Przedstawiamy felieton na temat zagrożeń jakie w dzisiejszych czasach spędzają sen z powiek przedsiębiorcom. Na pytania odpowiada nasz Dyrektor Zarządzający - Piotr Musiał.
Jakie są zagrożenia dla firm, wynikające z braku dbałości o bezpieczeństwo danych?
Każda branża jest podatna na różne formy zagrożeń. Ogólnie rzecz biorąc zagrożenia możemy podzielić na dwie kategorie: zewnętrzne i wewnętrzne. W pierwszej z wymienionych kategorii od lat prym wiodą zagrożenia komputerowe takie jak wirusy, konie trojańskie, robaki internetowe oraz coraz głośniejsze ostatnimi czasy oprogramowanie typu ransomware. Jego rola polega na wniknięciu do komputera ofiary i zaszyfrowaniu dokumentów określonego typu. Jedynym ratunkiem w takiej sytuacji jest zapłata okupu w walucie bitcoin. Z kolei phishing umożliwia przestępcom internetowym kradzież danych takich jak loginy i hasła do bankowości elektronicznej lub numery kart kredytowych. Zasada działania tej metody jest banalnie prosta: odpowiednio spreparowana wiadomość e-mail, pochodząca rzekomo od banku ofiary, przenosi użytkownika na fikcyjną stronę internetową oraz prosi o potwierdzenie danych logowania. Nieświadomy użytkownik nawet nie zauważy, że ktoś właśnie wszedł w posiadanie danych dostępowych do jego konta i zgromadzonych środków finansowych.
Z kolei równie niebezpieczne są zagrożenia, które czają się wewnątrz organizacji. Ignorowanie podstawowych zasad bezpieczeństwa może skusić nieuczciwego pracownika do kradzieży najbardziej poufnych informacji takich jak know-how firmy czy baza klientów wraz z historią sprzedażową. Należy też pamiętać, iż taka działalność nie zawsze jest do wykrycia, nie mówiąc już o udowodnieniu winy pracownika przed sądem. Wiąże się to przede wszystkim z odpowiednim zabezpieczeniem przez pracodawcę tzw. „dowodu elektronicznego”.
W dobie urządzeń mobilnych, portali społecznościowych oraz tendencji do dzielenia się informacjami ich ochrona staje się coraz trudniejsza. Wzrost liczby zagrożeń idzie w parze z rozwojem technologicznym więc nie należy się spodziewać, iż problem dotyczy tylko wybranych przedsiębiorstw, które przetwarzają dane na skalę globalną. Każda firma lokalna prędzej czy później będzie narażona na takie ryzyko ponieważ korzysta z tych technologii na co dzień. Im mniejszą świadomość w obszarze zagrożeń i bezpieczeństwa posiada kadra zarządzająca oraz pracownicy, tym na całej organizacji ciąży większe ryzyko utraty lub kompromitacji danych.
Jakie są skutki – globalne i lokalne? Czy istnieją światowe, europejskie i polskie raporty na ten temat?
Skutki utraty danych zawsze mają charakter wymierny, aczkolwiek nie zawsze można dokładnie podliczyć straty powstałe jak i straty, które dopiero będą odczuwalne w perspektywie czasu. Aby je oszacować należałoby wcześniej znać ich wartość oraz koszty odtworzenia i konsekwencje związane z ich utratą.
Spośród wszystkich danych jakie są przetwarzane w firmie, szczególną uwagę należy poświęcić danym osobowym, które jak wszyscy wiemy są chronione ustawowo. Zaniedbania związane z ich ujawnieniem osobom niepowołanym mogą skutkować pozwami do sądu oraz sankcjami prawnymi nałożonymi przez Inspektora Danych Osobowych.
Jedno jest pewne, każda firma może stracić to co jest jej najcenniejszym aktywem. Im większy zasięg operacyjny ma organizacja tym skutki są bardziej odczuwalne dla jej klientów. Przedsiębiorstwa świadczące usługi globalne w oparciu o chmurę cloud computing nie mogą sobie pozwolić na obniżenie reputacji i wiarygodności w oczach swoich klientów. W konsekwencji może to doprowadzić do utraty klientów, obniżenia wskaźników sprzedażowych lub nawet bankructwa.
Warto tutaj przytoczyć wnioski chociażby z ostatnich kontroli NIK w instytucjach państwowych. Wynika z nich jednoznacznie, iż ochrona danych w tym sektorze pozostawia wiele do życzenia.
https://www.nik.gov.pl/aktualnosci/nik-o-bezpieczenstwie-danych.html
Na czym polega dbanie o bezpieczeństwo danych w firmie? O czym firmy powinny pamiętać i o czym nie pamiętają? Jak wygląda to w teorii, a jak w praktyce? Czy to zagadnienie dotyczy tylko firm dużych czy także małych?
W dzisiejszych czasach nadzór nad bezpieczeństwem informacji powinien mieć charakter ciągły. Tempo powstawania coraz to nowszych rodzajów zagrożeń jest zastraszająco wysokie i rośnie proporcjonalnie do postępu technologicznego. Firmy często zapominają o tym fakcie skupiając się głównie na własnym biznesie i problemach dnia codziennego.
