SzukajSzukaj
dołącz do nas Facebook Google Linkedin Twitter

Firmy nie doceniają bezpieczeństwa informacji

Uzasadnienie tej tezy zaczniemy od przypomnienia ostatniego przypadku wycieku poufnych danych w IBM, który pozostawał w cieniu afery Snowdena, chociaż obie sytuacje są bliźniaczo podobne.

W sierpniu bieżącego roku były pracownik IBM ujawnił amerykańskiemu portalowi InformationWeek obszerną dokumentację korporacji, z której wynikało, iż IBM przecenia swoje przyszłe dochody z dostaw  nowoczesnych technologii w zakresie cloud computing. Nie posiadał dobrych ekspertyz, albo ukrywał prawdę. Otóż z ujawnionych dokumentów wynikało, że dochody IBM z dostaw tej technologii osiągnęły w 2012 roku tylko 2,26 mld USD, co pozwalałoby przypuszczać, iż nierealne są założenia korporacji, która planowała do 2015 roku osiągać roczny zysk w wysokości 7 mld USD.

Na ironię zakrawa fakt, iż IBM nie wie w jaki sposób do tego doszło. Były pracownik skopiował dokumenty w okresie zatrudnienia. Podzielił się informacjami, aby chronić klientów i byłych kolegów. Odmówił ujawnienia tożsamości, aby uniknąć utraty zaległej odprawy.

Przypadek IBM wykazuje, że tego rodzaju zagrożenia wewnętrzne powinny być brane pod uwagę we wszystkich firmach. Eksperci zwracają uwagę, iż istnieją proste rozwiązania zapobiegające takim przypadkom. Gdyby IBM w ramach dobrych praktyk miał system monitorowania pracowników „wysokiego ryzyka” w czasie ich dostępu do krytycznych informacji można byłoby problemu uniknąć.

Sprawa wykazała, że trwa w najlepsze „wojna partyzancka” w korporacyjnej Ameryce przy użyciu głównie hakerstwa, za pomocą którego antagonizuje się konkurentów, a nawet partnerów. Hakerzy wabią byłych pracowników i wewnętrzne „wtyczki” całą gamą zachęt: 15 minut sławy, zemsta na byłym pracodawcy czy wreszcie korzyści materialne. Ostatnie badania pokazują, że kradzież tożsamości i danych przybierają alarmujące rozmiary wśród zwalnianych pracowników.

Casus IBM uwiarygadnia więc naszą tezę, iż firmy nie doceniają bezpieczeństwa informacji, ale podobne konkluzje można wysnuć z ostatnich badań renomowanych firm, takich jak Ernst&Young czy też B2B International i Kaspersky Lab w sferze bezpieczeństwa IT. Z punktu widzenia polskiej rzeczywistości, opinię tę potwierdzają codzienne doświadczenia spółki Profesjonalny Wywiad Gospodarczy Skarbiec wyniesione z licznych szkoleń. Indagowani przedsiębiorcy nie potrafią odpowiedzieć na proste kwestie: Jaki rodzaj informacji chronią, co stanowi u nich tajemnicę przedsiębiorstwa, czy wypracowali spójną politykę bezpieczeństwa informacji? Są to wciąż pytania kłopotliwe.

Sformułowany zarzut, rzecz jasna, nie odnosi się w takim samym stopniu do wszystkich firm. Polityka bezpieczeństwa informacji różni się w poszczególnych organizacjach i zależy od  wielu czynników: rozmiarów, poziomu wrażliwości przetwarzanych informacji, miejsca na rynku, ilości i rodzaju informacji oraz wykorzystywanych systemów informatycznych.

Diagnoza bezpieczeństwa

O ile można mówić o pewnej generalnej poprawie w sferze bezpieczeństwa informacji, o tyle z zastrzeżeniem, iż przedsiębiorstwa przegrywają wyścig z rosnącymi zagrożeniami generowanymi przez nowoczesne technologie.

