Choć mamy dobrze rozwinięte i łatwo dostępne środki i metody realizacji polityki bezpieczeństwa i ochrony informacji, to wciąż wiele firm i instytucji ich nie stosuje albo czyni to w stopniu niewystarczającym.

Wszystkie głośne ostatnio sprawy - Rywina, Orlenu, Starachowicka, PZU czy też ostatnio najgłośniejsza IPN - zahaczają o problematykę dostępu do informacji, inwigilacji czy też ochrony danych. Sprawy te pokazują, że z ochroną informacji i bezpieczeństwem danych nie jest najlepiej w czołowych polskich firmach i instytucjach. Nieprawidłowości w wymienionych obszarach wychodzą na jaw dopiero w sądzie czy na komisjach sejmowych. Niniejszy artykuł nie jest jednak artykułem politycznym, lecz praktycznym - sugeruje, co i jak można zmienić w firmach i organizacjach w dziedzinie ochrony danych oraz bezpieczeństwa informacji.

Jak zgodnie podają eksperci od bezpieczeństwa i ochrony informacji, głównymi przyczynami niszczenia zasobów, nieautoryzowanego dostępu do informacji i jej wykradania są (*):

1. Brak profesjonalizmu projektantów oraz wykonawców;

2. Niefrasobliwość decydentów;

3. Brak standardów konstrukcyjnych.

Podstawowe środki

Zdecydowana większość niepowodzeń w zabezpieczaniu i ochronie informacji ma swoje źródła w czynnikach ludzkich, tj. błędach konstrukcyjnych, błędach zarządzania i zmienności poglądów czy uleganiu modzie. Czy i jak można temu zapobiec środkami inżynierii systemów czy inżynierii oprogramowania? Ściśle powiedziawszy, zapobiec się nie da, ale można temu przeciwdziałać!

1. Na błędy koncepcyjne - lekarstwem jest makietowanie (rapid prototyping);

2. Na złe zarządzanie - ścisłe przestrzeganie reguł i norm;

3. Na zmienność zdania - formalizm specyfikowania i kamieni milowych.

Najważniejsze są jednak edukacja (kto z decydentów zna zasady ochrony informacji albo jakieś normy?), stosowanie wypracowanych standardów organizacyjnych oraz walka ze złymi nawykami (najlepsze techniki walki to audyty plus tzw. kij i marchewka). Decydenci odpowiedzialni za bezpieczeństwo i ochronę danych powinni stale dawać dobre przykłady postępowania i nieustannie walczyć z przejawami niskiej kultury pracy całej organizacji, w tym również, a może przede wszystkim, informatyków. Powinni oni stosować taktykę "6xNIE", która sprawdza się w każdej instytucji:

1. Nie dla "jakoś to będzie";

2. Nie dla niechlujstwa;

3. Nie dla akceptowania źle udokumentowanych świetnych pomysłów;

4. Nie dla wszelkich form nieplanowanego indywidualizmu;

5. Nie dla autorytetu administratora, który przecież sam może kraść dane;

6. Nie dla kultu nowości.

Inżynieria oprogramowania daje świetne narzędzia walki - normy, które wspominają o konieczności uwzględniania potrzeb ochrony i bezpieczeństwa informacji i wskazują konkretne działania, które powinny być wprowadzane. Praktycznie wszystkie normy dotyczące bezpieczeństwa informacji wskazują na potrzebę stosowania podejścia procesowego i stałego prowadzenia audytów weryfikujących sprawność prowadzonych procesów.

Niezależnie od samych norm istnieją zasady bazujące na zdrowym rozsądku, które nakazują na każdym kroku uniemożliwiać nieupoważniony dostęp i możliwość zniszczenia danych. Najprostszymi, ale bardzo skutecznymi środkami są:

1. Systemy dobrze określonych uprawnień i haseł;

2. Udostępnianie użytkownikom terminali bez dostępu do urządzeń wejścia/wyjścia;

3. Szyfrowanie informacji;

4. Blokowanie portów i nieuzasadnionego dostępu do sieci;

5. Bezpieczeństwo podczas telefonowania (zakazy i ekranowanie pomieszczeń);

6. Ekranowanie komputerów i kabli (od lat stosowane w siłach zbrojnych oraz w policji);

7. Ekranowanie pomieszczeń, gdzie udostępniane są dane;

8. Ograniczenie możliwości przesyłania danych z urządzeń mobilnych.

Ochrona i dostęp

Kilka słów o podstawach, czyli o tym, co chronimy. Chronimy to, do czego służą systemy informatyczne, czyli informacje, a właściwie to ciągi bitów. Na najniższym poziomie są to znaki (bajty), hasła, rekordy, pliki; wyżej nośniki, na których są one przechowywane, zeszyty, szafy, kartki papieru, dyskietki, CDR, dyski, taśmy magnetyczne, wydruki; jeszcze wyżej znajdują się urządzenia, takie jak stacje robocze, serwery, urządzenia sieciowe - w przypadku urządzeń szczególnie ważne są ich porty i drogi przesyłania danych (podsłuch): kable i transmisje radiowe. Na najwyższym poziomie chronione są pomieszczenia: pokoje, wydzielone fragmenty budynku i całe budynki czy strefy budynków (jednostki wojskowe, niektóre urzędy państwowe).

Najważniejsze, by wyartykułować, co i jak ma być chronione. Rozwiązania techniczne w zasadzie są doskonalszą formą metod "ręcznych". Warto więc wspomnieć również o tych ostatnich.

Kontrolowany powinien być dostęp użytkowników do zasobów. Faktycznie trudno wszystkich i wszystko kontrolować. Dlatego kontrolujemy to, co najbardziej jest narażone na zniszczenie lub wyniesienie. Użytkownicy mający dostęp do takich zasobów są obserwowani i podawani kontrolom. Pojawia się oczywiście problem, kto ma kontrolować fachowców, administratorów lub decydentów. Odpowiedź jest prosta: administratorów - ich szef, szefa - strażnicy i odpowiedzialny za bezpieczeństwo i ochronę danych członek zarządu, członka zarządu - audytor zewnętrzny.

Wprowadzenie monitoringu i kontroli może być szokiem dla osób przyzwyczajonych do całkowitej swobody działania. Jest to jednak działanie konieczne. Monitoring i kontrole fizyczne (tzn. przeszukania i rewidowanie) są prawnie dopuszczalne. Monitoring i kontrole można wprowadzić bardzo szybko: umieszczając w pomieszczeniach kamery i zobowiązując do rewizji strażnika czy oddelegowaną do tego osobę. Oczywiście trudno "ręcznie" kontrolować wszystko. Jednak zdefiniowanie w firmie procedur i wyrywkowe kontrole pokazują użytkownikom, że ich każdy krok może być obserwowany, co ma ogromne znaczenie psychologiczne. Często zwiększa to nie tylko bezpieczeństwo zasobów, ale również poprawia efektywność pracy, gdyż pracownicy więcej czasu poświęcają rzeczywistej robocie, a nie "samotności w sieci".