Firmy nie doceniają bezpieczeństwa informacji

Firmy nie doceniają bezpieczeństwa informacji Image courtesy of by chanpipat/FreeDigitalPhotos.net

Uzasadnienie tej tezy zaczniemy od przypomnienia ostatniego przypadku wycieku poufnych danych w IBM, który pozostawał w cieniu afery Snowdena, chociaż obie sytuacje są bliźniaczo podobne.

W sierpniu bieżącego roku były pracownik IBM ujawnił amerykańskiemu portalowi InformationWeek obszerną dokumentację korporacji, z której wynikało, iż IBM przecenia swoje przyszłe dochody z dostaw  nowoczesnych technologii w zakresie cloud computing. Nie posiadał dobrych ekspertyz, albo ukrywał prawdę. Otóż z ujawnionych dokumentów wynikało, że dochody IBM z dostaw tej technologii osiągnęły w 2012 roku tylko 2,26 mld USD, co pozwalałoby przypuszczać, iż nierealne są założenia korporacji, która planowała do 2015 roku osiągać roczny zysk w wysokości 7 mld USD.

Na ironię zakrawa fakt, iż IBM nie wie w jaki sposób do tego doszło. Były pracownik skopiował dokumenty w okresie zatrudnienia. Podzielił się informacjami, aby chronić klientów i byłych kolegów. Odmówił ujawnienia tożsamości, aby uniknąć utraty zaległej odprawy.

Podobne artykuły:

Zagrożenie wewnętrzne musi być brane pod uwagę

Przypadek IBM wykazuje, że tego rodzaju zagrożenia wewnętrzne powinny być brane pod uwagę we wszystkich firmach. Eksperci zwracają uwagę, iż istnieją proste rozwiązania zapobiegające takim przypadkom. Gdyby IBM w ramach dobrych praktyk miał system monitorowania pracowników "wysokiego ryzyka" w czasie ich dostępu do krytycznych informacji można byłoby problemu uniknąć.

Sprawa wykazała, że trwa w najlepsze "wojna partyzancka" w korporacyjnej Ameryce przy użyciu głównie hakerstwa, za pomocą którego antagonizuje się konkurentów, a nawet partnerów. Hakerzy wabią byłych pracowników i wewnętrzne "wtyczki" całą gamą zachęt: 15 minut sławy, zemsta na byłym pracodawcy czy wreszcie korzyści materialne. Ostatnie badania pokazują, że kradzież tożsamości i danych przybierają alarmujące rozmiary wśród zwalnianych pracowników.

Firmy nie doceniają bezpieczeństwa

Casus IBM uwiarygadnia więc naszą tezę, iż firmy nie doceniają bezpieczeństwa informacji, ale podobne konkluzje można wysnuć z ostatnich badań renomowanych firm, takich jak Ernst&Young czy też B2B International i Kaspersky Lab w sferze bezpieczeństwa IT. Z punktu widzenia polskiej rzeczywistości, opinię tę potwierdzają codzienne doświadczenia spółki Profesjonalny Wywiad Gospodarczy Skarbiec wyniesione z licznych szkoleń. Indagowani przedsiębiorcy nie potrafią odpowiedzieć na proste kwestie: Jaki rodzaj informacji chronią, co stanowi u nich tajemnicę przedsiębiorstwa, czy wypracowali spójną politykę bezpieczeństwa informacji? Są to wciąż pytania kłopotliwe.

Sformułowany zarzut, rzecz jasna, nie odnosi się w takim samym stopniu do wszystkich firm. Polityka bezpieczeństwa informacji różni się w poszczególnych organizacjach i zależy od  wielu czynników: rozmiarów, poziomu wrażliwości przetwarzanych informacji, miejsca na rynku, ilości i rodzaju informacji oraz wykorzystywanych systemów informatycznych.

Diagnoza bezpieczeństwa

O ile można mówić o pewnej generalnej poprawie w sferze bezpieczeństwa informacji, o tyle z zastrzeżeniem, iż przedsiębiorstwa przegrywają wyścig z rosnącymi zagrożeniami generowanymi przez nowoczesne technologie.

