Nie ma chyba tygodnia, żeby media nie doniosły o kolejnych zagrożeniach w internecie: Wyciekły numery kart kredytowych ze sklepu internetowego, Podmieniono stronę główną znanego serwisu, Wykradziono hasła stu tysięcy użytkowników, Dane osobowe użytkowników krążą w sieci, Wirus podmienia numery kont przy przelewach. To wszystko stwarza atmosferę zagrożenia, a w konsekwencji – zaniepokojenie zarządów. Menedżerowie widzą, że problem istnieje, ale zadają sobie pytanie, czy – i do jakiego stopnia – dotyczy to również ich. A także – czy i jak powinni coś z tym zrobić.
Odpowiedzi są proste: tak, problem dotyczy też ich; tak, powinni z nim coś zrobić. Kiedy? Natychmiast! Informatyka w przedsiębiorstwie ma dzisiaj zasadnicze znaczenie, bo zasadnicze znaczenie ma zarządzanie informacją w przedsiębiorstwie. Odpowiedzi na to, na czym zarabiamy, gdzie są źródła kosztów, skąd się biorą reklamacje tkwią w danych, dane zaś tkwią w systemach.
Nic więc dziwnego, że oprócz pracowników i menedżerów przedsiębiorstwa z informacji tych chcą skorzystać inne, niepowołane osoby. I nic dziwnego, że przerwanie działania systemów informatycznych firmy może być na rękę osobom, które źle jej życzą. Panie i panowie, witamy w świecie bezpieczeństwa informacyjnego biznesu!
Dobry, zły i brzydki
Kto zagraża naszemu przedsiębiorstwu? Przygotujmy katalog zagrożeń w kolejności częstotliwości ich występowania.
W pierwszym rzędzie zagrażają mu jego pracownicy. To może brzmieć paradoksalnie, ale jest prawdą. Główne zagrożenia pochodzą z wewnątrz, a nie z zewnątrz przedsiębiorstwa.
Najważniejszą przyczyną naruszeń bezpieczeństwa są nieroztropni użytkownicy. Zapisują hasła na żółtych karteczkach przypinanych do monitora, ujawniają je przez telefon, pożyczają koleżankom i kolegom, wybierają na hasła rzeczy oczywiste do odgadnięcia, typu imię dziecka czy data urodzenia... katalog grzechów jest bardzo długi.
Nie bez winy jest personel informatyczny przedsiębiorstwa. Jedno z najbardziej spektakularnych włamań ostatnich lat, kradzież danych użytkowników Sony PlayStation Network, było możliwe, ponieważ służby informatyczne nie instalowały aktualizacji oprogramowania na czas, a potem bardzo nieporadnie radziły sobie z usuwaniem skutków włamania. Lista zaniechań personelu IT jest dłuższa: zbyt słaba polityka haseł (możliwość wyboru krótkich i prostych słów, zbyt rzadkie zmiany hasła itd.), zbyt szerokie uprawnienia użytkowników, zbyt rzadkie audyty bezpieczeństwa i testy penetracyjne.
Wiele incydentów grożących bezpieczeństwu pochodzi od pracowników, którzy chcą zaszkodzić przedsiębiorstwu albo odnieść osobistą korzyść. A więc – w organizacjach i działach, które bezpośrednio obracają pieniędzmi, dochodzi do nadużyć wewnętrznych. Pracownicy po prostu chcą przywłaszczyć sobie środki, którymi przedsiębiorstwo obraca i wykorzystują w tym celu systemy informatyczne. Czasami pracownik wykrada dane, aby samodzielnie z nich skorzystać (np. baza klientów na potrzeby własnej działalności gospodarczej) albo sprzedać konkurencji.
Nie bez znaczenia są również ataki dokonywane przez aktualnych lub byłych pracowników. Chcą oni zwyczajnie zaszkodzić przedsiębiorstwu, biorąc odwet na nim poprzez dane i systemy. Stosunkowo częstym mechanizmem takiego ataku jest tzw. bomba logiczna – czyli zawarcie w systemach informatycznych funkcjonalności, która w określonym czasie (np. w pół roku po odejściu pracownika) skasuje jakieś ważne dane albo wstrzyma działanie kluczowych serwerów.
Drugim w kolejności źródłem zagrożeń jest świat zewnętrzny. Podczas każdej sekundy połączenia z siecią nasz komputer jest kilka razy sondowany w celu wykrycia luk bezpieczeństwa. Biada nam, jeśli nie aplikowaliśmy regularnie łatek systemowych albo popełnimy podstawowe błędy.