Niektóre wskaźniki zawarte w opracowaniach wymienionych firm biją na alarm. Według globalnego, 15-ego raportu bezpieczeństwa informacji firmy Ernst&Young (Fighting to close the Gap) 77% firm oceniło, iż zagrożenie atakami zewnętrznymi wzrosło, zaś 46% dostrzega wzrost zagrożeń wewnętrznych. 31% badanych firm doświadczyło w ostatnich dwóch latach incydentów naruszających ich bezpieczeństwo, ale aż 63% nie ma wdrożonej systemowej polityki bezpieczeństwa. Jedynie 16% deklarowało, iż ich polityka bezpieczeństwa spełnia wszelkie wymogi i oczekiwania. Prawie jedna trzecia firm postrzega swój system bezpieczeństwa jako zagrożony lub bezbronny, a świadomość ta wzrosła najbardziej w ciągu ostatnich 12 miesięcy.

Wykorzystywanie cloud computing jako jednego z bardziej popularnych modeli innowacyjnych zarządzania  w biznesie dynamicznie rośnie, podwoiła się liczba organizacji korzystających z niego w przeciągu ostatnich dwóch lat. Chociaż 59% organizacji korzysta z tego systemu, to aż 38% nie podjęło żadnych środków obniżających ryzyko zagrożeń, jakie ten model generuje.

Z kolei główną tezą raportu bezpieczeństwa IT autorstwa firm B2B International i Kaspersky Lab (Global Corporate IT Security Risks 2013 Survey) jest - dość oczywiste dla specjalistów - stwierdzenie, iż to pracownicy stanowią główne źródło wycieków poufnych informacji w przedsiębiorstwach. Pomimo, iż 39% incydentów wynikało z luk w zabezpieczeniach oprogramowania wykorzystywanych przez pracowników, to jednak skala innych incydentów związanych z błędami personelu jest równie wysoka. 32% badanych firm stwierdziło przecieki, które miały miejsce na skutek błędów pracowników. 30% firm zgłosiło fakt utraty lub kradzieży urządzeń mobilnych z winy pracownika. Świadome przecieki zostały popełnione przez pracowników w 19% firmach biorących udział w badaniu. 18% przedsiębiorstw odnotowało przypadki utraty informacji wskutek niewłaściwego wykorzystania urządzeń mobilnych (telefony, e-maile, komputery, tablety) i dokumentów papierowych. 7% badanych wykazało utratę informacji szczególnie krytycznych wskutek świadomych działań pracowników.

W szeroko pojmowanym bezpieczeństwie IT panuje totalna beztroska. Jak pokazują dane amerykańskiej firmy SplashData, użytkownicy różnego rodzaju aplikacji komputerowych  nadal słabo zabezpieczają swoje dane. Na liście 25 najgorszych haseł zabezpieczajacych  dane komputerowe w 2012 roku niezmiennie królują takie jak: “hasło”, “123456”, “12346678”, “abc123”. Właściciele takich haseł dostępu stają się najbardziej prawdopodobnymi ofiarami ataków hakerskich. Zagrożenie jest mniejsze, jeśli problem dotyczy prywatnych zasobów, natomiast jest o wiele gorzej, jeśli takie same zabezpieczenia stosuje się w firmach przy wykorzystywaniu poufnych informacji biznesowych.

Piętą achillesową bezpieczeństwa informacyjnego w przedsiębiorstwach jest brak lub nieadekwatność prowadzonych szkoleń w stosunku do zagrożeń. Tylko w 56% badanych przedsiębiorstwach zadeklarowano, iż rocznie prowadzi się od 1 do 10 szkoleń (ćwiczeń),  będących wszakże reakcją na przypadki naruszeń bezpieczeństwa lub penetracji zasobów informacyjnych. W 19% firm nie prowadzi się żadnych szkoleń lub ćwiczeń. Z drugiej strony większość przedsiębiorstw deklaruje, iż wdrożono politykę klasyfikacji i ograniczonego dostępu do informacji. Tkwi więc tu pewna sprzeczność, jeśli uświadomimy sobie fakt, iż blisko 80% badanych przedsiębiorstw dostrzega wzrost zagrożeń bezpieczeństwa informacyjnego.

Przyczyny zagrożeń

Wirtualizacja biznesu, cloud computing, połącznie biznesu z mediami społecznościowymi, dynamiczny wzrost urządzeń mobilnych przetwarzających informacje, a nade wszystko zacierający się tradycyjny podział pomiędzy pracą w biurze i w domu - wszystko to składa się na szybkość i złożoność zmian, ale i wzrost poziomu zagrożeń. Wskazane czynniki w połączeniu z ciągle rosnącym zjawiskiem cyberprzestępczości powodują, że powiększa się luka między istniejącymi programami bezpieczeństwa informacji, a nowymi wyzwaniami.

