Milan pracoval v jednej malej bratislavskej firme na čiastočný úväzok. Keď dostal výpoveď, zamestnávateľ mu dlhoval mzdu. A keďže peniaze odmietal vyplatiť, rozhodol sa Milan vyriešiť situáciu netradičným spôsobom. Zmazal firemnú databázu s údajmi o zákazníkoch vrátane všetkých kontaktných údajov a vystavených faktúr. Predtým ju však zálohoval na prenosnom médiu. A bývalému zamestnávateľovi oznámil, že ju vráti až po vyplatení mzdy.
No nielen neseriózni zamestnávatelia môžu prísť o cenné dáta. Prepúšťanie, ktorému sa v čase recesie mnohé firmy nevyhnú, dokáže k sťahovaniu firemných dát podnietiť aj dovtedy bezproblémových zamestnancov. Aj o tejto problematike mohli debatovať účastníci tohtoročnej TREND konferencie Infotrendy.
Príprava na prepustenie
Bezpečnostní manažéri podľa medzinárodných prieskumov očakávajú, že v tomto roku počet krádeží a zneužitia dát či ničenia firemných informačných aktív vzrastie. Čiastočne preto, že dochádza k znižovaniu rozpočtov na informačnú bezpečnosť.
No prispeje k tomu i väčšia neistota a zhoršené vyhliadky na trhu práce, ktoré pociťujú zamestnanci. „Dá sa tiež očakávať, že úroveň preventívnych opatrení sa v mnohých prípadoch ukáže ako nepostačujúca,“ mieni obchodný riaditeľ spoločnosti Logica Vladimír Sedláček.
Sťahovanie citlivých firemných dát nie je len doménou prepustených pracovníkov. Poukázal na to prieskum „Globálna recesia a jej efekty na pracovnú etiku“ americkej spoločnosti Cyber-Ark Software z decembra uplynulého roku.
Podľa neho mnohí pracovníci uvažujú o sťahovaní firemných dát už pri hrozbe straty zamestnania. Preventívne by si ich stiahli štyria z desiatich respondentov z Veľkej Británie a takmer 60 percent Američanov. Z trojice krajín zahrnutých do prieskumu najmenšiu lojalitu k zamestnávateľovi preukázali Holanďania. Dáta by si nevzali len traja z desiatich oslovených pracovníkov.
Prieskum za Slovensko, ktorý by mapoval odhodlanie zamestnancov vziať si firemné dáta či priamo takéto bezpečnostné incidenty, k dispozícii nie je. Mnohé spoločnosti o úniku informácií ani nemusia vedieť. A tie, ktorým sa to stalo, sa chvália nerady.
Dôvodov, prečo sa zamestnanci k takýmto krokom uchýlia, je viacero. Môžu tak zvýšiť svoju hodnotu na trhu práce, prípadne chcú kontakty využiť v novej práci. „Dáta zamestnávateľov sú využívané bývalými zamestnancami a značná časť súčasných zamestnancov nepovažuje za neetické správať sa podobne,“ upozorňuje V. Sedláček. A dodáva, že hoci v súčasnosti nie je prevažujúcim motívom cielených krádeží dát a osobných údajov snaha speňažiť tieto informácie, môže sa ním stať.
Samozrejme, príčinou odcudzenia dát môže byť aj pomsta. „Ak je človek nahnevaný a nepristupuje sa k nemu seriózne, môže dôjsť aj k takejto impulzívnej reakcii,“ hovorí konateľka poradenskej a psychologickej spoločnosti Heureca HRC Eva Klimová.
Informujú...
Ako sa na možnosť krádeže dát pozerajú firmy na Slovensku? Miniprieskum TRENDU ukázal, že s rizikom úniku citlivých informácií pri odchode zamestnanca rátajú. A dávnejšie zaviedli viaceré opatrenia, aby tejto hrozbe predchádzali.
Väčšie firmy zvyknú pracovníkov oboznámiť s internými pravidlami narábania s údajmi i so zákonmi v tejto oblasti v rámci úvodného školenia. Zamestnanci tiež obvykle pri nástupe do zamestnania podpisujú dohodu o mlčanlivosti. Pracovníci sú povinní dodržiavať ju aj po ukončení pracovného pomeru, čo firmám umožní v prípade potreby vynútiť si jej dodržanie aj súdnou cestou.
