Wyciek danych może zniszczyć przedsiębiorcę

Dziś 90 proc. dokumentów powstaje w wersji cyfrowej, z czego niemal 70 proc. nigdy nie pojawia się w formie drukowanej. Oznacza to, że większość strategicznych informacji firmowych istnieje wyłącznie w formie elektronicznej.

Szybkie rozprzestrzenienie się technologii cyfrowych stworzyło także okazję do wykorzystywania ich w działaniach przestępczych, związanych głównie z kradzieżą danych, ich celowym usuwaniem bądź sabotażem. Co trzecie z tego typu przestępstw popełnia pracownik firmy, która ucierpiała na nielegalnych praktykach.

[srodtytul]Polityka bezpieczeństwa[/srodtytul]

Kluczowym problemem jest brak świadomości tego, że dane firmowe mogą łatwo zniknąć z dysków firmowych komputerów i serwerów. W przedsiębiorstwach brakuje ponadto procedur, które jasno określałyby, jak dbać o kluczowe pliki.

Przedsiębiorcom może jedynie pomóc wprowadzenie odpowiedniej polityki bezpieczeństwa danych, która pozwala na reakcję, gdy wyciek danych nastąpi. W razie podejrzenia nadużycia związanego z nieuczciwym zachowaniem pracowników najlepiej skorzystać z usług informatyków śledczych, którzy przeprowadzą wewnętrzne śledztwo, analizując firmowe urządzenia, a następnie dostarczą elektroniczne środki dowodowe, które firma będzie mogła wykorzystać w sądzie.

Stworzenie odpowiedniej polityki bezpieczeństwa danych pozwoli ponadto na zabezpieczenie się zarówno w wypadku wycieku danych spowodowanego przez nieuczciwych pracowników, jak i w wypadku utraty danych z powodu awarii sprzętu bądź przypadkowego ich skasowania.

[srodtytul]Sami sobie zagrożeniem [/srodtytul]

Polscy przedsiębiorcy dobrze chronią się przed włamaniami z zewnątrz, trojanami bądź keyloggerami. Ma na to coraz większy wpływ poziom wiedzy związanej z bezpieczeństwem ich zasobów komputerowych. Niemal w każdej firmie stosowane są rozwiązania typu firewall czy systemy ochrony antywirusowej zwalczające zagrożenia internetowe różnego typu.

Zdecydowanie większym zagrożeniem są działania ludzi, często świadome bądź wynikające z braku wiedzy lub posiadania przez pracowników zbyt szerokich uprawnień. Zdarzają się przyczyny bardziej prozaiczne, takie jak brak uporządkowanych struktur w firmie po przejęciach i fuzjach czy prace w mieszanych zespołach projektowych, gdy należy zapewnić dostęp do różnych zasobów danych, których zakres często nie jest ograniczany. Notorycznie zdarza się także łamanie zasad bezpieczeństwa określanych przez firmy.

Według badań, pomimo wprowadzonej polityki bezpieczeństwa danych, ponad połowa pracowników nadal naraża firmy na utratę kluczowych dokumentów. Powodem jest zwykle wygoda czy też chęć szybszego wykonania obowiązków bez stosowania się do obranej przez firmę polityki bezpieczeństwa zasobów cyfrowych.

O ochronę kluczowych danych przedsiębiorca powinien zadbać już na etapie prawnym, podczas zatrudniania pracownika. W umowie o pracę bądź w regulaminie powinien określić zasady używania komputera do celów osobistych czy przechowywania prywatnych danych.

[srodtytul]Kopiowanie i szkolenie[/srodtytul]

Niezależnie od stosowanych rozwiązań dotyczących monitoringu i ochrony danych dla zwalnianego pracownika powinna zostać przyjęta tzw. procedura Data Collection, zabezpieczająca dane z urządzeń elektronicznych użytkowanych przez pracownika.

Tworzone w tej procedurze kopie danych powinny być wykonane przez niezależnych specjalistów w sposób, który pozwoli zachować wartość dowodową w ewentualnym postępowaniu. Przedsiębiorcy muszą więc ściśle określić politykę korzystania ze swoich zasobów cyfrowych, a ponadto wdrożyć rozwiązania pozwalające na takie działania, jak monitoring nietypowych zdarzeń w sieci czy kopiowanie danych.

Przedsiębiorcy powinni też na bieżąco szkolić swoich pracowników. Dzięki temu, bez względu na stosowane zabezpieczenia, w końcowym etapie pracy osoby zatrudnionej w danej firmie, jej władze mają pełną kontrolę nad procesem ochrony swych danych. W przeciwnym razie systemy Data Loss Prevention (DLP) nie ochronią danych przed np. wykonaniem zdjęć ekranu aparatem cyfrowym.

Z pewnością firmy powinny przeprowadzić także audyt bezpieczeństwa, który pozwala wykazać, które zasoby są strategiczne, kto ma do nich dostęp, jakie są stosowane rozwiązania informatyczne i jakie mogą być scenariusze zagrożeń. Dokument taki jest bazą, na podstawie której można dopiero przystąpić do tworzenia polityki bezpieczeństwa.

