu informací (zde se dostáváme k jedné z prvních vět tohoto článku), protože jinak jakékoliv vymáhání těchto zásad v podstatě ztrácí smysl.
Co tedy říci závěrem?
Ochrana informací se mění stejně jako kterákoli jiná oblast lidského konání. Dík novým technologiím je čím dál obtížnější tok informací sledovat a informace chránit. V zemích, kde ochrana informací není "v plenkách", lze vypozorovat stále silnější a neustále nové tendence v ochraně informací:
- 91% velkých firem (s více než 5000 zaměstnanci) a 83% středních firem (500 až 5000 zaměstnanců) si myslí, že je čas na změnu pohledu na ochranu informací.
- Spokojenost s výkonem ochrany informací ve velkých firmách je posuzována známkou 5,1 (na stupnici od 1 - nejlepší do 10 - nejhorší). U středních firem je tato známka 7,8.
- Dochází k přesunu pozornosti od ochrany perimetru, k k ochraně vybraných "hodnot" s vysokou důležitostí.
- Dochází k přesunu pozornosti od nasazování zařízení, k vlastnímu managementu chování lidí.
- Dochází k přesunu od důrazu na doporučení externích konzultantů, k implementaci opatření, která podniky opravdu potřebují.
- Dochází k upřednostňování prevence, před odstraňováním následků.
- Dochází k upřednostňování bezpečnosti vývoje informačních systémů a vlastní bezpečnosti informačních systémů, před neustálým opravováním jednotlivých bezpečnostních citlivostí informačních systémů.
Situace v oblasti ochrany informací v ČR ale stále není taková, jaká by být měla. Pouze několik podniků implementuje alespoň základní pravidla ochrany informací (vesměs to ale bývají podniky se zahraniční majetkovou účastí, vědomé si hodnoty svých informací). Důkazem špatného stavu v této oblasti je také poptávka po bezpečnostních odbornících, která vlastně neexistuje.