Źródła zagrożeń można ująć w cztery główne kategorie:

• niedostosowanie wymogów bezpieczeństwa do specyfiki przedsiębiorstwa;
• niska świadomość pracowników, niedostateczny poziom lub brak szkoleń;
• brak spójnej, kompleksowej polityki bezpieczeństwa informacji;
• nowe, zaawansowane technologie komunikacyjne.

Należy szczególnie zwrócić uwagę na coś, co jawi się jako nieuchronne we współczesnym biznesie, a mianowicie zalew nowoczesnych technologii, co sprawia, iż wykorzystywanie systemów komputerowych jest coraz bardziej rozproszone. Ze scentralizowanych systemów i baz działalność biznesowa przenosi się na sieci rozproszone, laptopy, ipady itp. To sprawia, iż zapewnienie bezpieczeństwa systemów jest coraz trudniejsze, bowiem obniżają się parametry bezpieczeństwa, rośnie liczba łatwo dostępnych urządzeń końcowych, a przez to wzrasta ryzyko kradzieży danych, włamań itp. Dynamiczny wzrost Internetu w komunikacji biznesowej zwiększa zagrożenia hakerstwem i cyberprzestępczością.

Oczywiście należy mieć na uwadze, iż żadna organizacja nie jest odporna na ataki, nie ma super szczelnych przedsiębiorstw. Mamy i zawsze będziemy mieć do czynienia ze zjawiskiem wycieków, ulotu czy też ujawnienia informacji wrażliwych. Według szacunków specjalistów poufne dane wyciekają z około 80 % firm. Nawet takie potęgi jak IBM, Hewlett Packard czy wiele innych nie ustrzegły się utraty tajemnic handlowych w codziennych procesach kupna i sprzedaży. Wywiadowcy gospodarczy (tym bardziej szpiedzy przemysłowi) kierują się jedną, kardynalną zasadą, wręcz aksjomatem: każde działanie, nawet najlepiej skrywane, musi pozostawić po sobie jakiś ślad. Przykład „super tajnych” informacji o więzieniu CIA w Kiejkutach może posłużyć jako sztandarowy dowód tej tezy.

Całkowite zabezpieczenie informacji we współczesnym globalnym biznesie jest niemożliwe. Oczywiście nie ma zasady, twardej reguły według której można zmierzyć, jaka ilość tzw. wrażliwych informacji wycieka każdego dnia z przedsiębiorstwa.

Leonard Fuld, amerykański prekursor nowoczesnego wywiadu gospodarczego zaprezentował pewien barometr, za pomocą którego można mierzyć potencjalny ulot informacji. Przyjął, że jeśli w 60-tysięcznej operującej globalnie korporacji 25% pracowników ma służbowe kontakty zewnętrzne, a każdy z tej grupy przynajmniej 5 razy dziennie kontaktuje się z otoczeniem przedsiębiorstwa (mail, telefon, faks, spotkanie) i tylko w 1% takich kontaktów pojawia się „informacja wrażliwa” to dziennie mamy do czynienia z 750, a w skali roku 187.500 (przy 250 dniach roboczych) potencjalnie „szkodliwymi rozmowami”, w których może dojść do ujawnienia poufnych informacji.

Jednak świadomość, iż nie ma perfekcyjnie szczelnych przedsiębiorstw nie powinna demobilizować i prowadzić do konkluzji, że w dziedzinie bezpieczeństwa wszelkie wysiłki są uznane za próżne. Otóż warto działać choćby po to, aby chronić ludzi i informacje, kształtować pożądane zachowania użytkowników informacji, administratorów systemu, zarządów i pionów bezpieczeństwa, minimalizować ryzyko lub niwelować poniesione szkody, wreszcie, aby kreować określoną kulturę informacyjną niezbędną w zarządzaniu współczesnym przedsiębiorstwem.

