Prezesie, bądź mądry przed szkodą
Kryzys i nowe kanały dostępu do internetu mogą obnażyć wszystkie wady sieci firmowych. Zaboli zarówno firmy, jak i osobiście menedżerów.
— Kiedyś miałem wysłać ważny dokument do kolegi o nazwisku Czerwiński, a wysłałem go do pani Czerwin z zupełnie innej firmy. Wszystko dlatego, że programy pocztowe podpowiadają adresata e-maila po wpisaniu kilku pierwszych liter jego adresu. Nie było negatywnych konsekwencji, ale gdybym pracował w koncernie samochodowym i w ten przypadkowy sposób wypuścił informację o dacie premiery nowej wersji jakiegoś modelu, mogłoby to w istotny sposób wpłynąć na sprzedaż wyprodukowanych już egzemplarzy wersji poprzedniej — opowiada Robert Żelazo, z polskiego biura McAfee.
Według szacunków tego amerykańskiego producenta oprogramowania i sprzętu do ochrony pojedynczych komputerów i sieci straty firm spowodowane utratą danych wynoszą w skali świata bilion dolarów. Wiele typowych działań przedsiębiorstw w okresach spowolnienia gospodarczego może jeszcze bardziej narazić je na straty z powodu niewłaściwego zabezpieczenia środowisk IT.
— Część firm, powodowana pędem do cięcia kosztów, zwalnia pracowników. Ale ludzie wyczuwają złą atmosferę i wcześniej zgarniają bazę klientów, partnerów itp. — ostrzega Robert Żelazo.
Prawdziwy problem zaczyna się, gdy pracownicy działają w złej wierze. A narażających w ten sposób firmę na niebezpieczeństwo jest cała masa.
Niepraktyczne
Z badań RSA, obecnie działu zabezpieczeń EMC, a do niedawna samodzielnej firmy produkującej m.in. wykorzystywane w bankowości elektronicznej tokeny, wynika, że 94 proc. pracowników zna reguły bezpieczeństwa obowiązujące w ich firmach. Ale aż 53 proc. odczuwa potrzebę ich obejścia, by wykonywać codzienne zadania.
— Jeżeli równowaga między ograniczeniami wynikającymi z ochrony sieci firmowej przed hakerami a funkcjonalnością, którą pozostawia się do dyspozycji pracownikom, jest źle ustawiona, to naturalne, że ludzie zaczynają świadomie obchodzić zabezpieczenia. To tak, jakby mieć zamykane na klucz wszystkie zamki w drzwiach. Po pewnym czasie po prostu w ogóle przestanie się je zamykać — podkreśla Aleksander Poniewierski, starszy menedżer w dziale ryzyka informatycznego firmy konsultingowej Ernst Young Audit.
— Pracowałem kiedyś w firmie, której część stanowiło call center. I tam były zblokowane wszystkie porty USB. W pewnych sytuacjach radykalne metody są właściwe i najtańsze. Ale w przypadku typowego pracownika biurowego, im więcej się zabroni, tym trudniej będzie mu wykonywać zadania. Dlatego firma musi mieć świadomość, co chce osiągnąć i do tego dostosować zabezpieczenia — dodaje Filip Demianiuk, z polskiego biura Trend Micro, japońskiego producenta oprogramowania zabezpieczającego komputery.
I proponuje, by firmy definiowały te dokumenty, które niezależnie od zmian w nich dokonanych, przed skopiowaniem na USB, wysłaniem e-mailem czy wydrukowaniem zrzutu ekranu wymagają podania specjalnego kodu zabezpieczającego. Oprogramowanie pozwalające na tego taką kontrolę sieci firmowych jest w ofercie wielu dostawców.
Aleksander Poniewierski stara się o radę bardziej uniwersalną. Zwraca uwagę, że zabezpieczyć firmę można na dwa sposoby. Pierwszy sprowadza się do blokowania dostępu do różnych rzeczy. Po takiej operacji uważa się, że wszystko jest w porządku. Ale pracownicy nie mogą np. przesyłać zbyt dużych plików ze swoich skrzynek pocztowych. Gdy pewnego dnia trzeba wysłać komuś ważny służbowy plik filmowy, nie da się tego zrobić przez skrzynki służbowe, więc film trafia do zewnętrznej firmy, a macierzysta w zasadzie traci nad nim kontrolę.
