Technologie i techniki: Przede wszystkim bezpiecznie

Przedsiębiorstwa każdego dnia narażone są na wyciek wewnętrznych, poufnych informacji. Zagrożone są wszystkie informacje, które mają wymierną wartość finansową. Według badania przeprowadzonego przez firmę Symantec wśród 105 respondentów z polskich firm różnej wielkości ponad połowa przedsiębiorstw potwierdziła, że obawia się utraty danych, a ponad jedna trzecia utraciła dane przynajmniej raz. Utrata informacji stała się największym z zagrożeń. Dane dotyczące klientów i partnerów są dla instytucji sektora finansowego najcenniejszym aktywem, a naruszenie ich bezpieczeństwa może mieć istotny wpływ na rentowność firmy i zaufanie do niej.

Panuje ogólne przekonanie, że do wycieku danych dochodzi wskutek ataków internetowych przestępców, którym np. uda się zainstalować oprogramowanie szpiegowskie na stacji końcowej bądź serwerze. Niestety coraz częściej okazuje się, że rośnie zagrożenie ze strony pracowników firm. Duża część ataków, z jakimi mamy do czynienia w firmach, pochodzi z wewnątrz, np. nieautoryzowane próby uzyskania dostępu do informacji zgromadzonych na serwerach i w bazach danych bądź na komputerach innych pracowników. Wyniki badań przeprowadzonych na grupie amerykańskich pracowników, którzy zostali zwolnieni z ich firmy, pokazały, że aż 59 proc. respondentów przyznało się do kradzieży poufnych informacji, takich jak dane klientów. Wśród najczęściej wynoszonych informacji znalazły się: adresy e-mailowe, dane pracowników, informacje o klientach, w tym listy kontaktów oraz inne niezwiązane z finansami dane ich byłego pracodawcy. Proceder ten jest najbardziej rozpowszechniony w sektorze usług finansowych. 79 proc. pracowników weszło w posiadanie danych firmowych bez zgody pracodawcy.

Zabezpieczenie informacji przed wyciekiem jest możliwe tylko wtedy, gdy spojrzymy na problem kompleksowo. Na samym początku należy dokładnie określić, które z posiadanych informacji należy chronić i określić, gdzie i w jakiej formie one występują i są przetwarzane. Inaczej nie będziemy w stanie dobrać właściwego sposobu ochrony. W przypadku gdy dane będą przechowywane np. w centralnej bazie danych i dostęp do nich będzie zapewniony poprzez aplikację pracującą w terminalu, ochroną należy objąć serwer aplikacji i serwer z bazą danych oraz system backupowy i archiwizacyjny oraz sieć, do której są podłączone. Gdy dane będą mogły być kopiowane np. do laptopów, będziemy musieli rozszerzyć ją również na nie i na urządzenia do nich podłączane. Następnie trzeba określić, kto ma mieć dostęp do danych. Warto kierować się zasadą zarządzania ścisłą gradacją praw dostępu – jeśli osoba nie musi tworzyć lub modyfikować danych, wystarczą jej uprawnienia tylko do odczytu. Uprawnienia te mogą być egzekwowane przy próbie dostępu do miejsca, gdzie dane są przechowywane (na serwerze plików, bazie danych, agent na stacji) lub zaszyte w samych danych (technologia Digital Rights Management).

Mechanizmy dostępu nie są w stanie zabezpieczyć przed celowym szkodliwym działaniem pracownika. Jeśli ktoś będzie chciał wykraść dane, może nakłonić do zrobienia tego pracownika z odpowiednimi uprawnieniami. Chcąc mówić o pełnym zabezpieczeniu danych, musimy dodatkowo określić, co z nimi można zrobić (wydrukować, wysłać pocztą, skopiować na dysk przenośny itp.). W tym momencie mechanizmy ochrony powinny być dostosowane do środowiska pracy. Czasem wystarczy tylko kontrolować, z jakich urządzeń korzystają pracownicy, zablokować wszystkie porty na stacji roboczej (USB, FireWire, LPT, COM), czy też wystarczy agent na stacji roboczej, kontrolujący, co z poufnymi danymi robi pracownik. W Polsce, jak wynika z naszego badania, aż 41 proc. przedsiębiorstw zezwala na nieograniczone użycie wszystkich przenośnych nośników pamięci, co zwiększa zagrożenie wycieku danych.

Jeśli danym przyporządkujemy wysoką klasę poufności, dodatkowo należy brać pod uwagę takie niebezpieczeństwa, jak podsłuch w sieciach komputerowych, możliwość wykonania zdjęcia ekranu wyświetlającego dane, podsłuch sygnału elektromagnetycznego (np. monitor, klawiatura). Częściej jednak mamy do czynienia z sytuacją, gdy dane są tracone wskutek kradzieży nośnika, na którym są przechowywane. Może to być zarówno laptop pracownika, jak i nośnik przenośny (dysk twardy, CD/DVD, taśma z kopią zapasową). Chcąc uchronić się przed takimi sytuacjami, wszystkie nośniki z naszymi danymi muszą być szyfrowane. Samo szyfrowanie powinno być na tyle silne, aby nie opłacało się dekodować danych. Wówczas dopiero można uznać, że dane są bezpieczne – oczywiście w kontekście obecnego stanu wiedzy.

W przypadku wycieku danych zagrożone są informacje, które mają wymierną wartość finansową, takich jak dane kontaktowe do kontrahentów, numery kont bankowych firmy oraz hasła dostę...