Groźne skutki niefrasobliwości internautów

W Polsce bezpieczeństwo informacji kojarzy się niemal wyłącznie z ochroną danych niejawnych czy też ustawowym obowiązkiem ochrony danych osobowych. Dlatego firmy – chcąc być w zgodzie z ustawami – inwestują w zabezpieczenia techniczne, zapominając o czynniku ludzkim. [b]A to właśnie pracownicy z reguły ponoszą winę za wyciek danych. Do ich częstych grzechów należy samowolna instalacja programów i nagminne wykorzystywanie firmowej sieci do innych celów niż służbowe.[/b]

Pracownicy bardzo często bez zastanowienia dzielą się różnymi informacjami w serwisach społecznościowych, takich jak np.: LinkedIn, Goldenline, Facebook, Grono, Flickr, Profeo czy Nasza-Klasa. Wiele osób odwiedza te serwisy i ma tam swoje profile.

Z opracowania „Rynek telekomunikacyjny w Polsce w 2009 roku, PBS DGA”, przygotowanego dla UKE, wynika, że ponad 30 proc. polskich internautów codziennie korzysta z serwisów społecznościowych. Dwie trzecie osób z tej grupy robi to najczęściej w domu, ale reszta w miejscu zatrudnienia.

Charakter portali sprawia, że coraz więcej ludzi umieszcza tam wiadomości zarówno o swoim życiu prywatnym, jak i służbowym. Często są to dane, które powinny podlegać ochronie. Mało tego, pracownicy nie mają świadomości, że postępują niewłaściwie. Według raportu Deloitte aż 47 proc. uważa, że informacje o kontaktach biznesowych (prezentowane np. na portalach typu LinkedIn, Goldenline) nie powinny podlegać ochronie. Kolejne 20 proc. respondentów nie ma w tej kwestii zdania.

Realnym zagrożeniem dla bezpieczeństwa spółki może być korzystanie z funkcji takich jak TripIT (informacja na temat podróży służbowych). Chyba jeszcze groźniejsze są plotki skutecznie psujące wizerunek firmy. Informacje zawarte w ogólnodostępnych portalach łatwo można zebrać i powiązać ze sobą. Pozwala to zgromadzić sporą wiedzę o firmie bez uciekania się do technik szpiegostwa przemysłowego.

[srodtytul]Polowanie na adresy e-mail[/srodtytul]

Informacje udostępniane w serwisach przez pracowników internetowych mogą być wykorzystane nie tylko np. przez konkurencję, ale też hakerów.

– Sieci społecznościowe, mające setki milionów użytkowników, są obecnie bardzo popularne wśród cyberprzestępców. Pracownicy korzystający z tych serwisów, nieświadomi zagrożenia, otwierają dostęp szkodliwemu oprogramowaniu do systemu informatycznego firmy – mówi Rik Ferguson z Trend Micro. –

Poza tym użytkownicy sieci społecznościowych mają zaufanie do osób, z którymi rozmawiają, i wierzą w podawaną przez nich tożsamość. Dlatego ten kanał komunikacji otwiera szerokie pole do działania socjotechnikom, które mogą być bardzo przydatne w ukierunkowanych atakach.

Do podstawowych towarów na cybernetycznym czarnym rynku należą adresy e-mail. Pozyskiwane masowo za pomocą skanerów sieciowych zwanych żniwiarkami (harvesters) mają niewielką wartość. Milion niesortowanych adresów kosztuje tylko 10 dolarów. Dlatego przestępcy szukają sposobów na podniesienie wartości sprzedawanej listy.

Jednym ze sposobów jest zbieranie informacji właśnie w serwisach społecznościowych. Pozwala to na ich grupowanie według kryterium płci, zainteresowań, branży, wielkości firmy. Podwyższa to wartość listy adresowej, gdyż umożliwia kierowanie spamu do konkretnej grupy odbiorców.

Gdy lista taka zostanie sprzedana, firmę zacznie zalewać spam. Uporządkowana baza odbiorców skojarzonych z konkretnymi usługami może być też wykorzystana do kampanii phishingowej, czyli wyłudzania poufnych informacji, które mają posłużyć do ataków na konta bankowe.