Niewesoła przyszłość

Czego można spodziewać się w przyszłości w zakresie bezpieczeństwa informacji? Otóż tego, że działania firm mogą podlegać coraz większym zakłóceniom wskutek ataków wewnętrznych i zewnętrznych. Im szybciej organizacja będzie w stanie przywrócić normalny stan funkcjonowania, tym lepiej - uniknie tym sposobem kosztów.

Wzrosną zagrożenia prywatności. Przedsiębiorstwa muszą chronić dane osobowe pracowników i klientów. Jeśli ta prywatność będzie naruszona, należy liczyć się - zgodnie z przepisami ochrony danych osobowych i prywatności - z działaniami prawnymi i sankcjami.

Przedsiębiorstwa mogą być narażone na bezpośrednie straty finansowe. Ochrona jest niezbędna w szczególności informacji handlowych oraz danych klientów i kart kredytowych. Utrata lub kradzież informacji handlowych, począwszy od planów biznesowych i umów z klientami, poprzez własność intelektualną, a na przemysłowym know-how kończąc, mogą spowodować długoterminowe szkody finansowe. Oszustwa komputerowe, prowadzone przez pracowników, często z udziałem osób trzecich, będą miały natychmiastowe konsekwencje finansowe.

Najważniejszym zagrożeniem jest utrata reputacji. Organizacje, które nie są w stanie chronić prywatność informacji dotyczących pracowników i klientów stracą swoją korporacyjną wiarygodność i zachwieją relacje biznesowe, w rezultacie ich ciężko wypracowany wizerunek zostanie wystawiony na szwank. Przytoczony na wstępie przypadek IBM wydaje się być bardzo wymowny.

Jakie działania powinny podejmować przedsiębiorstwa?

Nie ma tu miejsca na roztrząsanie szczegółów, ale warto zwrócić uwagę na pewne rozwiązania systemowe.

1. Przedsiębiorstwa powinny wiązać bezpieczeństwo informacji ze swoją strategią i celami biznesowymi. Polityka bezpieczeństwa musi mieć charakter kompleksowy, obejmować całą organizację, angażować wszystkich pracowników.
2. Należy rzetelnie zdiagnozować krajobraz zagrożeń i opracować adekwatną politykę ochrony, koncentrując się na tym co najważniejsze. W sposób ciągły antycypować przyszłe zagrożenia, aby podejmowane działania nie okazywały się wysiłkiem na krótką metę.

3. Należy reformować lub zbudować od podstaw systemy bezpieczeństwa informacji, tam gdzie to niezbędne.
4. Należy ustanowić racjonalny dostęp do informacji poufnych i systematyczną kontrolę tego dostępu.
5. Należy głęboko wchodzić w nowe technologie, pomimo ryzyka z jakim wiąże się ich rozwój. Należy dokonać bilansu ich możliwości i potencjalnych strat. W ramach polityki otwartości (need to share) należy wykorzystywać dobrodziejstwo płynące z mediów społecznościowych, cloud computing, urządzeń mobilnych, ale trzeba mieć świadomość generowanych przez nie niebezpieczeństw.
6. Należy zwiększyć nakłady na bezpieczeństwo informacji. Tylko 39% badanych przedsiębiorstw przewidywało zwiększenie nakładów na bezpieczeństwo, co w erze rosnących zagrożeń wydaje się niewystarczające.

Skuteczna polityka bezpieczeństwa informacji nie wymaga skomplikowanych rozwiązań technologicznych. Wymaga przywództwa i zaangażowania, zdolności i chęci do działania.

Bezpieczeństwo informacji powinno stać się priorytetem na poziomie zarządu, który tej problematyce winien zapewnić stałe miejsce przy stole konferencyjnym.



autorzy
Mec. Robert Nogacki, Kancelaria Prawna Skarbiec

Dr Marek Ciecierski, Profesjonalny Wywiad Gospodarczy Skarbiec Sp. z o.o.

Dołącz do dyskusji: Firmy nie doceniają bezpieczeństwa informacji

0 komentarze
Publikowane komentarze są prywatnymi opiniami użytkowników portalu. Wirtualnemedia.pl nie ponosi odpowiedzialności za treść opinii. Jeżeli którykolwiek z postów na forum łamie dobre obyczaje, zawiadom nas o tym redakcja@wirtualnemedia.pl