Niektóre wskaźniki zawarte w opracowaniach wymienionych firm biją na alarm. Według globalnego, 15-ego raportu bezpieczeństwa informacji firmy Ernst&Young (Fighting to close the Gap) 77% firm oceniło, iż zagrożenie atakami zewnętrznymi wzrosło, zaś 46% dostrzega wzrost zagrożeń wewnętrznych. 31% badanych firm doświadczyło w ostatnich dwóch latach incydentów naruszających ich bezpieczeństwo, ale aż 63% nie ma wdrożonej systemowej polityki bezpieczeństwa. Jedynie 16% deklarowało, iż ich polityka bezpieczeństwa spełnia wszelkie wymogi i oczekiwania. Prawie jedna trzecia firm postrzega swój system bezpieczeństwa jako zagrożony lub bezbronny, a świadomość ta wzrosła najbardziej w ciągu ostatnich 12 miesięcy.

Wykorzystywanie cloud computing jako jednego z bardziej popularnych modeli innowacyjnych zarządzania  w biznesie dynamicznie rośnie, podwoiła się liczba organizacji korzystających z niego w przeciągu ostatnich dwóch lat. Chociaż 59% organizacji korzysta z tego systemu, to aż 38% nie podjęło żadnych środków obniżających ryzyko zagrożeń, jakie ten model generuje.

Główne źródło wycieków to pracownicy

Z kolei główną tezą raportu bezpieczeństwa IT autorstwa firm B2B International i Kaspersky Lab (Global Corporate IT Security Risks 2013 Survey) jest - dość oczywiste dla specjalistów - stwierdzenie, iż to pracownicy stanowią główne źródło wycieków poufnych informacji w przedsiębiorstwach. Pomimo, iż 39% incydentów wynikało z luk w zabezpieczeniach oprogramowania wykorzystywanych przez pracowników, to jednak skala innych incydentów związanych z błędami personelu jest równie wysoka. 32% badanych firm stwierdziło przecieki, które miały miejsce na skutek błędów pracowników. 30% firm zgłosiło fakt utraty lub kradzieży urządzeń mobilnych z winy pracownika. Świadome przecieki zostały popełnione przez pracowników w 19% firmach biorących udział w badaniu. 18% przedsiębiorstw odnotowało przypadki utraty informacji wskutek niewłaściwego wykorzystania urządzeń mobilnych (telefony, e-maile, komputery, tablety) i dokumentów papierowych. 7% badanych wykazało utratę informacji szczególnie krytycznych wskutek świadomych działań pracowników.

Podobne artykuły:

W szeroko pojmowanym bezpieczeństwie IT panuje totalna beztroska. Jak pokazują dane amerykańskiej firmy SplashData, użytkownicy różnego rodzaju aplikacji komputerowych  nadal słabo zabezpieczają swoje dane. Na liście 25 najgorszych haseł zabezpieczajacych  dane komputerowe w 2012 roku niezmiennie królują takie jak: "hasło", "123456", "12346678", "abc123". Właściciele takich haseł dostępu stają się najbardziej prawdopodobnymi ofiarami ataków hakerskich. Zagrożenie jest mniejsze, jeśli problem dotyczy prywatnych zasobów, natomiast jest o wiele gorzej, jeśli takie same zabezpieczenia stosuje się w firmach przy wykorzystywaniu poufnych informacji biznesowych.

Piętą achillesową bezpieczeństwa informacyjnego w przedsiębiorstwach jest brak lub nieadekwatność prowadzonych szkoleń w stosunku do zagrożeń. Tylko w 56% badanych przedsiębiorstwach zadeklarowano, iż rocznie prowadzi się od 1 do 10 szkoleń (ćwiczeń),  będących wszakże reakcją na przypadki naruszeń bezpieczeństwa lub penetracji zasobów informacyjnych. W 19% firm nie prowadzi się żadnych szkoleń lub ćwiczeń. Z drugiej strony większość przedsiębiorstw deklaruje, iż wdrożono politykę klasyfikacji i ograniczonego dostępu do informacji. Tkwi więc tu pewna sprzeczność, jeśli uświadomimy sobie fakt, iż blisko 80% badanych przedsiębiorstw dostrzega wzrost zagrożeń bezpieczeństwa informacyjnego.

Kancelaria Prawna Skarbiec Robert Nogacki