Większość raportów dotyczących bezpieczeństwa pokazuje, że najgorzej zabezpieczone są małe i średnie firmy. Biorąc pod uwagę nakłady na informatykę, taki stan, chociaż niepożądany, może być spowodowany bardzo skromnym budżetem.

Należy pamiętać, że bezpieczeństwo systemów teleinformatycznych jest jedynie małym podzbiorem w ogólnym zbiorze zadań związanych z ochroną informacji w przedsiębiorstwie. W wielu przypadkach nawet niewielkie nakłady mogą przynosić pożądane efekty, o ile środki zostaną racjonalnie wykorzystane. Kluczem jest dobre zaplanowanie działań, które muszą być podjęte. Są nimi:

Bardzo ważnym elementem bezpieczeństwa informacji jest jasny i skuteczny jej obieg. Schemat takiego procesu zależy oczywiście od danej firmy, niemniej kluczową cechą takiego obiegu jest to, że każdy pracownik wie dokładnie od kogo i jaką informację uzyska, a także komu ma ją przekazać. Im prostsza struktura obiegu informacji w firmie, tym łatwiej utrzymać porządek. Do porządkujących pracę firmy reguł należy dodać choćby najprostszą klasyfikację informacji - oddzielić informacje dostępne publicznie od tych poufnych. Czasami najprostsze środki są skuteczniejsze niż wymyślne reguły, m.in. dlatego w małych firmach sprawdza się zasada podziału dokumentów na dwie grupy i zapisywanie ich w osobnych katalogach wraz z prostym, ustalonym nazewnictwem plików. Od razu widać, który dokument jest poufny, i o to właśnie chodzi. Dzięki prostym regułom znacznie łatwiej doszkolić pracowników.

Dokumenty pod kluczem

Kluczem do ochrony informacji nie jest samo trzymanie wszystkich dokumentów w zamknięciu, ale wydzielenie tych, które są dla firmy szczególnie ważne. Mogą to być: listy kontrahentów i informacje o współpracy z nimi, cenniki, receptury, dokumentacje produktów itd. Wbrew pozorom pojedyncze faktury nie muszą być specjalnie chronione, ponieważ raczej są danymi "niskiego poziomu" i dla oceny działania typowej firmy nie wystarczy przechwycenie jednej konkretnej faktury od jednego dowolnego kontrahenta. Tymczasem zbiorcze zestawienie kontrahentów wraz z ich obrotami jest bardzo wrażliwym dokumentem, gdyż daje łatwe rozeznanie konkurencji.

W najprostszych rozwiązaniach warto dzielić dokumenty, tak aby klasyfikowane dokumenty zapisywać z hasłem chroniącym przed otwarciem. Taka metoda skutecznie odsieje tych, którzy w prosty sposób chcieliby podejrzeć zawartość dokumentów. Specjaliści i tak sobie dadzą radę ze złamaniem hasła, ale nie będzie to natychmiastowa operacja.

Ochrona informacji nie może się odbywać bez niszczenia niepotrzebnych dokumentów. Wśród źródeł informacji śmietnik nadal zajmuje dość wysoką pozycję.

Aby temu zapobiec, w firmie musi znajdować się niszczarka dokumentów, zaś pracownicy muszą wyrobić sobie nawyk korzystania z niej.

Zasada ograniczonego zaufania

Należy przeszkolić pracowników, wpajając im zasadę ograniczonego zaufania do niektórych dokumentów, takich jak faks. Sfałszowanie faksu jest niesłychanie proste, a dość trudne do wykrycia. Nie wiadomo, dlaczego w wielu firmach nawet podejrzane dokumenty przesyłane faksem są przyjmowane bez mrugnięcia okiem, o ile są "wyposażone" w stosowną liczbę pieczątek (mogą być bezkrytycznie przekopiowane z innego dokumentu i wyedytowane w prosty sposób za pomocą dowolnego programu do retuszu). Warto zwrócić uwagę, że nawet prymitywne przeróbki, od razu widoczne na kolorowym skanie dokumentu z przeciętną jakością Compact PDF (nie mówiąc już o oryginale), w przypadku faksu są praktycznie nie do wykrycia.

Przyzwyczajenie do rzekomej władzy i mocy pieczątki panuje w wielu polskich firmach, z nieznanego mi powodu moc ta przenosi się nawet na fatalnej jakości faksy. Należy koniecznie z tym zerwać. Liczy się wiarygodność podpisu na dokumencie, a nie pieczątka. Tak samo nie można bezkrytycznie ufać poczcie elektronicznej bez podpisu z certyfikatem. Można użyć choćby PGP (np. w realizacji GnuPG, z narzędziem WinPT) albo usługi Ciphire Mail.

