Temat numeru: Najsłabsze ogniwo

BANK 2015/04

Nie zawsze pracownik musi być szpiegiem przemysłowym. Czasem po prostu może nie wiedzieć, jak bezpiecznie korzystać z dobrodziejstw techniki.

Nie zawsze pracownik musi być szpiegiem przemysłowym. Czasem po prostu może nie wiedzieć, jak bezpiecznie korzystać z dobrodziejstw techniki.

Marcin Złoch

Jaki jest największy błąd komputera? - Błąd użytkownika - ten dowcip krążący wśród informatyków najlepiej oddaje stan rzeczy. Kevin Mitnick, najbardziej znany haker, powiedział łamałem ludzi, nie hasła. Niestety, błąd pracownika stanowi jedną z głównych przyczyn wewnętrznych incydentów związanych z bezpieczeństwem IT, które prowadzą do wycieku poufnych danych korporacyjnych - tak wynika z badania Global Corporate IT Security Risks, przeprowadzonego przez Kaspersky Lab. Około 30 proc. jego respondentów zgłosiło wycieki danych na skutek błędów pracowników. Nieco mniej firm odnotowało incydenty dotyczące zgubienia lub kradzieży urządzeń mobilnych z winy pracownika. Celowych wycieków dopuścili się pracownicy blisko 20 proc. firm biorących udział w badaniu. Jednocześnie średnio 7 proc. badanych wskazało na działania pracowników jako przyczynę wycieku ważnych informacji poufnych dotyczących operacji firmowych.

Wyciek poufnych danych był najczęściej wynikiem zgubienia lub kradzieży urządzeń mobilnych z winy pracowników - 9 proc. respondentów odnotowało tego rodzaju incydenty. Jednocześnie, według badania Ryzyko w sieci, przeprowadzonego na zlecenie firmy Symantec, prawie 60 proc. pracowników polskich firm i instytucji wynosi - bez zgody pracodawcy - służbowe dane poza miejsce pracy. Najczęstszym deklarowanym sposobem na wynoszenie przez pracowników firmowych danych jest ich wydrukowanie lub wysłanie na zewnętrzny adres e-mail - własny bądź innej osoby (po 45 proc.). Siedmiu na dziesięciu badanych przyznało, że używa skopiowanych danych na potrzeby spotkań poza siedzibą firmy lub do pracy w domu. Aż 16 proc. przyznaje, że zabiera informacje ze sobą, gdy zmienia pracodawcę. Co ciekawe, tyle samo pracowników biurowych podkreśla, że wynosi poufne dane, bo chce przechowywać je w bezpiecznym miejscu.

Duże ryzyko

Dodatkowo, jak pokazują dane amerykańskiej firmy SplashData, użytkownicy różnego rodzaju aplikacji komputerowych nadal słabo zabezpieczają swoje dane. Na liście 25 najgorszych haseł zabezpieczających dane komputerowe niezmiennie królują takie, jak: hasło, 123456, 1111111 czy abc123. Wiele osób bagatelizuje zasady bezpieczeństwa informatycznego. Jeden z amerykańskich analityków przyjął, że jeśli w 60-tysięcznej operującej globalnie korporacji 25 proc. pracowników ma służbowe kontakty zewnętrzne, a każdy z tej grupy przynajmniej 5 razy dziennie kontaktuje się z otoczeniem przedsiębiorstwa (e-mail, telefon, faks, spotkanie) i tylko w 1 proc. takich kontaktów pojawia się informacja wrażliwa, to dziennie mamy do czynienia z 750, a w skali roku z blisko 200 tys. potencjalnie szkodliwych rozmów, w trakcie których może dojść do ujawnienia poufnych informacji. Mniejsze organizacje to oczywiście mniejsze liczby, ale i tak powinny budzić niepokój szefów działów bezpieczeństwa.

Incydenty tego typu można wyeliminować - lub przynajmniej zminimalizować ryzyko ich wystąpienia - podejmując szereg działań, obejmujących edukację pracowników w zakresie zagrożeń IT oraz rozwój, wprowadzenie i nadzór nad egzekwowaniem odpowiednich polityk bezpieczeństwa w firmie.

- Rozwiązania informatyczne nie będą dawały pełnej gwarancji ochrony informacji, o ile pracownicy nie stosują się do określonych w firmie polityk bezpieczeństwa. I choć czynnik ludzki jest elementem, który najtrudniej kontrolować, można znacznie ograniczyć ryzyko i jednocześnie zabezpieczyć firmowe zasoby, wykorzystując możliwości, jakie BANKÓWdaje nam współczesna informatyka i dedykowane do tego rozwiązania - zapewnia Sebastian Kisiel, Lead System Engineer, Citrix Systems Poland

Bardzo często, chcąc kontynuować rozpoczętą w biurze pracę np. w domu, ludzie kopiują na wszelkiego rodzaju dyski USB lub niezaszyfrowane urządzenia przenośne poufne informacje, drukują je bądź też przesyłają całe pliki za pomocą ogólnie dostępnych serwisów na własne, prywatne konta e-mail. To stanowi poważny wyłom w szeroko pojętym bezpieczeństwie informacji firmy.

