Wyciek danych może zniszczyć przedsiębiorcę

Dane cyfrowe mogą łatwo zniknąć z dysków, dlatego przedsiębiorca musi zawczasu wprowadzić odpowiednią politykę ich bezpieczeństwa. Powinna ona określić procedury postępowania w razie zagrożeń

Aktualizacja: 22.02.2011 03:45 Publikacja: 22.02.2011 02:00

Wyciek danych może zniszczyć przedsiębiorcę

Foto: Rzeczpospolita

Red

Dziś 90 proc. dokumentów powstaje w wersji cyfrowej, z czego niemal 70 proc. nigdy nie pojawia się w formie drukowanej. Oznacza to, że większość strategicznych informacji firmowych istnieje wyłącznie w formie elektronicznej.

Szybkie rozprzestrzenienie się technologii cyfrowych stworzyło także okazję do wykorzystywania ich w działaniach przestępczych, związanych głównie z kradzieżą danych, ich celowym usuwaniem bądź sabotażem. Co trzecie z tego typu przestępstw popełnia pracownik firmy, która ucierpiała na nielegalnych praktykach.

[srodtytul]Polityka bezpieczeństwa[/srodtytul]

Kluczowym problemem jest brak świadomości tego, że dane firmowe mogą łatwo zniknąć z dysków firmowych komputerów i serwerów. W przedsiębiorstwach brakuje ponadto procedur, które jasno określałyby, jak dbać o kluczowe pliki.

Przedsiębiorcom może jedynie pomóc wprowadzenie odpowiedniej polityki bezpieczeństwa danych, która pozwala na reakcję, gdy wyciek danych nastąpi. W razie podejrzenia nadużycia związanego z nieuczciwym zachowaniem pracowników najlepiej skorzystać z usług informatyków śledczych, którzy przeprowadzą wewnętrzne śledztwo, analizując firmowe urządzenia, a następnie dostarczą elektroniczne środki dowodowe, które firma będzie mogła wykorzystać w sądzie.

Stworzenie odpowiedniej polityki bezpieczeństwa danych pozwoli ponadto na zabezpieczenie się zarówno w wypadku wycieku danych spowodowanego przez nieuczciwych pracowników, jak i w wypadku utraty danych z powodu awarii sprzętu bądź przypadkowego ich skasowania.

[srodtytul]Sami sobie zagrożeniem [/srodtytul]

Polscy przedsiębiorcy dobrze chronią się przed włamaniami z zewnątrz, trojanami bądź keyloggerami. Ma na to coraz większy wpływ poziom wiedzy związanej z bezpieczeństwem ich zasobów komputerowych. Niemal w każdej firmie stosowane są rozwiązania typu firewall czy systemy ochrony antywirusowej zwalczające zagrożenia internetowe różnego typu.

Zdecydowanie większym zagrożeniem są działania ludzi, często świadome bądź wynikające z braku wiedzy lub posiadania przez pracowników zbyt szerokich uprawnień. Zdarzają się przyczyny bardziej prozaiczne, takie jak brak uporządkowanych struktur w firmie po przejęciach i fuzjach czy prace w mieszanych zespołach projektowych, gdy należy zapewnić dostęp do różnych zasobów danych, których zakres często nie jest ograniczany. Notorycznie zdarza się także łamanie zasad bezpieczeństwa określanych przez firmy.

Według badań, pomimo wprowadzonej polityki bezpieczeństwa danych, ponad połowa pracowników nadal naraża firmy na utratę kluczowych dokumentów. Powodem jest zwykle wygoda czy też chęć szybszego wykonania obowiązków bez stosowania się do obranej przez firmę polityki bezpieczeństwa zasobów cyfrowych.

O ochronę kluczowych danych przedsiębiorca powinien zadbać już na etapie prawnym, podczas zatrudniania pracownika. W umowie o pracę bądź w regulaminie powinien określić zasady używania komputera do celów osobistych czy przechowywania prywatnych danych.

[srodtytul]Kopiowanie i szkolenie[/srodtytul]

Niezależnie od stosowanych rozwiązań dotyczących monitoringu i ochrony danych dla zwalnianego pracownika powinna zostać przyjęta tzw. procedura Data Collection, zabezpieczająca dane z urządzeń elektronicznych użytkowanych przez pracownika.

Tworzone w tej procedurze kopie danych powinny być wykonane przez niezależnych specjalistów w sposób, który pozwoli zachować wartość dowodową w ewentualnym postępowaniu. Przedsiębiorcy muszą więc ściśle określić politykę korzystania ze swoich zasobów cyfrowych, a ponadto wdrożyć rozwiązania pozwalające na takie działania, jak monitoring nietypowych zdarzeń w sieci czy kopiowanie danych.

