W Polsce bezpieczeństwo informacji kojarzy się niemal wyłącznie z ochroną danych niejawnych czy też ustawowym obowiązkiem ochrony danych osobowych. Dlatego firmy – chcąc być w zgodzie z ustawami – inwestują w zabezpieczenia techniczne, zapominając o czynniku ludzkim. [b]A to właśnie pracownicy z reguły ponoszą winę za wyciek danych. Do ich częstych grzechów należy samowolna instalacja programów i nagminne wykorzystywanie firmowej sieci do innych celów niż służbowe.[/b]
Pracownicy bardzo często bez zastanowienia dzielą się różnymi informacjami w serwisach społecznościowych, takich jak np.: LinkedIn, Goldenline, Facebook, Grono, Flickr, Profeo czy Nasza-Klasa. Wiele osób odwiedza te serwisy i ma tam swoje profile.
Z opracowania „Rynek telekomunikacyjny w Polsce w 2009 roku, PBS DGA”, przygotowanego dla UKE, wynika, że ponad 30 proc. polskich internautów codziennie korzysta z serwisów społecznościowych. Dwie trzecie osób z tej grupy robi to najczęściej w domu, ale reszta w miejscu zatrudnienia.
Charakter portali sprawia, że coraz więcej ludzi umieszcza tam wiadomości zarówno o swoim życiu prywatnym, jak i służbowym. Często są to dane, które powinny podlegać ochronie. Mało tego, pracownicy nie mają świadomości, że postępują niewłaściwie. Według raportu Deloitte aż 47 proc. uważa, że informacje o kontaktach biznesowych (prezentowane np. na portalach typu LinkedIn, Goldenline) nie powinny podlegać ochronie. Kolejne 20 proc. respondentów nie ma w tej kwestii zdania.
Realnym zagrożeniem dla bezpieczeństwa spółki może być korzystanie z funkcji takich jak TripIT (informacja na temat podróży służbowych). Chyba jeszcze groźniejsze są plotki skutecznie psujące wizerunek firmy. Informacje zawarte w ogólnodostępnych portalach łatwo można zebrać i powiązać ze sobą. Pozwala to zgromadzić sporą wiedzę o firmie bez uciekania się do technik szpiegostwa przemysłowego.
[srodtytul]Polowanie na adresy e-mail[/srodtytul]
Informacje udostępniane w serwisach przez pracowników internetowych mogą być wykorzystane nie tylko np. przez konkurencję, ale też hakerów.
– Sieci społecznościowe, mające setki milionów użytkowników, są obecnie bardzo popularne wśród cyberprzestępców. Pracownicy korzystający z tych serwisów, nieświadomi zagrożenia, otwierają dostęp szkodliwemu oprogramowaniu do systemu informatycznego firmy – mówi Rik Ferguson z Trend Micro. –
Poza tym użytkownicy sieci społecznościowych mają zaufanie do osób, z którymi rozmawiają, i wierzą w podawaną przez nich tożsamość. Dlatego ten kanał komunikacji otwiera szerokie pole do działania socjotechnikom, które mogą być bardzo przydatne w ukierunkowanych atakach.
Do podstawowych towarów na cybernetycznym czarnym rynku należą adresy e-mail. Pozyskiwane masowo za pomocą skanerów sieciowych zwanych żniwiarkami (harvesters) mają niewielką wartość. Milion niesortowanych adresów kosztuje tylko 10 dolarów. Dlatego przestępcy szukają sposobów na podniesienie wartości sprzedawanej listy.
Jednym ze sposobów jest zbieranie informacji właśnie w serwisach społecznościowych. Pozwala to na ich grupowanie według kryterium płci, zainteresowań, branży, wielkości firmy. Podwyższa to wartość listy adresowej, gdyż umożliwia kierowanie spamu do konkretnej grupy odbiorców.
Gdy lista taka zostanie sprzedana, firmę zacznie zalewać spam. Uporządkowana baza odbiorców skojarzonych z konkretnymi usługami może być też wykorzystana do kampanii phishingowej, czyli wyłudzania poufnych informacji, które mają posłużyć do ataków na konta bankowe.