Głównym motywem ataku osób z zewnątrz jest chęć zarobienia. Nasz komputer może stanowić element tak zwanego botnetu, czyli zespołu maszyn sprzedawanych do jakichś celów, głównie przestępczych. A więc – może na zlecenie rosyjskiego wywiadu atakować serwery rządu Estonii albo pośredniczyć w umieszczaniu antyukrańskich wpisów na forum. Może rozsyłać niechciane przesyłki, tzw. spam. Może też służyć do obliczeń – botnety zaczynają być już wykorzystywane do tzw. wydobywania bitcoinów, czyli wirtualnej waluty. Jeśli ofiarą hakera pada nie jeden komputer, a cała sieć przedsiębiorstwa – korzyść ulega zwielokrotnieniu. Według badań firmy VeriSign wynajęcie botnetu około 5000 komputerów na atak strony internetowej (tzw. DDOS) kosztuje ok. 70 dolarów za dobę. Haker, który przejmie we władanie podsieć kilkuset komputerów (np. duże przedsiębiorstwo) i potrafi sprzedać ich moc obliczeniową innym, nie musi już zwyczajnie pracować.
Zdarzają się też osoby, dla których cel materialny nie jest najważniejszy. Wykradzenie i udostępnienie danych przedsiębiorstwa może być domeną tzw. haktywistów, czyli hakerów‑aktywistów. Celem haktywizmu są często chłopcy do bicia globalizacji – koncerny paliwowe, banki, międzynarodowe korporacje albo też firmy, które uczestniczyły w jakimś skandalu (np. udowodniono im wykorzystanie niewolniczej siły roboczej w Trzecim Świecie).
W towarzystwie hakerów do dobrego tonu należy pochwalenie się jakimś spektakularnym włamaniem. Jeśli więc pewnego dnia zobaczymy, że nasza strona została podmieniona, padliśmy ofiarą takiego hakera‑zdobywcy. Z reguły poza utratą reputacji takie ataki nie przynoszą bezpośrednich strat. To trochę jak wkradnięcie się do sypialni królowej, by złożyć pocałunek na jej ustach i wystawić ochronę i króla na pośmiewisko – trochę strachu, trochę śmiechu, a największy uszczerbek to utrata autorytetu.
Osobną kategorię stanowią prawdziwi przestępcy. Ci biorą na cel przedsiębiorstwo, żeby mu zaszkodzić albo polują na dane, by wykorzystać je do swoich działań. Szczególnie pożądanym przez nich celem są numery kart kredytowych – można wtedy składać zamówienia w sklepach wysyłkowych albo wykorzystać je do wypłaty środków w bankomacie. W polskich realiach jest to zagrożenie stosunkowo nieduże – polska infrastruktura płatności elektronicznych polega raczej na przelewach i płatnościach online obsługiwanych przez duże (i dobrze zabezpieczone) organizacje płatnicze. Numery kart kredytowych nie są przechowywane w bazach sklepów internetowych ani u kontrahentów. Najlepiej numerów kart kredytowych po prostu nie podawać, a jeśli firma musi korzystać z serwisu, gdzie jest to konieczne, najlepiej posiadać osobną kartę, służącą tylko do płatności online, z niedużym limitem i podwyższoną kontrolą (np. dodatkowe uwierzytelnienie SMS‑em).
Zarządzanie ryzykiem
Nie da się wszystkich informacji i systemów zabezpieczyć przed wszystkimi zagrożeniami. Byłoby to nieracjonalne i nieekonomiczne. Dlatego przeciwdziałanie zagrożeniom zaczyna się od analizy zasobów informacyjnych przedsiębiorstwa: jakie dane przedsiębiorstwo posiada, ile są warte i kto mógłby skorzystać na niepowołanym dostępie. Siła zastosowanych środków bezpieczeństwa powinna być proporcjonalna do wartości danych albo strat wywołanych przerwaniem działania poszczególnych systemów – dane i systemy najbardziej wrażliwe będą zabezpieczone najmocniej, a pozostałe –słabiej.
Bezpieczeństwo ująć można w trzech obszarach: proceduralnym, technicznym i behawioralnym. Zacznijmy od tego ostatniego, bo jest najważniejszy. Tak jak powiedziano powyżej, najwięcej zagrożeń czai się wewnątrz przedsiębiorstwa. Poza patologicznymi przypadkami, pracownicy nie chcą specjalnie szkodzić swojemu pracodawcy. Jeśli tak postępują, robią to nieświadomie. Najważniejsza jest więc ich świadomość i odpowiedzialność. Kształtowanie świadomości zagrożeń pracowników to zatem najważniejszy element bezpieczeństwa informacji w przedsiębiorstwie.
Użytkownicy systemów powinni wiedzieć, że nie wolno zapisywać haseł, powinni być zmuszeni do wymyślania haseł nieoczywistych, ale także otrzymać pomoc w ich zapamiętywaniu. Na przykład hasło 3Pp$pf można zapamiętać jako: trzech grubych panów pod bankiem pali fajki – taki humorystyczny obrazek lepiej utkwi w pamięci niż ciąg znaków. System uwierzytelnienia powinien zmuszać do regularnej zmiany hasła, a użytkownicy powinni być szkoleni, by nie przekazywać nikomu haseł przez telefon, choćby podawali się za personel informatyczny przedsiębiorstwa. Powinny również okresowo być obiektem testów – np. poprzez symulowany telefon z IT albo list z zaszytym linkiem służącym do wyłudzenia hasła (tzw. phishing). Nie chodzi o to, by kogoś od razu karać odebraniem uprawnień, ale by identyfikować podatność użytkowników i skalę zagrożenia.