Podstawową kwestią jest nie tyle charakter działań prowadzonych przez firmę czy sektor działalności, ile liczba zatrudnionych pracowników. Istotne jest to, że w przypadku małych firm, gdzie pracuje kilku lub kilkunastu pracowników, nie wymaga to dużych nakładów pracy ani rozbudowanego budżetu.

Dość często zdarza się, że firmy kupują rozwiązania wprowadzające politykę bezpieczeństwa danych jedynie po to, by być w zgodzie z prawem, uspokoić swoje sumienie i korzystnie wypaść w oczach klientów. W rezultacie polityki te realizowane są tylko częściowo lub… nie są wdrażane w ogóle. Tacy przedsiębiorcy powinni pamiętać, że w ekstremalnych przypadkach związanych z utratą danych może to zakończyć się nawet ich bankructwem.

Kolejna ważna kwestia dla przedsiębiorców to kasowanie danych, które znajdują się na nośnikach wycofywanych z użycia. Należy przy tym pamiętać, że skasowanie danych przez zwykłe formatowanie jest całkowicie nieskuteczne i nadal mogą zostać one odczytane nawet przez amatorów.

Jak wynika z ankiety przeprowadzonej w 2010 roku w krajach Ameryki Północnej, Azji i Europy – w tym w Polsce – jedynie połowa firm kasuje kluczowe dokumenty cyfrowe z nieużywanych już komputerów i twardych dysków. Aż 75 proc. z nich nie kasuje natomiast informacji ze swoich urządzeń w sposób bezpieczny.

Według raportu Ponemon Study 2009 zaniedbania te mogą narazić firmę na stratę średnio 6,75 miliona dolarów, w zależności od rodzaju i wagi utraconych informacji. Dlatego też tak istotne jest, by w skład polityki bezpieczeństwa danych wchodziła także procedura bezpowrotnego ich niszczenia.

Obecnie informatycy śledczy dysponują specjalistycznymi programami i urządzeniami, które w sposób nieodwracalny kasują pliki z wybranych nośników danych. O tym, jak istotna jest właściwa procedura kasowania danych, przekonało się na przestrzeni ostatnich lat wiele renomowanych banków i instytucji rządowych, np. amerykańska agencja kosmiczna NASA.

[srodtytul]Nowe bariery[/srodtytul]

Zdecydowana większość przedsiębiorców nie dostrzega jeszcze portali społecznościowych jako potencjalnego ryzyka wycieku informacji. Jeśli jednak firma ma świadomość zagrożenia związanego z social media, często blokuje dostęp do portali społecznościowych z firmowych komputerów.

Nie stanowi to jednak żadnej bariery dla komputerów i urządzeń przenośnych. Z większości portali społecznościowych można bowiem korzystać przy użyciu zwykłego telefonu komórkowego.

W tym zakresie najważniejsza jest edukacja pracowników o szkodliwości publikacji informacji poufnych i związanej z tym odpowiedzialności, również prawnej. Wiele osób nie zdaje sobie sprawy z zagrożeń, jakie niesie ich aktywność na portalach społecznościowych. Warto więc w firmie wprowadzić odpowiednie regulacje prawne i uświadamiać pracowników w trakcie szkoleń.

Jednym ze sposobów ochrony jest także inwestowanie w rozwiązania, które pozwalają śledzić pojawiające się w social media wpisy. Nie zapewni to stuprocentowej ochrony, pozwoli jednak na odpowiednią reakcję w przypadku zagrożenia.

[srodtytul]Co po utracie[/srodtytul]

Niestety, jak pokazuje praktyka, w wielu przypadkach wycieku danych nie udaje się uniknąć. W sytuacji gdy zostaną już one użyte przeciw firmie, np. w procesie wykradzenia i przekazania ich konkurencji bądź upublicznienia (w przypadku np. Wikileaks), najlepszym rozwiązaniem jest rozpoczęcie procesu informatyki śledczej i oddanie sprawy ekspertom.

[b]Informatyka śledcza to dostarczanie elektronicznych środków dowodowych, np. e-maili, dokumentów, śladów aktywności użytkowników w sieci, m.in. na portalach społecznościowych, czyli zespół działań i czynności, które polegają na zabezpieczeniu, przeszukiwaniu i wykrywaniu dowodów nadużyć i przestępstw dokonanych z użyciem komputera lub innych urządzeń elektronicznych. [/b]

Dzięki informatyce śledczej można więc odtworzyć kolejność zdarzeń użytkownika urządzenia elektronicznego w czasie. Pozwala ona, działając na podstawie informacji niedostępnych dla użytkowników i administratorów systemu, odpowiedzieć na pytania: kto, co, gdzie, kiedy, jak?

Dzięki informatyce śledczej możliwe jest przeprowadzenie wewnętrznego śledztwa i przekazanie elektronicznych środków dowodowych organom ścigania, a następnie sądom.