Cyberbezpieczeństwo

Szkolenia CTS Customized Training Solutions

Menu

Bezpieczeństwo informacji

Bezpieczeństwo informacji- ten termin powtarzany jest coraz częściej i przez coraz większą liczbę osób. Największe zainteresowanie tematem ma miejsce dopiero jednak wówczas, gdy w środkach masowego przekazu pojawia się informacja, że klienci jednego z banków padli ofiarą ataku i zostały przejęte na przykład ich hasła dostępu do kont bankowych. Czy zatem bezpieczeństwo informacji to temat doraźny i dotyczący tylko dużych firm? Czy zagadnienie bezpieczeństwa informacji dotyczy również małej firmy, w której pracuje tylko kilku pracowników i w opinii właściciela nie ma w niej żadnych informacji, które musiałaby chronić?

 

Niestety, każda firma posiada informacje, które musi lub chce chronić. Informacjami, które muszą być chronione, bo tak stanowi obowiązujące prawo, są dane osobowe. Firma, która zatrudnia pracowników (wystarczy, że jest to tylko jeden pracownik) posiada dane kadrowe. I to są dane osobowe, które muszą być chronione zgodnie z regułami zdefiniowanymi w obowiązujących przepisach o ochronie danych osobowych. Informacje kadrowe stanowią to zbiór, który występuje prawie zawsze. Jeżeli klientami firmy są ponadto osoby prywatne i zbierane są ich dane, np. w celu wystawienia faktury, to jest to kolejny zbiór informacji, który musi być również chroniony. Każda firma posiada także informacje, które sama chce chronić, nie będąc do tego zmuszaną przez prawo. Są to na przykład treści umów i porozumień z kontrahentami oraz klientami, systemy rabatów, ceny specjalne dla wybranych klientów, oferty przygotowywane do przetargów. Te informacje są chronione ze względu na interes firmy. Jak więc widać, ZAESZE mamy do czynienia z informacjami, które trzeba chronić w firmie, niezależnie od jej wielkości.

Jak wynika z naszego doświadczenia bardzo duża część właścicieli małych i średnich firm bezpieczeństwo informacji sprowadza wyłącznie do wybranych zagadnień informatycznych. Bardzo częstą odpowiedzią, którą słyszymy w odpowiedzi na nasze pytania jest: „moja firma jest bezpieczna bo mamy system firewall chroniący naszą sieć komputerową przed atakiem z Internetu oraz oprogramowanie antywirusowe. I jest informatyk, który tego pilnuje”. Niestety, to jest za mało, aby można było powiedzieć, że informacje w firmie są chronione w sposób właściwy i pełny.

Ochrona informacji nie sprowadza się wyłącznie do wybranych zagadnień informatycznych. W przypadku danych osobowych mechanizmy służące ich ochronie opisane są w obowiązujących aktach prawnych (Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych). Uruchomienie mechanizmów opisanych w rozporządzeniu pozwala firmom chronić dane osobowe zgodnie z wymaganiami ustawodawcy. Pamiętajmy jednak, że dobrze przygotowany system bezpieczeństwa informacji chronić będzie nie tylko dane osobowe, ale również i inne informacje, które są ważne dla firmy.

Jak już wspomnieliśmy wcześniej, bezpieczeństwo informacji to nie tylko wybrane zagadnienia informatyczne. Przeprowadzając audyty spotykamy się z sytuacjami, które zadziwiają niefrasobliwością, chociaż wszyscy w firmie jednym głosem mówią, że jak najbardziej chronią informacje krytyczne dla firmy:
• ważne umowy, zawierające poufne informacje, przechowywane są w segregatorach w niezamykanych szafach, które są ustawione w ogólnodostępnych ciągach komunikacyjnych;
• po zakończeniu pracy pracownicy nie chowają dokumentów, lecz zostawiają na biurkach – osoby spoza firmy, sprzątające biuro w godzinach popołudniowych, mają wówczas nieskrępowany dostęp do informacji firmowych
• na drukarkach sieciowych leżą nieodebrane wydruki z informacjami księgowymi, handlowymi, itp.
• pracownicy zapisują w łatwo dostępnych miejscach hasła dostępowe do systemów („bo takie trudne do zapamiętania”)

To tylko garść przykładów. W celu poprawy bezpieczeństwa informacji nie jest więc konieczne kupowanie coraz to nowszego i drogiego sprzętu. Wystarczy przeszkolenie personelu z prawidłowych zasad postępowania oraz wdrożenie rozwiązań organizacyjnych. Dobrym punktem wyjścia, oprócz przeszkolenia pracowników, jest również wykonanie audytu, który wskaże kierunki prac nad poprawą bezpieczeństwa informacji.

