Odcudzený firemný mobilný telefón – čo teraz...

Zamestnanec malej firmy nedodržal interné nariadenie o uzamknutí obrazovky firemných mobilných telefónov ani bezpečnostnú požiadavku na uzamknutie mobilu použitím PIN z dôvodu ochrany uložených osobných a firemných údajov. Počas návštevy reštaurácie mu bol jeho firemný mobilný telefón odcudzený. Nachádzali sa v ňom firemné údaje, na vloženej SD karte údaje klientov a prostredníctvom mobilu mal zamestnanec prístup aj do firemnej pošty.

Firmu zaujíma, ako má v tejto situácii postupovať, keďže žiadne smernice o používaní mobilných zariadení ani disciplinárne postupy, či iné interné pravidlá, okrem vyššie uvedených, nemá pre takéto situácie zavedené. Čo má a čo mala urobiť?

Dátum publikácie:13. 10. 2020
Autor:Ing. Stanislav Guláš, audítor ISMS, DATAsec.sk
Právny stav od:1. 1. 2019

tt_zlodej-mobil

Podobná situácia v nedostatočnom zabezpečení a manipulácii s mobilnými zariadeniami je smutnou realitou v mnohých firmách. Je dôležité mať prácu a manipuláciu s mobilnými zariadeniami formálne popísanú a samotné mobilné telefóny svojich zamestnancov mať aspoň pod minimálnom kontrolou. Najmä v malých firmách často nie sú nastavené žiadne alebo len minimálne interné postupy, procedúry, ako aj smernice pre manipuláciu s mobilnými zariadeniami pre prípad výskytu bezpečnostných incidentov podobného typu. Najmä zamestnanci malých firiem sú čiastočnými odporcami zabezpečenia uzamknutia svojich mobilov (PIN, odtlačky prstov,...), resp. dodržiavania pravidiel čistej (uzamknutej) obrazovky. O realite prilepených lístkov s PIN na obrazovkách počítačov, notebookov alebo na nástenkách (v známom seriáli napr. ŠAŇO PIN 2451) ani nehovorím.

Práca a manipulácia s mobilnými zariadeniami je predmetom bezpečnostnej požiadavky normy STN ISO/IEC 27001: 2014, a to konkrétne v prílohe A.6.2, ako aj ďalších predpisov a noriem v oblasti informačnej a kybernetickej bezpečnosti, napr. zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti [§ 20 ods. 3 písm. f)písm. l)] a prostredníctvom vyhlášky č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (konkrétne v § 10, § 16, ako aj v prílohe č. 1B Štruktúra bezpečnostnej politiky kybernetickej bezpečnosti, bod 4).

Vedenie spoločnosti musí mať prvotný záujem, aby informácie organizácie neboli kompromitované. V prípade manipulácie, používania či vynášania mobilných zariadení do nechránených priestorov a prostredí to platí násobne.

Čo sa teda stalo?

Vo firme vznikol bezpečnostný incident, pri ktorom môžeme načrtnúť reálnu zraniteľnosť: „Nie je definovaná politika používania mobilných zariadení“, resp. „Nie je definovaný disciplinárny proces pre prípad vzniku bezpečnostného incidentu“. Tieto zraniteľnosti viedli k reálnej hrozbe „Krádež zariadenia“. A toto viedlo k reálnemu naplneniu bezpečnostného rizika straty zariadenia a možnej kompromitácii firemných i klientskych údajov.

Na riadenie rizík (zraniteľností a hrozieb) vyplývajúcich z používania mobilných zariadení (mobilné telefóny, notebooky, tablety,…) nielen v organizácii, ale najmä mimo nej, musí teda organizácia najprv prijať formálnu politiku (písomne spracované pravidlá) pre používanie mobilných zariadení a následne aplikovať podporné bezpečnostné opatrenia. Sem je možné zahrnúť pravidlá pre registráciu mobilných zariadení, pre ich fyzickú ochranu a inštaláciu softvéru, ďalej obmedzenia pre pripojenie do externých sietí, celkové riadenie prístupov k firemným informáciám prostredníctvom mobilných zariadení, pravidlá pre kryptografickú ochranu informácií na nich uložených, pre ochranu pred škodlivými kódmi, ako aj pravidlá pre zálohovanie či používanie internetu. Hlavným cieľom je predísť neautorizovanému prístupu k uloženým/spracúvaným informáciám, resp. k ich vyzradeniu alebo krádeži (či už informácií alebo samotného mobilného zariadenia).

