Interní hrozba je větší, než si myslíte
Externí hackeři představují jen část krajiny hrozeb. Bezpečnostní statistiky ukazují, že insider hrozby — akce zaměstnanců, dodavatelů a partnerů s přístupem do systémů — tvoří více než polovinu nákladných incidentů. Část z nich jsou záměrné akce nelojálních zaměstnanců. Většina jsou chyby — někdo odeslal soubor na špatnou adresu, zkopíroval data na osobní disk nebo klikl na phishingový odkaz z účtu s širokými oprávněními.
V obou případech mohou být důsledky katastrofální: ztráta zákaznických dat, porušení GDPR, finanční sankce, reputační škody a právní řízení. PAM (Privileged Access Management) a DLP (Data Loss Prevention) jsou technologické odpovědi na tyto hrozby.
PAM — kontrola nad privilegovanými účty
Privilegované účty — správci systémů, DBA, DevOps inženýři, servisní účty — mají přístup ke všemu. Kompromitace takového účtu znamená kompromitaci celého prostředí. PAM implementuje princip nejmenšího oprávnění a plnou kontrolu nad každou privilegovanou relací.
Klíčové PAM mechanismy zahrnují:
- Password Vault — hesla pro privilegované účty jsou uložena v šifrovaném trezoru. Uživatelé nikdy neznají skutečné heslo — systém ho po každé relaci automaticky rotuje.
- Nahrávání relací — každá privilegovaná relace je nahrávána (video a stisky kláves). V případě incidentu máte kompletní záznam toho, co bylo provedeno, kdy a kým.
- Just-in-Time Access — oprávnění jsou udělována na dobu konkrétního úkolu a automaticky odvolána po jeho dokončení. Nikdo nechodí s trvalým přístupem k produkci.
- Vícefaktorové ověřování — každé přihlášení k privilegovanému účtu vyžaduje MFA, bez výjimky.
DLP — ochrana dat před únikem
Data Loss Prevention je systém monitorující tok dat v organizaci a blokující neoprávněný přenos důvěrných informací. DLP funguje na třech úrovních:
- Data v používání — monitoring akcí uživatelů na pracovních stanicích: kopírování do schránky, pokusy o tisk, snímky obrazovky, přenos souborů do neautorizovaných aplikací.
- Data v pohybu — inspekce síťového provozu: e-mail, HTTP, FTP, cloud. Systém rozpoznává vzory důvěrných dat (rodná čísla, data platebních karet, klauzule NDA) a blokuje nebo varuje.
- Data v klidu — skenování disků a repozitářů na důvěrná data uložená mimo autorizovaná místa.
UEBA — detekce behaviorálních anomálií
User and Entity Behavior Analytics (UEBA) je AI vrstva nad PAM a DLP. Systém buduje základní linii normálního chování pro každého uživatele — kdy se přihlašuje, ke kterým systémům přistupuje, kolik dat zpracovává, odkud. Když se objeví odchylky od normy — přihlášení ve 3 hodiny ráno, hromadné stahování dat, přístup z neznámé země — systém generuje upozornění a může automaticky zablokovat relaci do ověření.
UEBA detekuje útoky, které obešly perimetrové systémy. Ukradené heslo je pro útočníka jen polovina bitvy — pokud se jeho chování odlišuje od chování legitimního uživatele, UEBA hrozbu identifikuje.
Implementace PAM/DLP v souladu s NIS2 a GDPR
Směrnice NIS2 a GDPR vyžadují od organizací implementaci vhodných technických a organizačních opatření ochrany dat. PAM a DLP jsou v tomto ohledu uznávány jako průmyslové standardy. Správně implementované výrazně snižují riziko narušení a slouží jako důkaz due diligence v případě incidentu. ESKOM.AI implementuje PAM a DLP s kompletní dokumentací bezpečnostních politik, školením zaměstnanců a pravidelnými audity shody.