Z raportu opublikowanego przez Identity Theft Resource Center wynika, że w 2008 r. ponad 35 mln rekordów z danymi pozyskano nielegalnie. Obecny rok nie zapowiada się lepiej. Firmy tak kiepsko zabezpieczają dane, że nieraz praktycznie każdy może wynieść nawet strategiczne informacje.
Nie inaczej jest w polskich przedsiębiorstwach, gdzie często lepiej chronione są dane osobowe niż informacje biznesowe.
Jak wynika z raportu Trend Micro, utrata poufnych danych jest drugim najpoważniejszym zagrożeniem w pracy instytucji i firm, zaraz po atakach internetowych robaków, złośliwego kodu oraz phishingu. Dane wyciekają głównie w wyniku nieświadomej działalności pracowników. Tylko niewielka część zostaje wyniesiona poza firmę np. w celu sprzedaży.
Na świecie połowa przedsiębiorstw, które utraciły strategiczne informacje i nie odzyskały ich w ciągu dziesięciu dni, ponosi nieodwracalne straty lub nawet bankrutuje. Zajmująca się problemami bezpieczeństwa firma Kroll Ontrack oszacowała, że w takich sytuacjach koszty polskich firm wynoszą od 5 tys. do 500 tys. zł dziennie, w zależności od wielkości przedsiębiorstwa i wagi utraconych danych.
[srodtytul]Dostęp do danych pod kontrolą[/srodtytul]
Zazwyczaj jest tak, że pracownik odchodzący z firmy wciąż ma hasła, dzięki którym może bez problemu penetrować firmowe sieci. Od jego odejścia do czasu, gdy dział informatyki anuluje hasła i kody dostępu, mogą upłynąć dni, tygodnie albo miesiące. Niektóre działy IT w ogóle nie zauważają zmian kadrowych.
Według badań przeprowadzonych przez RSA w Europie, USA i Ameryce Południowej 43 proc. pracowników, którzy zmienili stanowisko wewnątrz firmy, nadal ma dostęp do niepotrzebnych już im kont i zasobów. 79 proc. respondentów przyznało, że ich przedsiębiorstwo zatrudnia pracowników tymczasowych lub podwykonawców, którzy potrzebują dostępu do systemów i danych firmowych o znaczeniu krytycznym. 37 proc. badanych trafiło do takich obszarów sieci przedsiębiorstwa, do których – ich zdaniem – nie powinni być wpuszczani.
Według ekspertów twierdzenie, że pracownik jest najbardziej niebezpieczny, kiedy odchodzi z firmy, nie jest prawdziwe. Zagrożenie jego nieuprawnionymi działaniami istnieje przez cały czas zatrudnienia. Przedsiębiorstwa muszą mieć zatem świadomość, że dostęp do wrażliwych danych trzeba nieustannie kontrolować.
[srodtytul]Zabezpieczenia są, ale nikt z nich nie korzysta[/srodtytul]
Niestety, żadne techniczne zabezpieczenia nie chronią w 100 proc. przed utratą, zniekształceniem czy ujawnieniem informacji. O poziomie bezpieczeństwa zawsze decydują ludzie. Jedynie 40 proc. respondentów badania przeprowadzonego przez Ontrack wskazało, że w ich firmach obowiązują procedury obejmujące metody przetwarzania i przechowywania danych. Ale ponad połowa przyznała, że nie korzysta z firmowych zabezpieczeń. Aż 61 proc. pracowników naraża firmy na utratę kluczowych dokumentów.
Z innego badania zrobionego przez Kroll Ontrack wynika, że pracownicy częściej zapisują najważniejsze firmowe pliki na prywatnych, lokalnych dyskach niż w zabezpieczonej firmowej sieci.
Równie niepokojące jest to, że 64 proc. ankietowanych przyznało się do częstego lub okazjonalnego wysyłania dokumentów z pracy na prywatne adresy e-mail, aby mieć dostęp do nich w domu. 89 proc. zatrudnionych wykonuje swoje służbowe zadania zdalnie, za pośrednictwem wirtualnej sieci prywatnej (VPN) lub poczty elektronicznej, a 58 proc. sprawdza służbową pocztę elektroniczną na komputerach publicznych.
Jedna osoba na dziesięć przyznała się do zgubienia notebooka, telefonu inteligentnego lub pamięci USB z informacjami firmowymi.
