Brawurowe włamanie do systemu giełdowego, publikacja fałszywego raportu i śledztwo prokuratorskie — brzmi jak fabuła filmu sensacyjnego. Jednak wydarzyło się naprawdę w notowanej na NewConnect firmie Cerabud, produkującej i sprzedającej ceramikę budowlaną. W opublikowanym wczoraj raporcie można było przeczytać, że Cerabud m.in. oszukuje pracowników i akcjonariuszy, publikuje raporty z nieprawdziwymi informacjami, a nowa emisja akcji ma na celu tylko wyciąganie pieniędzy z rynku.
Autorowi raportu rzekomo oferowano akcje za milczenie. Pod komunikatem podpisano Macieja Orzechowskiego, który półtora roku temu przestał być prezesem.
— Umieszczenie mojego nazwiska w komunikacie miało uwiarygodnić informację. To mogło być zagranie, by zdyskredytować spółkę, która przechodzi restrukturyzację — mówi Maciej Orzechowski. Autor feralnego raportu posłużył się loginem i hasłem obecnego prezesa Krzysztofa Marciniaka.
— To było nieautoryzowane wejście — mówi Krzysztof Marciniak.
Sprawą zajęła się Komisja Nadzoru Finansowego (KNF), która uznała, że w spółce niewłaściwie zarządzano dostępem do systemu ESPI. W efekcie KNF zablokowała jej hasła dostępu do systemu, a na rynek wysłała komunikat przypominający firmom o zasadach korzystania z ESPI. Był to pierwszy tego typu przypadek w historii giełdy.
Informacja jak złoto
Według ekspertów od zabezpieczeń informatycznych, nie był to przypadek ostatni, bo firmy nie uczą się na błędach innych i nie doceniają kwestii bezpieczeństwa informacji.
— Najwyraźniej w przypadku Cerabudu nikt nie ustalił, jak zarządzać hasłem. Nie było polityki bezpieczeństwa postępowania. Mnie to nie dziwi, bo w administracji publicznej i w sektorze finansowym wydatki na bezpieczeństwo się lekceważy. Podobnie jest w przedsiębiorstwach — mówi Wiesław Paluszyński, ekspert ds. bezpieczeństwa informatycznego.
Wacław Iszkowski, prezes Polskiej Izby Informatyki i Telekomunikacji, przypomina historię Kevina Mitnicka, najbardziej znanego hakera na świecie, który w większości przypadków nie włamywał się do systemów dzięki specjalnym programom, lecz korzystał z haseł użytkowników.
— Stosując różne techniki psychologiczne, wyciągał od nich informacje, bo najsłabszą częścią każdego systemu informatycznego jest człowiek — mówi Wacław Iszkowski. A jeżeli ktoś nie przestrzega reguł, to narusza zasady bezpieczeństwa.
— Dziś mówi się, że przedsiębiorstwa muszą mieć wdrożony system zarządzania bezpieczeństwem informacji. Jednak większość tego nie ma. A tym bardziej taki system powinny mieć spółki giełdowe, choćby w najbardziej newralgicznych obszarach, bo utrata informacji może być kosztowna i niebezpieczna — mówi Wiesław Paluszyński.
Uważa, że zaniechanie bezpieczeństwa informacji świadczy o bezmyślności.
— Jeśli ktoś ma kilogram złota, to chowa je do sejfu, a nie zostawi na biurku. Podobnie powinno być z informacją, która może być cenniejsza niż złoto — mówi ekspert.
Premier dał przykład
Specjaliści już zastanawiają się, kto będzie następny. Wśród nich jest Karol Gruszczyński z B3System, które zajmuje się bezpieczeństwem IT.
— Może być znacznie więcej przypadków, w których to właśnie człowiek jest najsłabszym ogniwem. Ostatnio głośno było o sfotografowanym laptopie premiera, na którym była przyklejona kartka z loginem i hasłem. Warto pamiętać o tym, żeby nie ustawiać prostych haseł, bo można je łatwo przejąć. Wtedy można się podszyć praktycznie pod każdego — przestrzega Karol Gruszczyński.
Mimo to uważa, że wśród polskich firm rośnie świadomość, jak ważne jest bezpieczeństwo informacji.
— Obserwujemy spore zainteresowanie klientów rozwiązaniami z obszaru security, np. systemami DLP, które są dedykowane właśnie ochronie przed wyciekiem danych — mówi Karol Gruszczyński. Radzi, by koniecznie wdrażać procedury zarządzania informacją w firmach i szkolić użytkowników.