W drugiej metodzie najpierw bada się — jeszcze przed zainstalowaniem jakichkolwiek zabezpieczeń — jak użytkownicy korzystają z komputerów. Gdy się to wie, można ustawić zabezpieczenia z opcją ich zawieszenia na sekundę, dwie czy 15 minut przez pracownika.
— Chodzi jednak o wyjątki, a nie o obejścia reguł — podkreśla Aleksander Poniewierski.
IPhone i nasza-klasa
Z obserwacji firmy McAfee wynika, że własność intelektualna staje się nowym celem cyberprzestępców. Przybywa naruszeń bezpieczeństwa danych korporacyjnych przez zorganizowane grupy przestępcze. I nie jest to już abstrakcyjny problem zagranicznych firm.
— W Polsce też się zdarzyło, że klienci dostarczyli nam próbkę złośliwego kodu napisanego w celu wyciągnięcia danych z konkretnej firmy. Trudno stwierdzić, czy ten wirus powstał na zlecenie konkurencji, czy dla zabawy, ale na pewno był pisany przeciwko konkretnej firmie. Nie wiadomo, jak często dochodzi w naszym kraju do takich ukierunkowanych ataków. Bo jeżeli program antywirusowy wykryje intruza, to użytkownik widzi, że znalazł wirusa, czyli zadziałał, i nic z tym dalej nie robi. W tym wypadku informatycy byli na tyle dociekliwi i dobrze wyedukowani, że zaczęli się wirusowi bliżej przyglądać — opowiada Filip Demianiuk.
Wedle Trend Micro należy też coraz większą uwagę zwracać na kieszonkowe urządzenia mobilne. W przeciwieństwie do notebooków nie są one jeszcze chronione i prawdopodobnie pojawi się szkodliwe oprogramowanie do telefonów, zwłaszcza z grupy smartfonów.
— Ja bym takim zagrożeniem jeszcze bardzo nie straszył. Ale pojawienie się iPhone’a pokazało, że można wygodnie korzystać z internetu przy pomocy urządzeń kieszonkowych. Skoro ludzie zaczęli się logować z telefonów np. do banków, to w naturalny sposób zaczęło to interesować hakerów — mówi Filip Deminaiuk.
Smartphony nie są jeszcze zagrożeniem dla korporacyjnych danych, co potwierdzają wyniki badań firmy Symantec, prowadzone w polskich firmach. Zaledwie 13 proc. z nich udostępnia pracownikom takie urządzenia, podczas gdy notebooki — aż 75 proc. Tyle że 41 proc. polskich przedsiębiorstw zezwala pracownikom na korzystanie z urządzeń przenośnych bez ograniczeń. A przez takie urządzenie można do firmowej sieci wprowadzić tzw. konia trojańskiego, czyli program, który ukradkiem wysyła na zewnątrz znalezione w niej informacje. Jakie? Zależy od pomysłowości i potrzeb jego autora.
W dodatku, według Piotra Chrobota z Symanteca, pracownicy używają własnych elektronicznych gadżetów, więc zaciera się różnica między danymi prywatnymi a służbowymi. A to powoduje, że coraz trudniej przewidzieć, kogo ewentualny atak na sieć firmową będzie bardziej dotyczył: firmy czy jej pracowników. Zwłaszcza tych z wyższych szczebli. Łatwo ich zidentyfikować po nazwisku, a zasobność portfela mają oni ponadprzeciętną, czyli bardziej interesującą cyberwłamywacza.
— Od dawna znamy tzw. nurków śmietnikowych, którzy szukają w odpadkach wyciągów z kont bankowych czy kart kredytowych. W dodatku łatwo zebrać o kimś informacje przy użyciu serwisów społecznościowych typu Nasza-klasa. W efekcie wysłanie prezesowi e-maila wyglądającego jakby przyszedł z obsługującego go banku z prośbą o informacje pozwalające na korzystanie z konta lub karty kredytowej i socjotechniczne poparcie go telefonem na bezpośredni numer nie jest trudne — ostrzega Robert Żelazo.
A więc prezesie. Chroniąc firmę, chronisz siebie. Zastanów się czy właściwie.
Kamil Kosiński