43 proc. ankietowanych, mimo że zmieniło stanowisko w firmie, nadal ma dostęp do kont i zasobów, które nie są już im potrzebne.
[srodtytul]Coraz szersze granice sieci[/srodtytul]
Innym zagrożeniem dla danych jest mobilność pracowników. Mają oni dostęp do firmowych danych za pośrednictwem notebooków, palmtopów, kluczy USB. Co zrobić, by dane te nie wyciekały?
Może tu pomóc technologia DLP (ang. Data Leak/Leakage/Loss Protection/Prevention – nazwa jest różnie interpretowana). Służy ona do ochrony organizacji przed utratą kontroli nad informacją niejawną. DLP to nie tylko rozwiązanie informatyczne, ale także praktyka bezpieczeństwa. Jej celem jest wykrywanie i zapobieganie wyciekowi poufnych danych poza fizyczne i logiczne granice przedsiębiorstwa.
– Systemy DLP pozwalają na ochronę firmy przed wyciekiem danych czy ich utratą. Większość z nich to jednak kosztowne produkty dla dużych firm. Mniejszym proponowane jest oprogramowanie o zawężonym zakresie – mówi Paweł Odor z Kroll Ontrack.
– Istotne jest to, że wiele mniej rozbudowanych rozwiązań dopiero przechodzi testy pokazujące ich ograniczenia lub braki.
Profesjonalne systemy DLP nie tylko zabezpieczają dane, ale także ograniczają dostęp do nich. Ochrona obejmuje zasoby dyskowe, pocztę, bazę danych i przede wszystkim stacje robocze. Według Market Research International firmy stosujące DLP najczęściej zabezpieczają się przed wyciekiem danych poprzez porty USB, korporacyjną bądź urzędową pocztę elektroniczną i przez prywatne konta pocztowe pracowników. DLP ma w ofercie wiele firm, np. McAfee, Symantec, Cisco, Microsoft, Trend Micro.
Coraz powszechniejsze są też zintegrowane systemy zarządzania bezpieczeństwem informacji zgodne z wymaganiami normy ISO 27001. Proponują one 134 rodzaje zabezpieczeń. Są wśród nich m.in.: polityka bezpieczeństwa, organizacja bezpieczeństwa informacji, zarządzanie aktywami, bezpieczeństwo zasobów ludzkich, bezpieczeństwo fizyczne i środowiskowe, zarządzanie systemami i sieciami, kontrola dostępu, zarządzanie ciągłością działania.
Na wdrożenie norm międzynarodowych ISO, w tym normy ISO 27001, można uzyskać dotację z funduszy unijnych.
[ramka][b]Główne źródła kłopotów[/b]
klucze USB – 50 proc.
poczta firmowa – 48 proc.
poczta w publicznym Internecie – 46 proc.
WiFi – 30 proc.
CD/DVD – 29 proc.
PDA – 27 proc.
Bluetooth/podczerwień – 25 proc.
drukowanie – 25 proc.
[i]Źródło: Marked Research International[/i][/ramka]
[ramka][b]Ile kosztuje brak zabezpieczeń[/b]
Wydatki w dolarach w przeliczeniu na dane jednej osoby:
zadośćuczynienie – 24,
e-maile, telefony, media – 13,
śledztwo, postępowanie sądowe – 7,
kontrole, audyt, doradztwo – 4,
telefony do call center – 3,
PR, wizerunek firmy – 1.
[i]Źródło: DataGovernance.com[/i][/ramka]
[ramka][b]Komentuje Paweł Odor, główny specjalista Kroll Ontrack w Polsce [/b]
Polskie firmy stosunkowo dobrze chronią się przed włamaniami z zewnątrz, trojanami bądź keyloggerami. Z pewnością wpływ na to ma coraz większa wiedza na temat bezpieczeństwa zasobów komputerowych. Niemalże w każdej firmie stosowane są dziś rozwiązania typu firewall czy systemy ochrony antywirusowej.
Tymczasem zdecydowanie większym zagrożeniem są działania ludzi, świadome bądź wynikające z braku wiedzy albo zbyt szerokich uprawnień. Zdarzają się też przyczyny bardziej prozaiczne. Można wymienić choćby brak uporządkowanych struktur w firmie po przejęciu albo fuzji, prace w mieszanych zespołach projektowych wymagające dostępu do różnych zasobów. Notorycznie zdarza się także łamanie zasad bezpieczeństwa określanych przez firmy.
