Server Wikileaks, o kterém ještě před rokem nikdo nevěděl, změnil svět počítačové bezpečnosti. Zveřejnění citlivých a utajovaných dokumentů upozornilo na rizika, jimž čelí každý, kdo má nějaká tajná data. Nejde jen o americké diplomatické a vojenské sítě. V ohrožení jsou velké i malé firmy, umělci a nakonec každý, kdo používá osobní počítač.

Už počátkem tohoto roku se útočník dostal k nezveřejněným písničkám Gipsy.cz. Teď v prosinci začala policie kromě Wikileaks vyšetřovat napfříklad hackery, kteří ukradli nezveřejněné písně Lady Gaga, zpěvačky Kesha nebo Justina Timberlakea. Za tímto útokem stál student a jeho nezaměstnaný komplic z Německa. A to jsou jen střípky, které se dostaly na veřejnost.

Lidé s úniky dat bojují od počátku věků. S největší pravděpodobností se ze státních archivů vynášely už papyrové svitky a hliněné destičky. Nástup informačních technologií, zejména internetu a chytrých mobilních telefonů, znamenal rapidní nárůst problémů se zabezpečením dat.

Příklad Wikileaks ukazuje, že větší riziko než cílené útoky hackerů představují vlastní zaměstnanci. Ještě větší hrozbu pro citlivá data představují lidské chyby - neúmyslných je podle statistik bezpečnostní firmy Check Point 90 procent všech úniků dat.

Zjištění Check Pointu potvrzuje i další studie, za kterou stojí bezpečnostní experti z RSA a Microsoft. Podle průzkumu, který pro tyto firmy zpracoval Forrester Consulting, je nejčastější cestou, kudy z firmy unikají data, krádež nebo ztráta mobilního telefonu nebo laptopu následovaná nechtěným odesláním informací emailem.

Podle aktuální zprávy Symantec Intelligence Quarterly je ztráta nebo krádež hardwaru příčinou 38 procent všech případů ztráty dat. Až za těmito incidenty je zneužití přístupu k informacím zaměstnanci nebo krádež dat při odchodu z firmy. Každý takový incident stojí firmy stovky tisíc či miliony korun.

Domobrana proti ztrátě dat

Ochrana soukromých dat v domácím prostředí je snadnější než udržení tajemství ve velkých firmách. Výrazný podíl na tom má i fakt, že neznámý domácí uživatel nebude terčem takových útoků, jako servery bank nebo již zmíněné celebrity.

Základním pravidlem pro zajištění bezpečnosti dat je z pohledu domácího uživatele pravidelné aktualizování operačního systému aplikací, jako je webový prohlížeč nebo kancelářský balík. Nutností je používání legálního software, nelegální lze aktualizovat jen s obtížemi a hlavně, nelegální software často přímo obsahuje škodlivé kódy, které mohou útočníkům zpřístupnit obsah počítače, na který se takový software nainstaluje.

Počítač by měl být samozřejmě chráněný heslem a každý uživatel v domácnosti by měl mít svůj uživatelský účet tak, aby se lidé používající jeden počítač vzájemně nemohli nechtěně dostat ke svým soukromým datům. Heslo pro přístup k počítači by mělo být dostatečně silné - mělo by mít alespoň osm pozic a obsahovat speciální znaky - číslo nebo třeba pomlčku nebo zavináč.

Velká část uživatelů ale i přes neustálá varování odborníků používá jako heslo slovo “heslo” popřípadě jméno svého partnera nebo domácího mazlíčka. To vše je pro útočníka snadné odhalit.

Jedno heslo nestačí

S ohledem na aktuální únik informací o heslech 1,3 milionu čtenářů serverů Gawker, Kotaku nebo Gizmondo ze skupiny Gawker Media je žádoucí používat různá hesla pro vlastní počítač i internetové služby, aby jednou ukradené heslo nebylo možné zneužít i pro přístup k informacím uloženým jinde.

Nutné je také používat online služby s rozmyslem a využívat správně nastavení soukromí, aby soukromé informace, třeba fotografie, nebyly zbytečně veřejně dostupné. To se týká třeba fotografií na serveru Picasaweb nebo na úložišti Skydrive v rámci služeb Windows Live.

Aktualizovaný software minimalizuje riziko, že nějaký útočník zneužije známé chyby k získání kontroly nad osobním počítačem. Stejně důležité jako aktualizace a používání bezpečnostního softwaru je obyčejná opatrnost.

Nedávno odsouzený britský hacker se do počítačů svých obětí dostal tak, že rozeslal padesát milionů nevyžádaných e-mailů s nakaženými přílohami. Přílohu si spustilo více než 200 tisíc lidí. Hacker tak získal přístup k souborům uložených v počítačích včetně intimních fotografií, prostřednictvím webové kamery připojené k napadenému počítači také šmíroval své oběti včetně šestnáctileté dívky.

Dalším citlivým místem pro data obyčejných uživatelů je jejich mobilní telefon s uloženými kontakty, fotografiemi a videozáznamy. Moderní chytré telefony umožňují v případě ztráty na dálku obsah telefonu smazat. Aktivace této funkce by měla následovat okamžitě po zjištění ztráty. Efektivní bezpečnostní prvek představuje i obyčejný PIN.

Kombinace aktualizovaného systému, obezřetnosti a zabezpečeného telefonu by měla předejít všem problémům s bezpečností dat obyčejného uživatele. V případě opravdu citlivých dat, jako jsou intimní fotografie nebo videozáznamy je ideální takový obsah zašifrovat. To platí i pro pracovní data, která si třeba přenášíte domů.

Ochrana dat ve firmách a organizacích

Ve firmách platí stejné zásady, jako v domácím prostředí. Aktualizovaný (a legální) software, používání bezpečnostního softwaru a silných hesel by mělo být samozřejmostí. V prostředí s desítkami zaměstnanců ale takové základní zabezpečení nestačí, to, jak lidé dodržují pravidla je totiž těžké uhlídat, jak je vidět i na případu WikiLeaks.

V tomto případě pak nastupují specializované bezpečnostní systémy, které se zaměřují nejen na kontrolu dodržování bezpečnostních pravidel, ale rovnou na jejich vynucování. Takzvané DLP systémy (Data Loss Prevention - prevence ztráty dat) kontrolují, kdo přistupuje k jakým datům a jak s nimi zachází. V případě nepovolené manipulace s daty pak činnost buď přeruší a vyvolá alarm nebo na nežádoucí činnost upozorní správce systému, který může narušitele dále sledovat.

Stejně tak bezpečnostní systém ve firmách nebo velkých organizacích s citlivými daty umožňuje automaticky šifrovat citlivá data na přenosných discích nebo data ukládaná do mobilních telefonů. Nejde ale o levnou záležitost, ceny těchto systémů začínají na desítkách tisíc korun a pro velké firmy se mohou pohybovat v desítkách milionů korun.

Populární alternativou k internímu bezpečnostnímu systému je pro střední a větší firmy využití služeb cloud computingu. Ukládání citlivých dat na vzdálené servery totiž nabízí špičkové technologické zabezpečení, na které ve firmě, která se přímo nezabývá IT nebo nespravuje citlivé údaje tisíců klientů, nejspíše nebudou prostředky.

Provozovatelé služeb cloud computingu navíc musejí splňovat legislativní podmínky stanovené zeměmi, ve kterých sídlí jejich zákazníci. Cloud pro ukládání citlivých dat používají už například některé státy USA.