Innymi słowy dbanie o bezpieczeństwo danych to nic innego jak zapewnienie ich poufności, integralności, dostępności oraz rozliczalności. W przypadku danych osobowych, każda firma, która je przetwarza i jest ich właścicielem chcąc czy nie chcąc staje się ich Administratorem. W praktyce dużo firm zapomina, iż w takiej sytuacji warto powołać stanowisko Administratora Bezpieczeństwa Informacji (ABI) i formalnie powierzyć mu rolę nadzorcy. W przypadku niepowołania ABI, jego zadania wykonuje sam Administrator Danych, co w małych firmach jest najczęściej spotykaną praktyką. Niestety, ale firmy notorycznie ignorują konieczność opracowania oraz wdrożenia Polityki Bezpieczeństwa – dokumentu, który opisuje co, kiedy i w jaki sposób chronimy. Jeśli nie ma procedury postępowania to nie liczmy na to, iż udowodnimy komuś zaniedbanie swoich obowiązków lub naruszenie zasad bezpieczeństwa.
Dbanie o bezpieczeństwo to ciągła walka z zagrożeniami. Każda firma, niezależnie od jej wielkości, powinna inwestować w narzędzia ochrony oraz regularnie uświadamiać swoim pracownikom oraz podwykonawcom na co powinni zwracać uwagę, a czego bezwzględnie powinni unikać. Statystycznie rzecz biorąc, najwięcej incydentów bezpieczeństwa spowodowana jest przez ludzi. To od nich głównie będzie zależeć, czy dane przedsiębiorstwa i dane jego klientów będą poddawane właściwej ochronie. Nie należy przy tym zapominać o monitorowaniu samych parametrów kontrolnych, gdyż środowisko w jakim firmy prowadzą swój biznes nieustannie się zmienia tworząc kolejne miejsca potencjalnego wycieku informacji.
Jakie istnieją na rynku systemy wspomagające, czym się charakteryzują i co potrafią?
Rozróżnijmy dwie grupy takich narzędzi. Pierwsza grupa to narzędzia, które podnoszą bezpieczeństwo i w dużym stopniu wpływają na poziom ochrony naszych danych. Do takich z pewnością możemy zaliczyć oprogramowania antywirusowe oraz filtry antyspamowe w poczcie e-mail. Coraz więcej systemów operacyjnych oraz przeglądarek internetowych wychodzi naprzeciw i jest dostarczanych z domyślnie ustawionym, wysokim poziomem zabezpieczeń. Po co? Po to, aby nieświadomy informatycznie użytkownik oraz jego dane były poddawane właściwej ochronie od samego początku przygody z komputerem.
Nie należy zapominać o tym, iż skuteczna prewencja ma szansę zadziałać tylko wtedy, gdy ochroną zostaną objęte wszystkie zasoby i aktywa informacyjne w przedsiębiorstwie. W rozbudowanych przedsiębiorstwach działy informatyczne stosują rozwiązania domenowe, które obejmują wszystkie komputery i serwery działające w centrali oraz oddziałach. Ma to swoją zaletę, gdyż umożliwia w łatwy i szybki sposób standaryzować poziom bezpieczeństwa dla dużej grupy urządzeń oraz użytkowników końcowych.
Do drugiej grupy narzędzi zaliczyć można oprogramowanie, które pełni rolę pomocniczą. Można tutaj wymienić wszelkiego rodzaju systemy, które wpierają procesy biznesowe i operacyjne, a jednocześnie zapewniają skuteczną ochronę informacji w nich przetwarzanych. Czasy, w których podstawowym zabezpieczeniem dostępu był login i hasło już dawno minęły. W tej chwili standardem staje się dwu- lub trójpoziomowa autoryzacja dostępu do aplikacji realizowana przy użyciu certyfikatów bezpieczeństwa, narzędzi vpn lub tokenów sms. Nawet jeśli ktoś wejdzie w posiadanie naszego loginu i hasła, nie uzyska dostępu do danych bez posiadania odpowiedniego certyfikatu czy wręcz zautoryzowanego w naszej infrastrukturze urządzenia. Dlatego ważne jest, aby oprogramowanie klasy CRM lub ERP spełniało takie wymogi bezpieczeństwa, które są adekwatne do poziomu ochrony jaki nas satysfakcjonuje. Niestety, ale dużo producentów oprogramowania nie zdaje sobie lub nie chce zdawać sobie z tego sprawy zrzucając odpowiedzialność w tym obszarze na swoich klientów. Z tego powodu, kluczowym parametrem przy wyborze rozwiązania informatycznego staje się coraz częściej kryterium bezpieczeństwa czyli zgodności oprogramowania z uznanymi normami i standardami jakie obowiązują w branży.
Mówiąc o bezpieczeństwie danych, mamy zwykle na myśli systemy elektroniczne, a co z innymi elementami, np. fizycznymi, świadomością pracowników, itp.?