[srodtytul]Eksperci odradzają blokowanie dostępu[/srodtytul]
Niestety, jak stwierdziła firma Sophos, połowa przedsiębiorstw i instytucji nie kontroluje dostępu do popularnych serwisów społecznościowych. Jedynie w co ósmej firmie istnieje kodeks lub regulamin dotyczący korzystania z nich.
Najczęściej pracodawcy po prostu blokują dostęp do takich stron, ale to wcale nie sprzyja ochronie informacji. Eksperci Sophosu odradzają takie postępowanie. Ich zdaniem pracownicy i tak będą szukać sposobów na obejście zabezpieczeń, a to będzie rodzić nowe problemy.
Dużo lepszym rozwiązaniem jest edukacja pracowników. Powinni oni wiedzieć, jakich informacji służbowych nie wolno ujawniać.
Warto położyć nacisk na szkolenia, akcje uświadamiające. Trzeba też wypracować odpowiednie procedury.
– W małych, a nawet wielu średnich firmach nie istnieje udokumentowana polityka bezpieczeństwa. Ale nawet wtedy możliwe jest zapewnienie bezpieczeństwa na odpowiednim poziomie.
Potrzebna jest tylko dobra współpraca i zrozumienie między władzami firmy i ludźmi zajmującymi się IT – uważa Robert Dąbroś, konsultant ds. bezpieczeństwa w McAfee.
Pomocne przy budowaniu polityki bezpieczeństwa mogą być certyfikaty, takie jak ISO 27001 (międzynarodowa norma standaryzująca bezpieczeństwo wymiany informacji). Norma ta zawiera sprawdzone praktyki dotyczące bezpieczeństwa informacji. Niestety połowa badanych firm nie wykazuje zainteresowania certyfikacją.
[srodtytul]Szacowanie zysków i strat[/srodtytul]
Przedsiębiorstwa coraz mniej środków przeznaczają na ochronę firmowych danych. Z badań przeprowadzonych przez Deloitte i Gazeta.pl w lipcu 2009 roku wynika, że w polskich firmach wzrost wydatków na bezpieczeństwo w obszarze informatyki jest tak niewielki, że po uwzględnieniu inflacji należałoby mówić o spadku.
Przedsiębiorstwa, zwłaszcza małe i średnie, bardzo rzadko wydzielają środki na zabezpieczenia z ogólnych budżetów przeznaczonych na infrastrukturę informatyczną; robi tak tylko 2 proc. zbadanych firm i są to na ogół duże przedsiębiorstwa.
Jedną z przyczyn takich zachowań jest nieumiejętność wyliczenia kosztów związanych z zapewnieniem bezpieczeństwa, kosztów ewentualnej utraty danych, ale też szans i zaufania. Trudno też oszacować, po jakim czasie zwrócą się nakłady na bezpieczeństwo.
Filip Demianiuk z Trend Micro radzi, żeby przeprowadzić prosty rachunek.
– Załóżmy, że doszliśmy do wniosku, że jednorazowa utrata danych lub dostępu do nich będzie kosztowała naszą firmę 10 tys. zł. Jednocześnie oszacowaliśmy, że nie ma szans, by zdarzyło się to częściej niż dwa razy w roku.
Na tej podstawie łatwo wyliczyć, że system zabezpieczeń nie powinien kosztować więcej niż 20 tys. zł, żeby jego instalacja miała uzasadnienie biznesowe. Tak samo trzeba podejść do problemu kradzieży firmowych danych – twierdzi Filip Demianiuk.
[ramka][b]Opinie na temat bezpieczeństwa informatycznego[/b]
- Czy martwisz się, że pracownicy twojej firmy ujawniają zbyt wiele informacji na stronach portali społecznościowych?
- tak 62,8 proc.
- nie 37,2 proc.
- Czy sadzisz, że aktywność pracowników na serwisach społecznościowych może mieć wpływ na bezpieczeństwo firmy?