Medzi celosvetovo najznámejšie prípady úniku citlivých informácií a s tým spojenej špionáže patrí určite spor dvoch súperov z pretekov F1. Hlavnú úlohu v ňom zohral bývalý mechanik tímu Ferarri Nigel Stepney, ktorý mal poskytnúť technickú dokumentáciu dizajnérovi z konkurenčného tímu McLaren-Mercedes. Medzinárodná motoristická federácia v roku 2007 uložila McLarenu pokutu vo výške sto miliónov dolárov a vylúčila ho z Pohára konštruktérov 2007. Potrestaný tím neskôr priznal, že tajné materiály zneužil pri konštrukcii svojho monopostu.
... a obmedzujú
No školenia a zmluvy sú len prvým krokom k ochrane dát. „Po technickej stránke dôsledne využívame možnosti používaných systémov – nastavenie používateľských práv, selektívny prístup k informáciám, logovanie prístupov k citlivým informáciám,“ vysvetľuje hovorkyňa Slovak Telekomu Jana Burdová.
Možností je veľa. Napríklad zamestnanci pracujúci z domu, ktorí sa pripájajú do informačných systémov firiem, môžu mať obmedzené niektoré funkcie ako tlač dokumentov, kopírovanie či spúšťanie rôznych programov.
Union poisťovňa zase bráni úniku informácií dátovou centralizáciou. „Implementovali sme pokrokové technológie tenkých klientov, na ktorých sa lokálne nenachádzajú žiadne dáta a nie je možné ich nahrať na prenosný dátový nosič,“ vysvetľuje vedúca odboru komunikácie Judita Smatanová.
Práve USB kľúče a pamäťové karty sú podľa prieskumu Cyber-Ark pre mnohých zamestnancov najlepším spôsobom, ako si odniesť firemné dáta. Menej obľúbeným riešením je poslať si informácie e-mailom či dokumenty jednoducho vytlačiť a odniesť.
Najväčší záujem majú zamestnanci o databázy kontaktov a zákazníkov, firemné plány a návrhy, produktové informácie. A, prirodzene, o prístupové heslá a kódy. Aj preto by malo byť samozrejmosťou okamžité zrušenie prístupových práv pri odchode pracovníka. A odobratie používanej techniky pred odchodom, ak ju zamestnanec na výkon práce už nepotrebuje.
Pomôže aj upozornenie
Pravda, na podstatné zníženie rizika úniku informácií niekedy netreba zavádzať nové stupne ochrany. Na vlastnej koži sa o tom presvedčila nemenovaná európska poisťovacia spoločnosť, ktorá si chcela overiť, ako jej zamestnanci narábajú s dátami. A preto si najala firmu Verdasys, aby tri týždne monitorovala vyše päťsto používateľov interného informačného systému.
Hoci všetci zamestnanci prešli vstupným školením o tom, ako majú narábať s dátami, pravidlá bežne porušovali. Najčastejšie kopírovali nepovolené dáta na prenosné médiá. Druhým najbežnejším prehreškom bolo vypínanie bezpečnostného softvéru. Ten pravidelne skenoval pracovné stanice, aby zistil prítomnosť vírusov a škodlivých kódov a kontroloval ochranné nastavenia ako napríklad zapnutie firewallu.
Poisťovňa zamestnancov najprv len v tichosti monitorovala. Potom im oznámila, že ich sleduje, a neskôr začal informačný systém automaticky upozorňovať používateľa na každé porušenie bezpečnostných pravidiel. „Samotné upozornenia znížili výskyt incidentov takmer na nulu,“ sumarizuje V. Sedláček. A pripomína, že nebolo potrebné žiadne preškoľovanie zamestnancov. Stačilo ich odkázať na platnú bezpečnostnú politiku.
Podľa E. Klimovej môže rozhodnutie zamestnanca, či si firemné dáta odnesie alebo neodnesie, čiastočne ovplyvniť i kultúra firmy. Teda nielen formálne pravidlá, ale aj štýl riadenia, prístup manažérov k pracovníkom a spôsob komunikácie. „Netreba ľudí zavádzať. Aj v čase prepúšťania im treba poskytovať čo možno najpravdivejšie a najpresnejšie informácie,“ mieni.
A upozorňuje, že odkladanie oznámenia o prepúšťaní môže mať opačný efekt, ako by si firmy želali. Preto, lebo rôzne šumy medzi zamestnancami môžu narobiť väčšie škody a ešte viac zneistiť zamestnancov ako jasné posolstvo od manažmentu. Navyše seriózny prístup firmy vytvára predpoklady na seriózne správanie zamestnancov, uzatvára.
Ilustračné foto - Profimedia.cz