No właśnie. Zagrożeniem są coraz częściej działania fizyczne osób trzecich takie jak kradzież, zniszczenie aktywów informacyjnych, sprzętu komputerowego lub ważnych nośników danych. Bezpieczeństwo danych to również ochrona fizyczna budynków oraz pomieszczeń w jakich są one przetwarzane, a także serwerów, które są podatne na środowisko w jakim operują i lubią ulegać awariom. Dlatego też nie warto oszczędzać na środkach i rozwiązaniach zabezpieczających nas przed całkowitą utratą danych.
Można się przed tymi zagrożeniami chronić na wiele sposobów. Jednym z nich jest wykonywanie regularnych kopii zapasowych danych, które są dla nas ważne z punktu widzenia prowadzonej działalności. Firmy, które nie sporządzają regularnych kopii zapasowych muszą liczyć się z tym, iż utrata danych oznacza brak jakiejkolwiek możliwości ich odzyskania czy odtworzenia.
Innym sposobem obniżania poziom ryzyka jest stosowanie rozwiązań redundantnych, czyli takich, które potrafią utrzymać ciągłość działania w przypadku wystąpienia awarii. Mowa tutaj o macierzach RAID, klastrach danych czy rozwiązaniach HA (ang. High Availability).
Inaczej sprawy się mają w przypadku ochrony danych, które magazynujemy w formie papierowej takich jak dokumenty kadrowe, umowy, faktury. Ich digitalizacja nie uchroni nas przed utratą oryginałów, ale przynajmniej nie utracimy samej informacji, która jest dla nas najcenniejsza. Istnieją specjalistyczne firmy, które zajmują się m.in. przechowywaniem takich dokumentów w odpowiednio przygotowanych ośrodkach i centrach magazynowania.
Mówiąc o ochronie należałoby z tego miejsca wymienić również czynnik ludzki, a dokładnie brak świadomości użytkowników na czyhające zagrożenia. Zabezpieczenia twarde zawsze powinny być poparte działaniami mającymi na celu poprawę świadomości samych pracowników, ale również kadry zarządzającej. W tym celu warto zastanowić się czy w firmie istnieją odpowiednie instrukcje, procedury i polityki dotyczące poszczególnych obszarów funkcjonowania przedsiębiorstwa. Czy firma w sposób ciągły zapewnia odpowiedni poziom szkoleń całej kadry w zakresie prewencji oraz działań w przypadku wystąpienia incydentu bezpieczeństwa. Tzw. „miękkie” zabezpieczenia są bardzo istotne i nie należy o nich zapominać opracowując plany bezpieczeństwa i ciągłości działania.
Firma chce poprawić bezpieczeństwo danych – co powinna zrobić krok po kroku.
Przede wszystkim należy podejść do tematu w granicach zdrowego rozsądku. Bardzo ważnym elementem od którego warto zacząć jest opracowanie klasyfikacji informacji jakie firma przetwarza, określenie aktywów informacyjnych z ich lokalizacją oraz wskazanie osób, które powinny mieć do nich dostęp. W następnej kolejności należy sporządzić analizę ryzyka, która odpowie nam na pytania:
• które dane są dla nas krytyczne z punktu widzenia prowadzenia biznesu?
• które dane powinniśmy w szczególności chronić?
• jakie konsekwencje dla firmy będzie oznaczać ich utrata?
Tak przygotowana matryca ryzyka ułatwi dobór odpowiednich narzędzi oraz środków mających na celu takie zabezpieczenie danych, aby nakłady poniesione na te środki nie przewyższyły strat jakie odczujemy po utracie lub długotrwałej niedostępności tych danych. Na bazie wyników analizy powinniśmy opisać procesy, określić właścicieli tych procesów, sporządzić odpowiednie regulacje i procedury, a następnie wdrożyć je w życie i regularnie weryfikować. Ponadto osoby, które uczestniczą w procesie, powinny mieć z góry określoną rolę, a także zakres odpowiedzialności.
Warto również zainwestować w odpowiednie narzędzia informatyczne umożliwiające ewidencję i automatyzację codziennych czynności oraz właściwą kontrolę tych działań. Tam gdzie jest to możliwe rekomenduje się, aby agregować dane w centralne zbiory, gdyż informacje pozostające w rozproszeniu są o wiele trudniejsze do skontrolowania i zabezpieczenia. Dzięki takim narzędziom dostęp do informacji jest o wiele szybszy, prostszy, a co najważniejsze bezpieczniejszy.
Przedsiębiorstwa, które stać na zainwestowanie w bezpieczeństwo, mogą posiłkować się specjalistycznymi firmami, jakie posiadają know-how oraz dysponują gotowymi rozwiązaniami w dziedzinie wdrażania i utrzymywania systemów bezpieczeństwa informacji. Dlatego też coraz częstszym standardem w krajach Unii Europejskiej jest posiadanie certyfikatów potwierdzających odpowiedni poziom bezpieczeństwa i jakości świadczonych usług.
Piotr Musiał
