Bezpieczna informatyka zagrożona informatyzacja

Jak żaden inny zasób, informację można ochronić tylko poprzez skoordynowane działania faktyczne w wielu dziedzinach jednocześnie. Każda z nich jest ważna - faworyzowanie informatyki bardziej bezpieczeństwu informacji szkodzi, niż pomaga.

Jak żaden inny zasób, informację można ochronić tylko poprzez skoordynowane działania faktyczne w wielu dziedzinach jednocześnie. Każda z nich jest ważna - faworyzowanie informatyki bardziej bezpieczeństwu informacji szkodzi, niż pomaga.

Bezpieczeństwo informacji jest w świadomości wielu ludzi równoznaczne z brakiem zagrożenia dla infrastruktury informatycznej. Ten skrót myślowy funkcjonuje powszechnie pomimo faktu, że w rzeczywistości bezpieczeństwo infrastruktury informatycznej mieści się w pojęciu bezpieczeństwa informacji. Bezpieczeństwo informacji istniało jako "dyscyplina" znacznie wcześniej niż komputery, radio czy elektryczność i choćby dlatego prymat informatyki w dziedzinie bezpieczeństwa informacji wydaje się naciągany.

Mimo to większość ludzi nie znajduje nic zdrożnego w tezie, że skoro gros informacji przetwarza się za pomocą technik informatycznych (i skoro to w nich czai się największe zagrożenie), na nich właśnie należy skupić wysiłki. Na nic tłumaczenie, że złodziei informacji nie interesuje jej forma, lecz treść. Choć to niby oczywiste, mało kto przyznaje też, że zdobywanie informacji polega na znalezieniu najłatwiejszego dostępu do niej, a nie forsowaniu wymyślnych zabezpieczeń. Postaram się udowodnić, że bezpieczeństwo informacji wykracza znacznie poza informatykę, najpierw jednak kilka słów o sytuacji zastanej.

Niezdrowe skrzywienie

Przyczyny faworyzowania informatyki w dziedzinie ochrony informacji wydają się bardzo prozaiczne. Myśl o samodzielnym dziale zajmującym się bezpieczeństwem informacji budzi w organizacjach oczywiste opory. Z punktu widzenia zarządu brak samodzielnego działu bezpieczeństwa to po prostu mniejsze koszty. Trudno też poszukiwać entuzjastów samodzielnego działu bezpieczeństwa wśród informatyków, czyli tych, którzy potencjalnie podlegaliby jego wnikliwej kontroli. Nie trzeba chyba dodawać, że nowy dział to kolejny konkurent w walce o budżet.

W efekcie owych "kalkulacji" specjalistą ds. bezpieczeństwa zostaje zazwyczaj administrator sieci, czyli ten, który przynajmniej w pewnym obszarze bezpieczeństwa może zostać uznany za specjalistę. Delikwent dostaje 20% podwyżki, dobrze brzmiący tytuł i zadanie: zdobyć wiedzę oraz przygotować i wdrożyć odpowiednie procedury. Proszę bardzo. Są normy, a nawet gotowe opracowania, które mogą posłużyć za wzór. Są też koledzy, którzy kiedyś coś takiego już chyba robili... Sprowadzenie specjalisty ds. bezpieczeństwa do roli pisarza procedur odkładanych na półkę urąga zdrowemu rozsądkowi, ale formalnie firma jest w porządku.

Potencjalny zakres kompetencji specjalisty ds. bezpieczeństwa informacji jest bardzo szeroki. W jego rękach powinno spoczywać projektowanie systemu obiegu informacji (co nie ma związku z technologią), klasyfikacja informacji, konsultacje z użytkownikami informacji i ich szkolenie, audyt wykonywania zaleceń i procedur, a także raportowanie stanu bezpieczeństwa zarządowi firmy. W świetle tak szeroko zarysowanych zadań, informatyk jako specjalista ds. bezpieczeństwa występuje w co najmniej podwójnej roli i już z tego tytułu nie będzie swojego zadania wykonywać dobrze.

Po drugie (i ważniejsze) w wielu fundamentalnych dla bezpieczeństwa informacji sytuacjach będzie sam sobie sędzią, co jest absolutnie niepożądane. Nie da się nie zauważyć, że dbanie o bezpieczeństwo to bezpośrednia praca z ludźmi, często o różnych temperamentach, konieczność pogodzenia ze sobą pracowników o czasami skrajnych poglądach. To także umiejętność wnikliwej obserwacji, słuchania, jak również klarownej komunikacji. Nie jest to praca dla administratora ani dla kogokolwiek, kto ma swoje korzenie wyłącznie w informatyce.

Hartowanie ogniwa

Sprzymierzeńcem wysokiego bezpieczeństwa informacji jest porządek - naturalny wróg wszelkich nadużyć. Porządek wyrażany m.in. poprzez dobry obieg informacji w firmie, co wcale nie jest synonimem wdrożenia systemu obiegu dokumentów czy zaawansowanego pakietu pracy grupowej. W tym względzie liczy się raczej pewność co do źródła informacji i jego rzetelności. Ważna jest ponadto pewność co do ścieżki formalnej, którą informacja podróżuje poprzez firmę, a więc np. to, że pewne dokumenty nie trafią w niepowołane ręce. Formalne środki komunikacji dadzą gwarancję potwierdzenia zaistnienia pewnych faktów.

Technologia jako taka nie gwarantuje jednak bezpieczeństwa informacji - wszystko tak naprawdę zależy od ludzi. Cóż z tego, że formalnie wszystko jest poufne, skoro tolerowane są plotki i "przecieki"? Aby zapobiec wytwarzaniu dwóch obiegów informacji, należy przygotować sprawnie działający system klasyfikacji informacji obowiązujący bez względu na to, w jakiej formie występuje oraz towarzyszący tej klasyfikacji mechanizm wymuszający zachowanie określonych procedur.

Podstawową klasyfikacją powinno być rozdzielenie informacji publicznie dostępnej (bez ograniczeń) od wewnętrznej i wyżej klasyfikowanej. Informacja wewnętrzna może być ujawniona tylko pracownikom przedsiębiorstwa, np. firmowy spis telefonów, lista adresów poczty elektronicznej itp. Co naturalne, w miarę wzrostu wartości informacji maleje liczba ludzi, którzy mają mieć do niej dostęp. Na samym szczycie tej piramidy są szczególnie ważne dane, np. sekretne receptury produkcyjne, kody do sejfów, hasła administracyjne, klucze szyfrujące itp. Wyraźna klasyfikacja informacji jest ważna, gdyż pracownicy często nie zdają sobie sprawy z rzeczywistej lub potencjalnej wartości informacji, którymi posługują się, wykonując swoje codzienne obowiązki. Jeżeli informacja będzie jasno oznaczona co do klasy poufności, osoba mająca do niej dostęp zastanowi się, zanim przekaże ją dalej.

Klasyfikacja informacji upraszcza, a przez to wzmacnia jej ochronę, lecz najważniejszy jest zdrowy rozsądek i świadomość współodpowiedzialności pracowników, czemu powinny służyć szkolenia. Warto w nich położyć nacisk na umiejętność wychwycenia przez pracowników typowych zabiegów socjotechnicznych stosowanych przez szpiegów gospodarczych. Nie tylko zresztą pracowników wewnętrznych. Bardzo ważną rzeczą jest np. przeszkolenie ochrony w celu uniknięcia ataków socjotechnicznych, gdy intruz, instruując telefonicznie ochroniarza, dokonuje jego rękami działań w firmie.