Jednym z powodów pojawiania się zagrożeń dla bezpieczeństwa IT jest sama technologia. BYOD (Bring Your Own Device) to tendencja polegająca na używaniu prywatnych urządzeń mobilnych podczas pracy w firmie. Celem takiego postępowania jest między innymi ułatwienie pracy. Jednak pod sporym znakiem zapytania stoi wówczas bezpieczeństwo firmowych danych. Polacy, w trakcie badania firmy Fortinet, zostali zapytani, czy kiedykolwiek ich urządzenie zostało zaatakowane, a jeśli tak, to jakie były tego konsekwencje. 64 proc. osób przyznało, że zainfekowany został ich prywatny komputer lub laptop - i w połowie przypadków wiązało się to z obniżeniem wydajności i/lub utratą prywatnych danych. W przypadku urządzeń mobilnych sytuacja wygląda nieco lepiej - atak skierowany w smartfon dotknął 11 proc., a w tablet - 15 proc. badanych.

Czujność popłaca

Nie zawsze pracownik musi być szpiegiem przemysłowym. I z reguły nie jest. Raczej nie wie, jak bezpiecznie korzystać z dobrodziejstw techniki. Powinien być o tym informowany w trakcie szkoleń.

- Wszyscy pracownicy przechodzą szkolenia dotyczące bezpieczeństwa, które są potem okresowo powtarzane. Omawiane są na nich zagrożenia, z jakimi mogą się spotkać pracownicy i klienci - podkreśla Miłosz Gromski, menedżer ds. komunikacji w ING Banku Śląskim.

- Wszyscy pracownicy banku przechodzą stosowne szkolenia - w formie warsztatów, spotkań oraz e-learningu. Ich zakres jest dostosowany do stanowiska pracy i zakresu obowiązków pracownika. Szkolenia są również regularnie powtarzane - ich częstotliwość również zależy od zajmowanego stanowiska i zakresu obowiązków. Dodatkowo w mediach wewnętrznych - typu intranet, wydawnictwa drukowane, newsletter - regularnie przypominamy o zagadnieniach bezpieczeństwa oraz edukujemy pracowników w zakresie identyfikowanych zagrożeń - zaznacza Magdalena Lejman z PKO Banku Polskiego.

Według ekspertów zasady dotyczące bezpieczeństwa informacji oraz wynikające z nich postępowanie powinny być wkomponowane w kształt realizowanych procesów biznesowych w banku. Podstawowe szkolenie powinno przede wszystkim przekazywać praktyczne informacje o potencjalnych scenariuszach ataku na bank, takich jak próba wydobycia informacji od pracownika czy podrzucenie zainfekowanego złośliwym oprogramowaniem nośnika z danymi. Podstawowymi szkoleniami z zakresu bezpieczeństwa powinni zostać objęci wszyscy pracownicy, niezależnie od charakteru ich zadań. Dodatkowe, rozszerzone szkolenia ukierunkowane na określony typ lub grupę ataków powinny zostać zorganizowane dla wyselekcjonowanych grup pracowników, którzy są potencjalnie na takie ataki narażeni.

Szkolenia pracowników odbywają się na podstawie wypracowanych przez organizacje procedur bezpieczeństwa. Te zaś zazwyczaj są tworzone przez wewnętrzne departamenty instytucji finansowych.

- Utrata lub upublicznienie chronionej informacji jest ryzykiem, którego nie da się całkowicie wyeliminować. Ciągłe zwiększanie świadomości pracowników w zakresie bezpieczeństwa informacji oraz odpowiednie dzielenie pośród nich wiedzy i odpowiedzialności jest receptą na zmniejszenie liczby incydentów, wynikających z braku należytej wiedzy lub popełniania niezamierzonych błędów. Jednocześnie istnieje wiele rozwiązań informatycznych wspierających przeciwdziałanie intencjonalnemu i przypadkowemu wyciekowi danych - zauważa Tomasz Brożek, starszy konsultant, Cyber Risk Services w Deloitte.

W przypadku pracy zdalnej dostęp do firmowych danych, czy też możliwości korzystania z takich funkcji, jak edycja, pobieranie czy drukowanie dokumentów, może być zdefiniowany nawet do plpoziomu konkretnej osoby, z uzależnieniem od miejsca, z którego ten dostęp następuje. W zależności od jej funkcji w organizacji, stażu pracy czy pełnionych obowiązków firmowy dział IT może zdefiniować go jedynie na takim poziomie, który jest danej osobie niezbędny do wykonywania jej codziennych obowiązków i tylko w lokalizacji sieciowej, która jest uważana za bezpieczną z punktu widzenia przetwarzania informacji. Zatem może się okazać, że korzystając z urządzeń firmowych, wszyscy pracownicy w organizacji będą mogli swobodnie pracować na wszystkich dokumentach jedynie wtedy, gdy będą w sieci lub budynku firmy, zaś pracując z domu lub lokalizacji zdalnej, będą w stanie jedynie przeglądać poszczególne dokumenty, bez możliwości ich kopiowania czy też drukowania, a w kafejce internetowej nie będą mieli żadnego dostępu do firmowej sieci. W teorii wygląda to nieźle. Jednak ciągle prawie wszystkie badania analizujące podatność systemów IT na włamania kończą się konkluzją, że to nie luki znajdujące się w oprogramowaniu są największym zagrożeniem, ale czynnik ludzki, czyli nie do końca przemyślane działania użytkowników. Niestety wielu z nich po prostu nie wie, że to ich nierozważne zachowania przyczyniają się do tego, że haker jest w stanie włamać się do systemu IT.

 

Udostępnij artykuł: