Cílem společnosti Safetica vždy bylo vytvořit svět, ve kterém se organizace bez ohledu na svou velikost nemusí obávat ztráty dat. Svět, kde břemeno ochrany citlivých informací před neustále se vyvíjejícími hrozbami přebírá důvěryhodný a kompetentní partner. Jedním z nejzranitelnějších odvětví v oblasti ochrany dat je finanční sektor. Ve finančním průmyslu činily odhadované průměrné náklady na únik dat (podle zprávy IBM Cost of a Data Breach Report 2022) 5,97 milionu USD – druhé nejvyšší hned po zdravotnictví. To není malá částka!
Proč musí finanční instituce věnovat zvláštní pozornost svým systémům řízení ochrany informací a proč si myslíme, že Safetica by měla být vaším partnerem v této oblasti?
Finanční instituce mají přístup k bezednému pokladu vysoce citlivých informací – číslům platebních karet, rodným číslům, datům narození, e-mailovým adresám a telefonním číslům. Pokud se tyto informace ztratí nebo jsou odcizeny, mohou způsobit nejrůznější problémy – od žalob a ztráty důvěry klientů až po závažné finanční důsledky. Nemluvě o velké bolesti hlavy spojené s obnovou po ztrátě dat, kterou si zdaleka ne každá organizace dokáže poradit.
Zavedení procesů a systémů pro zabezpečení dat patří pravděpodobně mezi první kroky, které finanční instituce učiní, ale udělat to správně není snadné. Je toho tolik, na co je třeba myslet!
Když se v systému začnou objevovat trhliny, je obvykle příliš pozdě je opravit bez určité ztráty dat. Zabezpečení dat musí být co nejodolnější vůči selhání hned od samého začátku.
Aby si organizace mohla být zcela jistá, že dělá vše pro ochranu dat, která jí byla svěřena, je třeba vzít v úvahu tak široké spektrum proměnných, že bez pomoci odborníka se to může snadno stát zdrcujícím.
Řešení Data Loss Prevention (DLP) mohou předcházet nehodám, ale také sledovat nežádoucí ztrátu nebo krádež dat, pokud k ní dojde (protože ne vše lze předvídat), reportovat o nich a zlepšovat stávající zásady, aby se stejná chyba v budoucnu neopakovala.
Když mluvíme o úniku dat, jde o porušení bezpečnosti, při kterém neoprávněná osoba (nebo skupina) získá nějakým způsobem přístup k citlivým datům organizace, ať už pro osobní použití, nebo obvykle se zlým úmyslem. To může znamenat, že data jsou prohlížena, kopírována nebo jinak ukradena, někdy s pomocí – záměrnou nebo nezáměrnou – někoho zevnitř postižené organizace.
Podle ročního reportu ITRC o únicích dat bylo 92 % případů kompromitace dat v prvním čtvrtletí roku 2022 výsledkem nějaké formy kybernetického útoku, a podle zprávy Verizon Data Breach byla v roce 2021 příčinou 82 % všech úniků dat lidská chyba.
Něco tak jednoduchého, jako přihlášení do systému organizace z nezabezpečené sítě při práci na dálku, krádež takového notebooku, naletění na phishingový e-mail nebo prostě nedostatečná opatrnost s přístupovými údaji může být přesně tou příležitostí, na kterou kyberútočník čeká.
A proto je zřejmé, že ochrana citlivých informací organizace před úniky dat není jen o vynikajícím IT systému, ale o mnohem víc.
Žádný firewall ani program neochrání organizaci před největší hrozbou – lidmi. Lidé jsou chytří, ale dělají chyby, což je jako dvousečný meč, který může poškodit jakoukoli finanční instituci.
Každá organizace, nejen ve finančním sektoru, musí v praxi zavést dobře promyšlený systém řízení bezpečnosti informací (ISMS), který zahrnuje zásady, postupy, technická opatření a školení zaměstnanců, abychom uvedli alespoň některé. To vše proto, aby se chránila nejen před útočícími lidmi, ale i před těmi, kteří dělají chyby (tedy před všemi lidmi).
Existují rámce, které může organizace použít k vytvoření a udržování svého ISMS. Například ISO 27001 je metodika zaměřená na vytvoření a implementaci efektivního ISMS. Není to snadný úkol bez odborné pomoci – nejedná se o pokyny krok za krokem, které sledujete při zavádění ISMS, je to komplexní průvodce v rámci každé organizace, která musí najít, co je a co není pro ni použitelné.
Když mluvíme o pravidlech a postupech, nejde jen o kroky, které se finanční instituce rozhodne podniknout k ochraně dat, některé zásady jsou stanoveny v regulatorních dokumentech a povinných bezpečnostních standardech.
Například standard PCI DSS (Payment Card Industry Data Security Standard) (zkráceně PCI) se vztahuje globálně na všechny subjekty, které zpracovávají, přenášejí nebo ukládají data držitelů platebních karet, bez ohledu na jejich velikost nebo počet transakcí. To znamená, že ve finančním sektoru se vztahuje na všechny.
Existují 4 úrovně souladu s PCI DSS a každá úroveň má jiné požadavky na ověření a podávání zpráv – čím větší organizace, tím náročnější jsou požadavky.
Nejedná se však o univerzální řešení nebo jednoduchý seznam, který stačí odškrtnout a hotovo. Mnoho finančních organizací považuje za náročné splnit bezpečnostní požadavky PCI DSS. Tím spíše, když si uvědomí, že to není jednorázová překážka, ale nepřetržité úsilí.
Nedodržení tohoto a dalších předpisů může mít za následek pokuty, audity a samozřejmě úniky dat se vším, co k tomu patří.
V rozsáhlém a propleteném světě prevence úniku dat budou DLP systémy a profesionální služby pro soulad s předpisy od Safetica působit jako úleva. Snažíme se přinést smysl a jasnost do ochrany dat, takže především jsou řešení Safetica snadno pochopitelná, snadno integrovatelná a cenově dostupná. A jsme na to hrdí.
Například naše řešení nové generace SaaS Safetica NXT obsahují vestavěné šablony a automatizaci, které IT administrátoři zvládnou v rámci svých stávajících kapacit, takže pro zaměstnance neexistují žádné další obtíže. Pro all-in-one prevenci ztráty dat Safetica ONE poskytujeme nejjednodušší implementaci a integraci on-prem podnikového DLP, integrace třetích stran a podporu souladu s předpisy.
Věříme, že bezpečnost by nikdy neměla být na úkor produktivity, bez ohledu na to, jak složitý je ekosystém vaší organizace. Snažíme se s organizacemi pracovat tak, abychom jim odlehčili od stresu, ne ho přidávali.