Nasze badania pokazują, że mimo wprowadzonej polityki bezpieczeństwa, aż 61 proc. pracowników nadal naraża firmy na utratę kluczowych dokumentów. Ochrona powinna zaczynać się już na etapie prawnym podczas zatrudniania pracownika.
W umowie o pracę bądź w regulaminie powinny zostać określone takie sytuacje jak używanie komputera do celów osobistych czy przechowywanie w nim prywatnych danych.Przy zwalnianiu pracownika powinna być przyjęta procedura data collection – zabezpieczająca dane z nośników urządzeń elektronicznych użytkowanych przez tego pracownika. Tworzone w tej procedurze kopie danych powinny być wykonane przez niezależnych specjalistów w taki sposób, który pozwoli zachować ich wartość dowodową na wypadek postępowania.
Firmy muszą ściśle określić politykę korzystania ze swoich zasobów cyfrowych. Powinny także wdrożyć rozwiązania pozwalające na takie działania jak monitoring sieci czy kopiowanie danych. Wyniki badań przeprowadzanych przez specjalistów dowodzą, że w sektorze małych i średnich przedsiębiorstw niemal w ogóle nie ma osób odpowiedzialnych za bezpieczeństwo firmy.[/ramka]
[ramka][b]Komentuje Robert Dąbroś, konsultant ds. bezpieczeństwa, McAfee[/b]
Żeby zapobiec skutkom kradzieży służbowego laptopa, zgubienia pendrive’a czy sprzedaży na aukcji internetowej rządowych dysków twardych, wystarczyłoby wdrożyć znany od lat mechanizm szyfrowania informacji. Także przed omyłkowym (a często i celowym) wysłaniem poufnych informacji e-mailem lub przed przegraniem ich na pendrive'a można się chronić, stosując rozwiązania klasy DLP (Data Loss Prevention). Rozpoznają one stopień poufności informacji i blokują niepożądane operacje na chronionych dokumentach. Nawet zwykłe przypomnienie, że sam fakt uzyskania dostępu do chronionych informacji jest rejestrowany, potrafi powstrzymać pracowników przed nielojalnością.
Poważnym wyzwaniem dla działów zajmujących się ochroną informacji jest rosnąca mobilność pracowników. Niestety, większość dzisiejszych rozwiązań jest związana ze środowiskiem stacjonarnym: serwerami i komputerami biurowymi. Dlatego wielką wagę przywiązuje się teraz do tworzenia rozwiązań DLP. Będą one podążać za danymi, zapewniając jednakową ochronę bez względu na to, czy dane są przechowywane na serwerze, laptopie, pendrivie czy np. w telefonie komórkowym pełniącym rolę lekkiego terminalu.[/ramka]
[ramka][b]Komentuje Filip Demianiuk,Trend Micro[/b]
W celu skutecznego zapobiegania wyciekowi cennych danych należy połączyć ze sobą trzy elementy. Pierwszy to wiedza na temat tego, jakie dane chcemy chronić, gdzie się one znajdują i kto ma do nich dostęp. Drugim jest edukacja użytkowników: jak należy się obchodzić z danymi, czego absolutnie nie wolno robić.
Tutaj nacisk należy położyć nie na zakazy, lecz na zrozumienie tej problematyki przez pracowników. Trzeci element to narzędzia kontrolujące przepływ poufnych danych, czyli system informatyczny.
Żaden z tych elementów nie może być skuteczny bez pozostałych. Dopiero razem mogą stanowić dobry mechanizm ochrony danych.
Jeśli podejdziemy do tego tematu ilościowo, to zdecydowanie najwięcej przypadków wycieku danych jest wynikiem zaniedbań pracowników. Warto zwrócić uwagę na ścisły związek tego zjawiska z poziomem wiedzy na temat ochrony informacji. Im wyższa jest świadomość pracowników w tym zakresie, tym mniejsze zaniedbania. Stosunkowo dużym zagrożeniem jest działanie złośliwego kodu, który po zainfekowaniu komputera może wykradać informacje. Ilościowo najmniejsze znaczenie mają włamania. Ale ich skutki bywają bardzo groźne.
Dużym zainteresowaniem klientów cieszą się rozwiązania DLP. Na razie nie idzie to w parze z dużą liczbą wdrożeń, ponieważ prawidłowy cykl przygotowania do nich trwa wiele miesięcy, nawet około roku.[/ramka]
