Kontrolowany wyciek

Proces przepływu informacji jest jednym z ważniejszych aspektów związanych z prawidłowym funkcjonowaniem firm. Od tego, czy informacja dotrze tam, gdzie powinna, i w jakim czasie to nastąpi, zależy bardzo wiele.

Proces przepływu informacji jest jednym z ważniejszych aspektów związanych z prawidłowym funkcjonowaniem firm. Od tego, czy informacja dotrze tam, gdzie powinna, i w jakim czasie to nastąpi, zależy bardzo wiele.

Zdarzają się jednak zakłady pracy, w których propagacja informacji, zwłaszcza tej istotnej, odbywa się na zasadzie przypadkowej i dociera ona nie tam gdzie powinna, błądząc gdzieś, aby wreszcie utknąć w zakamarkach któregoś z działów. Najgorsza jednak jest sytuacja, gdy ważna i tajna wiadomość przedostaje się do osób niepowołanych.

Bywają informacje, do których dostęp powinien być zabroniony dla kogokolwiek, oprócz samych zainteresowanych. O ile w dzisiejszych czasach nikt raczej nie opowiada wszem i wobec o wysokości wynagrodzeń, o tyle również trzymane są w tajemnicy wszelkie kody dostępu i hasła. Ale czy na pewno zawsze i wszędzie?

Jedną z metod sprawdzenia, czy pracownicy utrzymują dyskrecję, jest metoda kontrolowanej prowokacji. Wyobraźmy sobie, że zakładowy informatyk chciałby sprawdzić, czy użytkownicy są skłonni do udostępniania osobom niepowołanym haseł dostępu. Osobiste wydzwanianie do użytkowników, czyli metoda na Mitnicka, zdane jest na niepowodzenie chociażby z tego względu, że informatyk może zostać rozpoznany po głosie, w związku z czym nie będzie niczego nagannego w przekazaniu mu poufnych haseł, które i tak z racji swej roli powinien znać. Co najwyżej zdziwienie powinny budzić środki używane przez niego do przekazu tajnych informacji. Podnajmowanie człowieka z zewnątrz jest o tyle ryzykowne, że w razie zaistnienia przecieku wszedłby on w posiadanie haseł, których nawet ani przez chwilę nie powinien znać. Z kolei wynajmowanie w tym celu komercyjnej firmy gwarantującej dochowanie tajemnicy może nie być w smak decydentom odpowiedzialnym za stronę finansową. Pozostaje więc informatykowi zakładowemu droga samodzielnej weryfikacji postaw użytkowników.

Jedną z możliwych akcji prowokacyjnych jest wysłanie zapytania o hasło pocztą elektroniczną. Ponieważ użytkownicy przywykli już do spoglądania na nagłówki poczty, e-mail powinien dotrzeć spod zupełnie odmiennego adresu niż domena firmowa. Nie powinno się zapytania przesyłać w formie impertynenckiej, w stylu "dawaj hasło", ale przyoblec je w gustowną otoczkę słowną, aby żądanie stało się bardziej wiarygodne. Na przykład: "Jestem pracownikiem firmy Security Lab, której dyrekcja Państwa firmy zleciła przeprowadzenie kontroli jakości systemów informatycznych. Ustalono wspólnie, że działania te mają być przeprowadzone w pełnej tajności wobec Waszego działu informatyki. Zostaliśmy upoważnieni przez Waszą dyrekcję do zwrócenia się do Państwa o wszelką niezbędną pomoc w zleconym nam obszarze działań. W związku z niniejszym proszę o przekazanie mi w odpowiedzi na ten e-mail haseł do następujących systemów....". Następnie podpisuje się e-mail jakimś górnolotnie brzmiącym stanowiskiem i fikcyjnym nazwiskiem.

Efekty tego działania mogą być rozmaite.

Albo będzie kompletna cisza, co oznacza, że pracownik, który otrzymał ten e-mail, po prostu go zignorował, co jest najlepszym z zachowań. Może też informacja o tej prowokacji trafić do przełożonych, co także jest niezgorszą opcją. Jeśli jednak pojawi się odpowiedź, w której użytkownicy życzliwie podają hasła, wiadomo wówczas, że świadomość dotycząca bezpieczeństwa jest żadna. Wydaje się to wręcz absurdalne. Czy aby rzeczywiście? Radzę to zweryfikować u siebie w firmie.