[srodtytul]Eksperci odradzają blokowanie dostępu[/srodtytul]

Niestety, jak stwierdziła firma Sophos, połowa przedsiębiorstw i instytucji nie kontroluje dostępu do popularnych serwisów społecznościowych. Jedynie w co ósmej firmie istnieje kodeks lub regulamin dotyczący korzystania z nich.

Najczęściej pracodawcy po prostu blokują dostęp do takich stron, ale to wcale nie sprzyja ochronie informacji. Eksperci Sophosu odradzają takie postępowanie. Ich zdaniem pracownicy i tak będą szukać sposobów na obejście zabezpieczeń, a to będzie rodzić nowe problemy.

Dużo lepszym rozwiązaniem jest edukacja pracowników. Powinni oni wiedzieć, jakich informacji służbowych nie wolno ujawniać.

Warto położyć nacisk na szkolenia, akcje uświadamiające. Trzeba też wypracować odpowiednie procedury.

– W małych, a nawet wielu średnich firmach nie istnieje udokumentowana polityka bezpieczeństwa. Ale nawet wtedy możliwe jest zapewnienie bezpieczeństwa na odpowiednim poziomie.

Potrzebna jest tylko dobra współpraca i zrozumienie między władzami firmy i ludźmi zajmującymi się IT – uważa Robert Dąbroś, konsultant ds. bezpieczeństwa w McAfee.

Pomocne przy budowaniu polityki bezpieczeństwa mogą być certyfikaty, takie jak ISO 27001 (międzynarodowa norma standaryzująca bezpieczeństwo wymiany informacji). Norma ta zawiera sprawdzone praktyki dotyczące bezpieczeństwa informacji. Niestety połowa badanych firm nie wykazuje zainteresowania certyfikacją.

[srodtytul]Szacowanie zysków i strat[/srodtytul]

Przedsiębiorstwa coraz mniej środków przeznaczają na ochronę firmowych danych. Z badań przeprowadzonych przez Deloitte i Gazeta.pl w lipcu 2009 roku wynika, że w polskich firmach wzrost wydatków na bezpieczeństwo w obszarze informatyki jest tak niewielki, że po uwzględnieniu inflacji należałoby mówić o spadku.

Przedsiębiorstwa, zwłaszcza małe i średnie, bardzo rzadko wydzielają środki na zabezpieczenia z ogólnych budżetów przeznaczonych na infrastrukturę informatyczną; robi tak tylko 2 proc. zbadanych firm i są to na ogół duże przedsiębiorstwa.

Jedną z przyczyn takich zachowań jest nieumiejętność wyliczenia kosztów związanych z zapewnieniem bezpieczeństwa, kosztów ewentualnej utraty danych, ale też szans i zaufania. Trudno też oszacować, po jakim czasie zwrócą się nakłady na bezpieczeństwo.

Filip Demianiuk z Trend Micro radzi, żeby przeprowadzić prosty rachunek.

– Załóżmy, że doszliśmy do wniosku, że jednorazowa utrata danych lub dostępu do nich będzie kosztowała naszą firmę 10 tys. zł. Jednocześnie oszacowaliśmy, że nie ma szans, by zdarzyło się to częściej niż dwa razy w roku.

Na tej podstawie łatwo wyliczyć, że system zabezpieczeń nie powinien kosztować więcej niż 20 tys. zł, żeby jego instalacja miała uzasadnienie biznesowe. Tak samo trzeba podejść do problemu kradzieży firmowych danych – twierdzi Filip Demianiuk.

[ramka][b]Opinie na temat bezpieczeństwa informatycznego[/b]

- Czy martwisz się, że pracownicy twojej firmy ujawniają zbyt wiele informacji na stronach portali społecznościowych?

- tak 62,8 proc.

- nie 37,2 proc.

- Czy sadzisz, że aktywność pracowników na serwisach społecznościowych może mieć wpływ na bezpieczeństwo firmy?