Bezpieczna informatyka zagrożona informatyzacja

Jak żaden inny zasób, informację można ochronić tylko poprzez skoordynowane działania faktyczne w wielu dziedzinach jednocześnie. Każda z nich jest ważna - faworyzowanie informatyki bardziej bezpieczeństwu informacji szkodzi, niż pomaga.

Powstaje tu oczywiście pytanie: na ile posiadacz informacji ufa tożsamości odbiorcy, jako że z tożsamością właśnie wiążą się uprawnienia dostępu do informacji o określonej klasie poufności. W firmach mniejszych problem tożsamości nie jest odczuwalny, jednak już w firmach średnich, a zwłaszcza dużych, mamy do czynienia z pewną anonimowością. W takim przypadku ważny jest wspomniany już wyżej system bezsprzecznej weryfikacji tożsamości drugiej strony biorącej udział w komunikacji. Celowo piszę ogólnie, by nie wskazywać konkretnej implementacji, weryfikacja tożsamości bywa bowiem zależna od kontekstu sytuacyjnego.

Przykładowo, przy jakiejkolwiek wątpliwości co do tożsamości rozmówcy telefonicznego pracownik powinien - jako minimum - mieć możliwość identyfikacji numeru dzwoniącego. Bardzo dobrym uzupełnieniem byłaby możliwość natychmiastowego oddzwonienia na numer zawarty w oficjalnym spisie telefonów. Oczywiście, chodzi tu o wsparcie identyfikacyjne pewnych procedur, np. że przez telefon nie wolno udzielać informacji dotyczących spraw spoza własnego działu - w ten sposób uniknie się wycieku informacji, które w innym dziale mogą być traktowane jako poufne. Ostrożność jest wskazana także w dziedzinie poczty elektronicznej - bez dodatkowego mechanizmu weryfikacji tożsamości - trudno jej dziś bezkrytycznie ufać.

Bardzo ważne jest zapewnienie bezpieczeństwa informacji drukowanej. W wielu firmach próbne wydruki z drukarek sieciowych leżą sobie obok drukarki i są dostępne praktycznie dla każdego. W takich wydrukach można niejednokrotnie znaleźć całkiem ciekawe rzeczy: cenniki, projekty umów handlowych itp. Na liście źródeł informacji szpiegów gospodarczych śmietnik nadal zajmuje wysoką pozycję - większość firm całkowicie bagatelizuje ten problem.

Potrzeba przezorności

Bezpieczeństwo informacji to także bezpieczeństwo fizyczne. Solidne drzwi z zamkami patentowymi to wciąż jeden z podstawowych mechanizmów ochrony. Należy go uzupełnić innymi środkami, jak systemy kontroli dostępu (najlepiej z mechanizmem rejestracji każdego użycia identyfikatora), systemy alarmowe oraz wyspecjalizowani pracownicy. Wszystko to dotyczy nie tylko obrzeża firmy, ale także jej wnętrza, a przynajmniej jego kluczowych lokalizacji.

Zamykania pokoi na klucz nie należy traktować jako przejawu paranoi bezpieczeństwa - wie to każdy, komu "zniknął" notebook lub telefon komórkowy po wizycie "kuriera". Osoby przychodzące do firmy powinny podlegać sprawdzeniu i nadzorowi. Należy przyjąć zasadę, że gość czeka przy recepcji, skąd zostaje odebrany przez pracownika i porusza się po firmie tylko w jego towarzystwie. W tym kontekście bardzo pomocny okazuje się sprawnie zorganizowany obieg informacji w firmie, np. przewidujący, że recepcja jest informowana o wszystkich planowanych odbiorach i wysyłkach.

Przy dzisiejszym rozwoju techniki kradzież informacji jest bardzo łatwa nawet wtedy, gdy informacja jest przechowywana w formie papierowej. Do skopiowania poufnych dokumentów wystarczy dziś telefon komórkowy z aparatem cyfrowym. W Polsce wielokrotnie zdarzały się już przypadki instalowania podsłuchu czy miniaturowych kamer w salach konferencyjnych. Rolę szpiega może pełnić również oprogramowanie instalowane przez pracowników, co powinno znaleźć swoje odzwierciedlenie w regulacjach odnośnie do zasad użytkowania komputerów.

W praktyce należy chronić także wszelki inny sprzęt biurowy. Mało kto zastanawia się, jakim zagrożeniem byłoby np. zainstalowanie małego aparatu cyfrowego z silnym nadajnikiem Bluetooth w kserokopiarce. Przy zastosowaniu po drugiej stronie zmodyfikowanego urządzenia podłączonego do anteny kierunkowej o znacznym zysku, daje się zestawić połączenie na ponad 500 m. A jest przecież jeszcze ochrona elektromagnetyczna - zwykle pomijana, ponieważ mało kto dysponuje sprzętem do analizy fal radiowych emitowanych przez komputery, są jednak firmy i sytuacje, w których taki scenariusz trzeba wziąć pod uwagę. Rolą specjalistów ds. bezpieczeństwa jest przewidzenie takich zagrożeń i przeciwdziałanie im.

Poza zabezpieczeniami technicznymi, proceduralnymi i administracyjnymi należy przedsięwziąć odpowiednie zabezpieczenia prawne. Obejmują one np. właściwe przygotowanie umów o pracę i umów specjalnych z pracownikami. Ograniczenia powinny obejmować co najmniej zakaz konkurencji oraz odpowiedzialność za zachowanie tajemnicy służbowej. Polskie prawo daje możliwości ścigania przestępców komputerowych choćby z art. 267 par 1 KK oraz art. 269 par 1 i 2 KK. Jakkolwiek egzekwowanie tego prawa w praktyce nie jest łatwe, warto zabezpieczyć sobie drogę prawnego dochodzenia roszczeń od potencjalnego sprawcy.

Problem kontroli

Zwieńczeniem ochrony informacji jest system kontroli. Gdyby zawęzić go jedynie do informatyki, mielibyśmy do czynienia z - zapewne bardzo eleganckim pod względem technicznym - rozwiązaniem do rejestracji i analizy zdarzeń. Jakkolwiek bardzo przydatne, nie rozwiązuje ono jednak podstawowego problemu - wiele zdarzeń ważnych z punktu widzenia bezpieczeństwa informacji zachodzi poza zasięgiem systemów informatycznych i systemów dedykowanych do ich kontroli: w palarni, na biurku, przez telefon...

Ostatecznie informacja powstaje, przepływa i jest konsumowana przez ludzi. A skoro tak, to zamiast w nowy system zabezpieczeń, okrągłą sumkę lepiej byłoby może zainwestować w tak zwane słabe ogniwo? Jest wprawdzie ryzyko, że wskaźnik ROI liczony z uwzględnieniem wartości pieniądza w czasie nie będzie satysfakcjonujący, jak również że bezpieczeństwo informatyki nie wzrośnie ani trochę. Jednocześnie istnieje nadzieja, że dzięki temu nieschematycznemu zabiegowi bezpieczeństwo informacji uległoby pewnej poprawie.