Przedsiębiorcy powinni też na bieżąco szkolić swoich pracowników. Dzięki temu, bez względu na stosowane zabezpieczenia, w końcowym etapie pracy osoby zatrudnionej w danej firmie, jej władze mają pełną kontrolę nad procesem ochrony swych danych. W przeciwnym razie systemy Data Loss Prevention (DLP) nie ochronią danych przed np. wykonaniem zdjęć ekranu aparatem cyfrowym.

Z pewnością firmy powinny przeprowadzić także audyt bezpieczeństwa, który pozwala wykazać, które zasoby są strategiczne, kto ma do nich dostęp, jakie są stosowane rozwiązania informatyczne i jakie mogą być scenariusze zagrożeń. Dokument taki jest bazą, na podstawie której można dopiero przystąpić do tworzenia polityki bezpieczeństwa.

Podstawową kwestią jest nie tyle charakter działań prowadzonych przez firmę czy sektor działalności, ile liczba zatrudnionych pracowników. Istotne jest to, że w przypadku małych firm, gdzie pracuje kilku lub kilkunastu pracowników, nie wymaga to dużych nakładów pracy ani rozbudowanego budżetu.

Dość często zdarza się, że firmy kupują rozwiązania wprowadzające politykę bezpieczeństwa danych jedynie po to, by być w zgodzie z prawem, uspokoić swoje sumienie i korzystnie wypaść w oczach klientów. W rezultacie polityki te realizowane są tylko częściowo lub… nie są wdrażane w ogóle. Tacy przedsiębiorcy powinni pamiętać, że w ekstremalnych przypadkach związanych z utratą danych może to zakończyć się nawet ich bankructwem.

Kolejna ważna kwestia dla przedsiębiorców to kasowanie danych, które znajdują się na nośnikach wycofywanych z użycia. Należy przy tym pamiętać, że skasowanie danych przez zwykłe formatowanie jest całkowicie nieskuteczne i nadal mogą zostać one odczytane nawet przez amatorów.

Jak wynika z ankiety przeprowadzonej w 2010 roku w krajach Ameryki Północnej, Azji i Europy – w tym w Polsce – jedynie połowa firm kasuje kluczowe dokumenty cyfrowe z nieużywanych już komputerów i twardych dysków. Aż 75 proc. z nich nie kasuje natomiast informacji ze swoich urządzeń w sposób bezpieczny.

Według raportu Ponemon Study 2009 zaniedbania te mogą narazić firmę na stratę średnio 6,75 miliona dolarów, w zależności od rodzaju i wagi utraconych informacji. Dlatego też tak istotne jest, by w skład polityki bezpieczeństwa danych wchodziła także procedura bezpowrotnego ich niszczenia.

Obecnie informatycy śledczy dysponują specjalistycznymi programami i urządzeniami, które w sposób nieodwracalny kasują pliki z wybranych nośników danych. O tym, jak istotna jest właściwa procedura kasowania danych, przekonało się na przestrzeni ostatnich lat wiele renomowanych banków i instytucji rządowych, np. amerykańska agencja kosmiczna NASA.

[srodtytul]Nowe bariery[/srodtytul]

Zdecydowana większość przedsiębiorców nie dostrzega jeszcze portali społecznościowych jako potencjalnego ryzyka wycieku informacji. Jeśli jednak firma ma świadomość zagrożenia związanego z social media, często blokuje dostęp do portali społecznościowych z firmowych komputerów.

Nie stanowi to jednak żadnej bariery dla komputerów i urządzeń przenośnych. Z większości portali społecznościowych można bowiem korzystać przy użyciu zwykłego telefonu komórkowego.

W tym zakresie najważniejsza jest edukacja pracowników o szkodliwości publikacji informacji poufnych i związanej z tym odpowiedzialności, również prawnej. Wiele osób nie zdaje sobie sprawy z zagrożeń, jakie niesie ich aktywność na portalach społecznościowych. Warto więc w firmie wprowadzić odpowiednie regulacje prawne i uświadamiać pracowników w trakcie szkoleń.

Jednym ze sposobów ochrony jest także inwestowanie w rozwiązania, które pozwalają śledzić pojawiające się w social media wpisy. Nie zapewni to stuprocentowej ochrony, pozwoli jednak na odpowiednią reakcję w przypadku zagrożenia.

[srodtytul]Co po utracie[/srodtytul]

Niestety, jak pokazuje praktyka, w wielu przypadkach wycieku danych nie udaje się uniknąć. W sytuacji gdy zostaną już one użyte przeciw firmie, np. w procesie wykradzenia i przekazania ich konkurencji bądź upublicznienia (w przypadku np. Wikileaks), najlepszym rozwiązaniem jest rozpoczęcie procesu informatyki śledczej i oddanie sprawy ekspertom.