Jak wspomniano wcześniej duża część właścicieli małych i średnich firm bezpieczeństwo informacji kojarzy przede wszystkim z zagadnieniami informatycznymi. Czy jednak jest tak rzeczywiście, czy to są jedynie puste deklaracje? Niewłaściwie skonfigurowany firewall umożliwia niezauważone przedostanie się intruza do sieci wewnętrznej i kradzież danych lub ich zniszczenie. To samo może się wydarzyć w sytuacji nieskutecznie działającego systemu antywirusowego. Czy zatem personel informatyczny został przeszkolony, w jaki sposób wykrywać próby ataku i im zapobiegać? Czy zostały wykonane testy penetracyjne systemu firewall celem sprawdzenia, czy istnieją luki?

Firmowa strona internetowa może również paść ofiarą ataku. W rezultacie nasza firma może zostać skompromitowana i ponieść realne straty. Łatwo sobie wyobrazić takie straty, gdy po przeprowadzeniu kosztownej akcji marketingowej coraz więcej klientów zaczyna odwiedzić nasz serwis i nagle zamiast informacji o firmie lub produktach wyświetlany jest tekst obrażający naszą firmę lub też przekazujący fałszywe informacje (np. nieprawdziwe, wyższe ceny). W efekcie takiego ataku akcja marketingowa posłużyła ośmieszeniu naszej firmy za nasze pieniądze. Jest to jeden przykład. Strona może również umożliwić intruzowi zebranie informacji o użytkownikach, hasłach, itd., które mogą być wykorzystane do innego rodzaju ataku. Dlatego też serwisy internetowe powinny być regularnie testowane pod kątem bezpieczeństwa a personel opiekujący się serwisem musi być świadomy (przeszkolony) z zagrożeń, na które jest narażony serwis.

Dotychczas wskazaliśmy na przykłady, w których to intruz musi chcieć nas zaatakować. Ale bardzo często sami nieświadomie narażamy siebie, nasza firmę na kradzież informacji. Wręcz prosimy się, aby ktoś skradł nasze dane. Coraz częściej w smartfonach przechowujemy w sposób niezaszyfrowany ważne i poufne informacje, zarówno prywatne, jak i firmowe. Niestety, bardzo często nasz telefon ma cały czas włączony moduł łączności bezprzewodowej Bluetooth. Obojętne, czy z niego korzystamy, czy też nie (co ma miejsce przez większość czasu). Będąc w miejscu publicznym wystarczy włączyć wyszukiwanie nowych urządzeń Bluethooth w naszym telefonie a na pewno odkryjemy w naszym otoczeniu kilkanaście aktywnych telefonów. Osobnik dysponujący laptopem i odpowiednim, darmowym oprogramowaniem jest w stanie bez wiedzy użytkownika pobrać z telefonu przechowywane tam informacje. A co w przypadku, gdy taka informacją będą parametry logowania do konta bankowego lub dane do logowania do sieci naszej firmy?

(źródło: http://blog.tylerbell.net)

Innym przykładem niefrasobliwości w ochronie danych jest korzystanie z przygodnych komputerów (np. w kawiarenkach internetowych) lub łączenie się po nieszyfrowanych połączeniach (bez symbolu kłódki w dolnym prawym rogu przeglądarki). Osoba obca korzystająca z oprogramowania do podsłuchiwania pakietów jest w stanie odczytać całą naszą komunikację z serwerem. Oznacza to, że bez problemu odczyta nazwy kont i hasła do poczty elektronicznej, może także i do naszej strony firmowej? Takie przechwycenie danych nie jest naprawdę trudne, gdy łączymy się poprzez sieć bezprzewodową Wi-Fi w miejscu publicznym. Intruz uruchomi oprogramowanie a dane same będą mu się zapisywały na jego komputerze!!! Zatem o bezpieczeństwo informacji w firmie musimy dbać zawsze i wszędzie, a nie tylko w miejscu pracy.

Nasz tekst wskazał tylko zarys problemów związanych z bezpieczeństwem informacji. Bezpieczeństwo informacji to nie tylko technologia, ale również szkolenia pracowników, które pokażą dobre wzorce postępowania, wzbudzą świadomość i współodpowiedzialność. To także odpowiednie procedury organizacyjne oraz przeszkolenie właściwych pracowników, aby potrafili rozpoznać próby ataków i im zapobiegać. Wbrew obiegowym opiniom dbaniu o bezpieczeństwo informacji nie towarzyszą ogromne koszty, na które mogą sobie pozwolić wyłącznie duże i bogate firmy. To proces, który dobrze zaplanowany i wdrożony przyniesie każdej firmie korzyści zarówno finansowe, jak i zapobiegnie utracie reputacji czy odpowiedzialności za brak właściwej ochrony informacji m.in. danych osobowych.

Ta strona używa plików Cookies. Dowiedz się więcej o celu ich używania i możliwości zmiany ustawień Cookies w przeglądarce.Czytaj więcej Akceptuję