Zabezpieczenia proceduralne to kolejny element systemu bezpieczeństwa przedsiębiorstwa. A więc – odpowiednia polityka wymuszająca (wspominamy już wyżej) niebanalny format hasła i regularne jego zmiany. Ale to także procedura nadawania i odbierania uprawnień. Zasada pracownik powinien mieć uprawnienia do tych systemów i danych, których potrzebuje do wykonywania swoich obowiązków, nie mniej i nie więcej, powinna zostać ubrana w proces zarządzania uprawnieniami. Oprócz nadawania i odbierania uprawnień powinien on uwzględniać takie zdarzenia jak przyjęcie do pracy (żeby pracownik nie czekał bezczynnie przez pierwszy tydzień, aż nadane mu zostaną odpowiednie uprawnienia), odejście z pracy (aby byli pracownicy nie mieli uprawnień po tym, jak odeszli z firmy) oraz regularny przegląd uprawnień (czy pracownik nadal potrzebuje uprawnień do tych systemów, z których może już nie korzystać).
Procedury to także regularny monitoring zagrożeń, wykonywanie testów penetracyjnych oraz sposób postępowania w przypadku incydentu bezpieczeństwa, tj. usuwanie skutków, przywracanie ciągłości i zabezpieczanie dowodów. Zwłaszcza warto pamiętać o tym ostatnim – organy ścigania nie będą skuteczne, a proces – choćby nawet wina była oczywista – wygrany, jeśli dowody włamania lub zniszczenia danych nie zostaną zabezpieczone w sposób odpowiadający wymogom przewodu sądowego.
Ale jednym z najważniejszych, jeśli nie najważniejszym elementem proceduralnego bezpieczeństwa jest zarządzanie zmianą w systemach informatycznych. To właśnie w toku zmian w systemy wprowadzane są luki bezpieczeństwa oraz rozwiązania, które powodują straty w przedsiębiorstwie. Nie muszą to być wcale tylne drzwi, którymi konkurent wykradnie nasze nowe cenniki i strategie marketingowe. Może to być nieprzemyślany algorytm promocji, w wyniku którego towary za 300 zł staną się nagle warte 3 zł. Głośna była niedawno historia linii lotniczej, w której połączenie kilku promocji pozwalało polecieć do Tokio za 1 euro. Linia po sporze prawnym z osobami, które zakupiły taki bilet, przegrała i musiała usługę zrealizować. Kosztowało ją to, lekko licząc, kilkadziesiąt tysięcy euro.
Ostatni element, przygotowanie techniczne, to cały zestaw działań – począwszy od wyznaczenia osoby odpowiedzialnej za to zagadnienie (tzw. oficera bezpieczeństwa), poprzez wdrożenie procedur regularnej aktualizacji systemów informatycznych, aż po stworzenie odpowiednich mechanizmów sieciowych i systemowych. Harvard Business Review nie jest miejscem, aby te zagadnienia szczegółowo opisywać – należy odesłać menedżera do rozmowy ze swoim CIO.
Nie czy, a kiedy
Nie pytaj, czy padniesz ofiarą hakera. Zapytaj lepiej, kiedy to się stanie i jakie straty z tego tytułu poniesiesz. Na koniec warto więc podsumować najważniejsze elementy bezpieczeństwa przedsiębiorstwa w formie kilku przystępnych rad dla zarządów.
Bezpieczeństwo to dane, systemy i ludzie. Każdy z tych elementów jest równie ważny.
Nie ma czegoś takiego jak bezpieczeństwo absolutne. Analiza bezpieczeństwa informacji powinna zacząć się od oszacowania ryzyka związanego z danymi i systemami oraz wdrożenia zabezpieczeń proporcjonalnych do skali tego ryzyka.
Najwięcej zagrożeń pochodzi z wewnątrz przedsiębiorstwa. Tam należy skierować pierwsze działania.
Systemy informatyczne mogą posłużyć do wyłudzenia środków zarówno przez hakera zewnętrznego, jak i nieuczciwego pracownika.
Nie należy lekceważyć tzw. haktywistów, zwłaszcza w wielkich korporacjach energetycznych i finansowych.
Kluczową rolę mają użytkownicy i ich nawyki. Wyznaczanie standardów, komunikowanie oraz egzekwowanie ich to zasadnicza linia obrony przedsiębiorstwa.
Warto pamiętać o dwóch kluczowych procesach: zarządzania uprawnieniami oraz zarządzania zmianą w systemach informatycznych. To one najczęściej są „furtką” do naruszeń bezpieczeństwa.
W przypadku wystąpienia incydentu bezpieczeństwa kluczowe znaczenie ma usuwanie jego skutków oraz zabezpieczenie dowodów – aby organy ścigania mogły podjąć działanie, zaś winnego w procesie można było skazać.
Podsumowując: zabezpiecz się i… powodzenia!