[b]Informatyka śledcza to dostarczanie elektronicznych środków dowodowych, np. e-maili, dokumentów, śladów aktywności użytkowników w sieci, m.in. na portalach społecznościowych, czyli zespół działań i czynności, które polegają na zabezpieczeniu, przeszukiwaniu i wykrywaniu dowodów nadużyć i przestępstw dokonanych z użyciem komputera lub innych urządzeń elektronicznych. [/b]

Dzięki informatyce śledczej można więc odtworzyć kolejność zdarzeń użytkownika urządzenia elektronicznego w czasie. Pozwala ona, działając na podstawie informacji niedostępnych dla użytkowników i administratorów systemu, odpowiedzieć na pytania: kto, co, gdzie, kiedy, jak?

Dzięki informatyce śledczej możliwe jest przeprowadzenie wewnętrznego śledztwa i przekazanie elektronicznych środków dowodowych organom ścigania, a następnie sądom.

Gdy chodzi o dane ujmowane przez sądy jako elektroniczne środki dowodowe, to z obserwacji ekspertów wynika, że zawsze lepiej postrzegane jest działanie podmiotu niezależnego, który nie będzie czerpał korzyści z ewentualnego postępowania wtedy, gdy dowody rzeczywiście staną się potrzebne.

Sytuacja, w której dane zabezpieczone są przez zewnętrznych specjalistów w obecności odpowiednich osób reprezentujących firmę i, w niektórych przypadkach, prokuraturę lub policję, jest rozwiązaniem optymalnym. Rolą procedur firmowych w tym procesie powinno być odpowiednio wczesne wykrycie nadużycia, a następnie działania zmierzające do zabezpieczenia, a nie zatarcia śladów.

To właśnie wskutek niewłaściwego postępowania firmy wielu śladów, często oczywistych (takich jak e-maile), nie można wykorzystać w formie dowodów elektronicznych.

[ramka][b]Komentuje Paweł Odor, główny specjalista Kroll Ontrack[/b]

Ochrona kluczowych danych powinna być jednym z priorytetowych działań każdej odpowiedzialnej firmy, niezależnie od jej wielkości, stażu i sektora, w jakim funkcjonuje.

Tymczasem według najnowszych światowych danych dotyczących utraty kontroli nad strategicznymi dokumentami cyfrowymi niemal połowa firm nie posiada właściwych zabezpieczeń chroniących ich przed utratą kluczowych plików.

Tylko w 2010 r. 50 proc. europejskich przedsiębiorstw padło ofiarą kradzieży, utraty bądź ataku na gromadzone przez nich dane. W przypadku polskich przedsiębiorców utrata kluczowych danych może generować straty wartości nawet 0,5 mln zł dziennie, a w skrajnych przypadkach może prowadzić do ich upadku.[/ramka]

[ramka][b]Czytaj też:[/b]

* [link=http://www.rp.pl/artykul/56636,360287_Za-utrate-firmowych-danych-odpowiada-szef.html]Za utratę firmowych danych odpowiada szef[/link]

* [link=http://www.rp.pl/artykul/95062,447331_Jak-ubezpieczyc-firmowe-komputery.html]Jak ubezpieczyć firmowe komputery[/link]

* [link=http://www.rp.pl/artykul/83049,369879_Ile-kosztuje-brak-zabezpieczen.html]Ile kosztuje brak zabezpieczeń [/link]

[b]Więcej w temacie » [link=http://www.rp.pl/temat/514230.html]Nowe technologie[/link] [/b]

[/ramka]

Finanse w Firmie

Pozostało jeszcze 95% artykułu

Prawo w firmie

Rządowa deregulacja w Sejmie. Szybkie tempo prac i krytyka opozycji

Rządowy pakiet deregulacyjny ma uprościć życie przedsiębiorcom. Sejmowa opozycja zauważa, że likwiduje niewiele...

Materiał Promocyjny

Urodzinowa oferta na Škodę Octavia w leasingu dla przedsiębiorców

Prawo w firmie

Najlepsze studia MBA w Polsce. Wyniki rankingu Perspektywy 2025

Perspektywy opublikowały wyniki kolejnego rankingu programów MBA, czyli studiów kształcących menedżerów. "Złotą...

Uczestnicy debaty od lewej: Wojciech Bazan, Jolanta Sergot-Kowalska, Grzegorz Lang, Tomasz Pietryga,

Prawo w firmie

Dialog między zamawiającymi a wykonawcami to priorytet. Debata "Rzeczpospolitej"

Współpraca podmiotów państwowych i samorządowych z sektorem prywatnym jest kluczowa dla zwiększenia efektywności...

Prawo w firmie

Układy zbiorowe. Jest dobry sposób na ich upowszechnienie

Pieniądze publiczne powinny poprawiać płace i warunki pracy zatrudnionych – wynika z ogólnoeuropejskiego badania.

Materiał Promocyjny

Mieszkania na wynajem. Inwestowanie w nieruchomości dla wytrawnych

Lokalizacja, lokalizacja, lokalizacja – to trzy główne czynniki, które należy brać pod uwagę decydując się na inwestycję w mieszkanie – czy to z myślą o przechowaniu lub wzroście wartości, czy zwrocie z najmu.