- tak 66 proc.
- nie 34 proc.
- Czy kontakty biznesowe (prezentowane np. na LinkedIn, Goldenline) są informacjami, które powinny podlegać ochronie?
- tak 33,3 proc.
- nie 46,7 proc.
- nie mam zdania – 20 proc.
- Co jest największym zagrożeniem dla bezpieczeństwa informatycznego firm i instytucji?
- beztroska pracowników 79 proc.
- brak wiedzy administratorów 25 proc.
- hakerstwo 9 proc.
- piractwo komputerowe 4 proc.
- inne 11 proc.
[i]Źródła: Sophos; badanie Deloitte i Gazeta.pl; badanie MediaRecovery, 2009 r.[/i][/ramka]
[ramka][b]Ograniczone możliwości monitorowania[/b]
[b]Cezary Piekarski menedżer w Dziale zarządzania ryzykiem, Deloitte[/b]
Polscy przedsiębiorcy często wydają pieniądze na bezpieczeństwo w sposób impulsywny i nieprzemyślany. Kluczem do oszczędności w obszarze bezpieczeństwa IT jest mądra alokacja środków według kryterium ryzyka.
Trzeba też dobrze przemyśleć, co tak naprawdę chcemy chronić i z jakimi zagrożeniami musimy się liczyć. W przeciwnym razie nadal będziemy wydawać pieniądze na złudne bezpieczeństwo, a nie faktyczną ochronę.
Pomijając aspekt prawny, możliwości monitorowania pracowników poza miejscem i godzinami pracy są mocno ograniczone. Dlatego jedną z nielicznych skutecznych metod ochrony informacji znajdujących się w głowach naszych pracowników jest edukacja.
Dzięki nowoczesnym programom edukacyjnym realizowanym w modelu e-learning możemy dostarczać wiedzę na temat bezpieczeństwa oraz mierzyć skuteczność kampanii edukacyjnej.
Nie bez znaczenia jest również możliwość przeprowadzenia takiego szkolenia w momencie dogodnym dla pracownika oraz znaczne ograniczenie kosztów całej kampanii dzięki zastosowaniu narzędzi elektronicznych.[/ramka]
[ramka][b]Najważniejsza systematyczna edukacja
Rik Ferguson doradca ds. bezpieczeństwa w Trend Micro[/b]
Niektóre firmy w ramach polityki bezpieczeństwa blokują pracownikom dostęp do portali społecznościowych. Uważam, że jest to w pełni uzasadnione, jeśli w zasobach przedsiębiorstwa znajdują się wrażliwe dane.
Jednak firma, która zdecyduje się na takie rozwiązanie, musi mieć bardzo solidne zabezpieczenia sieci wewnętrznej. U niektórych użytkowników chęć wejścia na ulubiony portal jest tak silna, że zaczynają szukać różnych sposobów na obejście zabezpieczeń firmowych.
Może to prowadzić na przykład do korzystania z otwartych serwerów proxy czy stron internetowych, które umożliwią połączenie się z ulubionymi sieciami społecznościowymi. W ten sposób naraża się firmę na inne nieprzewidziane zagrożenia.
Pracownicy powinni dokładnie przemyśleć, jakie informacje podają na portalach.
Nie powinni umieszczać tam danych związanych z ich miejscem zatrudnienia, danych kontaktowych lub informacji, których nie przekazaliby obcej osobie na ulicy. Kiedy informacje takie zostaną opublikowane online, nie ma żadnej gwarancji, że inni użytkownicy nie skopiują ich i nie udostępnią szerszej grupie.
Firmy przede wszystkim powinny edukować swoich pracowników, nauczyć ich, jak mają kontrolować swoją obecność w Internecie, jak korzystać z wyszukiwarek w poszukiwaniu treści na swój temat, jak minimalizować zagrożenie.
Edukacja to jednak nie jednorazowe szkolenie, ale ciągły proces. Można na przykład codziennie rozsyłać newsletter na ten temat. W ten sposób buduje się kulturę bezpieczeństwa w firmie.[/ramka]