Daná firma má preto problém, ktorý môžeme označiť ako bezpečnostný incident, keďže sa firma k bezpečnosti mobilných zariadení postavila už v počiatkoch veľmi vlažne a vyššie uvedené bezpečnostné požiadavky nedodržala v požadovanom rozsahu.

Tým, že zamestnanec firmy nedodržal ani základné bezpečnostné pravidlá pri manipulácii so zverenými aktívami a ani minimálne bezpečnostné pravidlá nastavené pre ochranu dát nachádzajúcich sa v mobilných zariadeniach, porušil firemné bezpečnostné pravidlá. Je potrebné podrobne zistiť, k úniku akých informácii došlo (firemné informácie, osobné údaje,...), zablokovať firemný (pracovný) účet zamestnanca (najmä prístupové práva k firemnému emailu a firemným informačným systémom a sieťam), vymazať mobil na diaľku a zablokovať ho, deaktivovať SIM kartu, následne bezpečnostný incident vyšetriť a poučiť sa z neho a voči zamestnancovi aplikovať disciplinárny postih.

Pre tento účel by mala mať firma zavedené presne definované disciplinárne procesy. Ak ani tie nemá, nastáva pre ňu ďalšia komplikácia. Taktiež bude možno musieť tento bezpečnostný incident (ak následne dôjde ku kompromitácii údajov klientov) svojim klientom aj vysvetliť. A tu potenciálne riskuje nielen stratu dobrého mena spoločnosti, ale aj stratu zákaziek, zákazníkov, a teda môže s veľkou pravdepodobnosťou očakávať aj súvisiace finančné straty. A do tohto incidentu paralelne vstupujú aj vážne legislatívne povinnosti, ktoré pre firmu plynú v prípade úniku osobných údajov (v kontexte nariadenia GDPR).

Záver

Nezabezpečením (formálnym aj technickým) vašich mobilných zariadení riskujete, že pri ich odcudzení sa ktokoľvek môže ľahko dostať k firemným informáciám, k informáciám o vašich klientoch, k osobným údajom klientov i zamestnancov, ktokoľvek môže surfovať po internete na vaše náklady, čítať firemné emaily, volať hocikam, ako aj písať v mene okradnutého (krádež identity). Jednoduché PIN (0000, 1234,...) sa dajú naozaj jednoducho uhádnuť. Skrátka neriešením tejto problematiky môžete prísť o veľa. Vzdelávajte zamestnancov, zvyšujte ich bezpečnostné povedomie, kontrolujte ich, oddeľujte súkromné a firemné aktivity, disciplinárne pokryte porušenia zavedených bezpečnostných pravidiel, písomne definujte povinnosti pri manipulácii s mobilnými zariadeniami, šifrujte, zálohujte, zabezpečte možnosť vymazania mobilných zariadení na diaľku a opäť kontrolujte. Dávajte si na to pozor.

 

Poznámka redakcie:

§ 20 ods. 3 písm. f)písm. l) zakona č. 69/2018 Z. z.


Autor: DATAsec sk, Ing. Stanislav Guláš

Súvisiace odborné články

Súvisiace príklady z praxe

Súvisiace videoškolenia

Súvisiace interné firemné predpisy

Súvisiace právne predpisy ZZ SR

  • 69/2018 Z. z. Zákon o kybernetickej bezpečnosti
  • 362/2018 Z. z. Vyhláška, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení

Funkcie

Partner

Nastavenie súborov cookies

Táto webová stránka používa rôzne cookies pre poskytovanie online služieb, na účely prihlásenia, poskytovania obsahu prostredníctvom tretích strán, analýzu návštevnosti a iné. V súlade s platnou legislatívou prosíme o potvrdenie súhlasu alebo nastavenie vašich preferencií. Ďakujeme.

Viac informácií.