Inteligentny przeciwnik może w prosty sposób powiązać informacje zawarte w ogólnodostępnych portalach oraz serwisach społecznościowych, wchodząc w posiadanie informacji, które jeszcze niedawno dostępne były jedynie przy wykorzystaniu technik szpiegostwa przemysłowego
Rosnąca popularność internetu oraz przyrost informacji, którymi dzielą się w sieci jej użytkownicy, stanowi dla biznesu ogromne wyzwanie i zagrożenie, z którego jeszcze nie wszyscy zdają sobie sprawę.
Gdzie czai się niebezpieczeństwo
Niedawne badania Deloitte i Gazeta.pl przeprowadzone wśród przedsiębiorców i pracowników na temat bezpieczeństwa informacji w internecie pokazały, że w czasach kryzysu w firmach zabiega się przede wszystkim o oszczędności. Znikomy jest wobec tego wzrost budżetów przeznaczanych na ochronę danych w obszarze IT. Przedsiębiorcy mają kłopot z oszacowaniem korzyści, jakie niosą ze sobą tego rodzaju inwestycje ale też oceną ewentualnych strat spowodowanych zmniejszeniem wydatków na te cele.
Ponadto nie dostrzega się ryzyka związanego z czynnikiem ludzkim, czyli wynikającego z zachowań pracowników i braku ich świadomości, że jako internauci stają się również źródłem danych dla ukrytych w sieci łowców informacji o zatrudniających ich spółkach, instytucjach, organizacjach.
Jednak skupienie się wyłącznie na uniemożliwieniu korzystania z serwisów społecznościowych w czasie pracy to za mało bo o ile komputerom w sieci firmowej można zablokować dostęp do takich serwisów to nad prywatnym sprzętem pracowników nie ma już takiej kontroli. Aktywna i liczna obecność w tych serwisach przypada raczej na godziny po powrocie do domu. I to jest dopiero pora niekontrolowanych zagrożeń dla pracodawców.

Dane tylko pozornie nieistotne

Badani pracownicy przyznają, że dzielą się w internecie informacjami ze swojego życia służbowego. Nie jest to co prawda przytłaczająca większość respondentów, ale jednak. Kilka procent ankietowanych odpowiedziało twierdząco na pytanie, czy zamieścili komentarze na temat swojego pracodawcy na portalu społecznościowym.
– Inteligentny przeciwnik może w prosty sposób powiązać informacje zawarte w ogólnodostępnych portalach oraz serwisach społecznościowych, wchodząc w posiadanie informacji, które jeszcze niedawno dostępne były jedynie przy wykorzystaniu technik szpiegostwa przemysłowego – czytamy w raporcie.
Jakie zatem informacje podawane w internecie mogą być cenne dla konkurencji i w związku z tym zagrażać firmie? Czy każde uczestnictwo w portalu niesie takie ryzyko?
– Tradycyjnym przykładem takich informacji są dane o relacjach biznesowych przechowywane na portalach społecznościowych przeznaczonych dla profesjonalistów. Innym przykładem będą fragmenty plików konfiguracyjnych umieszczane na forach przez poszukujących rozwiązań technicznych problemów administratorów naszej infrastruktury – podkreśla Cezary Piekarski.



Trudne hasło ciężko zapamiętać

Część badanych internautów przyznaje, że stają się ofiarami ataków cyberprzestępców. Do największych zagrożeń zaliczają wirusy, spamy i programy szpiegujące. Nie wiążą jednak ich obecności z własnymi działaniami.
Z badań wynika, że pracownicy nie doceniają jak duże znaczenie ma stopnień trudności i dokonywanie częstych zmian używanych haseł, podczas gdy w oczach ekspertów jest to jedna z kluczowych kwestii bezpieczeństwa środowisk informatycznych.
Zagrożenia związane z korzystaniem z komputera nie tylko płyną z niewłaściwego, ale często z nieświadomego działania internauty. Dla przedsiębiorców kwestią priorytetową staje się więc budowanie odpowiedniej świadomości swoich pracowników oraz zapewnienie efektywności procedur związanych z wykorzystaniem komputera służbowego zgodnie z jego przeznaczeniem. Pracownicy powinni mieć świadomość, że bezpieczeństwo informatyczne firmy, w której pracują, w znacznym stopniu zależy właśnie od nich. Tymczasem według badanych pracowników jedynie w co ósmej firmie istnieje kodeks bądź regulamin dotyczący korzystania z serwisów społecznościowych.
Nie tylko dział IT odpowiada za ochronę informacji
W firmach brakuje polityki bezpieczeństwa wobec tego zjawiska. Dbałość o bezpieczeństwo informacji raczej sprowadza się do stosowania rozwiązań technicznych. To na nie raczej przeznacza się środki. Jednak i w tej dziedzinie wiele jeszcze trzeba usprawnić. W porównaniu do innych państw w Polsce wykorzystuje się mało zaawansowane technologie z obszaru bezpieczeństwa IT, takie jak zarządzanie tożsamością, pozostając przy prostych i często nieskutecznych rozwiązaniach.
Tym niemniej zapewnienie odpowiedniego poziomu bezpieczeństwa informacji nie jest tylko kwestią natury technicznej. Istnieje wiele aspektów proceduralnych oraz organizacyjnych mających kluczowe znaczenie z punktu widzenia ochrony informacji.
Dla zbudowania pełnego pakietu ochronnego konieczne jest wyczulenie pracowników na skutki rozpowszechniania przez nich w internecie informacji, nawet pozornie nieistotnych. Zdaniem ekspertów Deloitte bardziej stosowne wydają się przy tym szkolenia i akcje uświadamiające oraz wypracowanie odpowiednich procedur aniżeli blokowanie dostępu do serwisów społecznościowych na poziomie infrastruktury teleinformatycznej. Jak nam powiedział Jakub Bojanowski, partner w Dziale Zarządzania Ryzykiem Deloitte, trzeba znaleźć sposób na pobudzenie wyobraźni pracowników, a tego nie osiągnie się środkami technicznymi. Chodzi bowiem o zjawisko socjologiczne, a nie technologiczne.
Czy uważa Pan/Pani, że kontakty biznesowe (prezentowane np. na Linkedin, Goldenline) są informacjami, które powinny podlegać ochronie? / DGP