Chronić dostęp

Warto zastosować proste i skuteczne zabezpieczenia systemu teleinformatycznego. Po pierwsze powinno być to logowanie z okresowo zmienianym hasłem. Warto nauczyć pracowników, aby nie zapisywali hasła na kartkach, na stole itp., i aby stosowali takie hasła, które są łatwe do zapamiętania, a trudne do odgadnięcia. Należy wpoić pracownikom nawyk blokowania komputera, gdy oddalają się od niego. Użytkownicy Windows mają już na pewno ten odruch - ctrl+alt+delete, enter. Bardzo dobrym pomysłem jest ograniczenie godzin logowania do rzeczywistych godzin pracy pracowników w firmie, a także restrykcje co do komputerów - które z nich mogą łączyć się z serwerem i z których gniazd. To utrudnia włamanie przy użyciu laptopa ukradkiem podłączonego do sieci.

Bardzo ważna jest ochrona

sieci bezprzewodowej. Jestem zdania, że w większości polskich firm nie powinno się wykorzystywać Wi-Fi, bowiem konfiguracja zapewniająca dobre bezpieczeństwo wymaga zarówno prawidłowego ustawienia uwierzytelnienia, jak i regularnych uaktualnień firmware w urządzeniach i dobrej konfiguracji zabezpieczeń wszystkich klientów korzystających z Wi-Fi. Należy także pamiętać, że przy użyciu dobrej anteny, do punktu dostępowego można zalogować się ze znacznej odległości od siedziby firmy.

Należy zadbać również o zabezpieczenie serwera zaporą sieciową. Jeśli firma wykorzystuje Linuxa, co zdarza się coraz częściej, wystarczy odpowiednia konfiguracja zapory wbudowanej w ten system. Jeśli jest to Windows, wbudowana weń zapora sieciowa nie wystarczy. Należy także koniecznie skonfigurować aktualizacje systemu i aplikacji. Nieaktualny system jest dziurą w bezpieczeństwie, obojętnie czy chodzi o Windows, Linux, czy Mac OS.

Podstawowa ochrona połączenia z Internetem jest naprawdę prosta. Do tego celu wystarczy dobry i niedrogi firewall sprzętowy, który przy poprawnej konfiguracji sprawuje się bardzo dobrze. Standardem w dzisiejszych firmach, powszechnie wykorzystujących systemy Microsoft Windows, jest program antywirusowy. W dobie wirusów wykorzystujących dziurawe systemy Microsoftu, firma nie może myśleć o bezpiecznej pracy bez dobrego oprogramowania tego typu. Na tych rozwiązaniach nie warto oszczędzać. Przestój, a także możliwa utrata danych spowodowane atakiem wirusa przyniosą bez wątpienia większe straty niż koszt programu rozłożony na kilka lat.

Bezpieczeństwo kopii zapasowej

Oprócz programów antywirusowych firma nie może się obyć bez tworzenia kopii bezpieczeństwa. Nagrywarki CD/DVD są tanie, proste w użyciu, czyste nośniki powszechnie dostępne, a technologia sprawdzona. Najlepszym jednak rozwiązaniem jest zastosowanie napędu taśmowego, choć wymaga to już znacznych nakładów finansowych. Koszt napędu i kasetek z taśmami nie jest jedynym wydatkiem, gdy urządzenie jest instalowane w komputerze pracującym pod kontrolą systemu Windows, gdyż wbudowany w system program ntbackup jest w pewnych przypadkach tak dokuczliwy dla użytkownika, że dla wygodnej archiwizacji trzeba zakupić stosowne oprogramowanie. Linux posiada bardzo dużo dobrego oprogramowania do wykonywania kopii bezpieczeństwa, dostępnego bezpłatnie (pisaliśmy o tym w Computerworld 28/2004 z 19 lipca 2004 r.). Warto więc z niego korzystać.

Kopie zapasowe należy przechowywać w innym pomieszczeniu niż komputery. Najlepiej poza firmą. To założenie ocaliło niejedno przedsiębiorstwo przed poważnymi problemami związanymi z utratą danych. Pożar (lub złodziej) może spowodować utratę sprzętu, rzadko jednak zniszczy przechowywane gdzie indziej kopie bezpieczeństwa. Dane zapisane na płytach lub taśmach są niejednokrotnie łatwiejsze do skradzenia od tych znajdujących się na dyskach, zatem wykorzystanych taśm czy płytek R/W nie należy używać poza firmą. Nawet skasowane nośniki wielokrotnie zapisywalne zawierają poprzednie dane i możliwe jest ich odzyskanie. Po zużyciu należy je zniszczyć. To samo dotyczy płytek zawierających kopie po okresie ich przechowywania.

Wpływ na pracowników

Ataki socjotechniczne kierowane przeciw małym firmom są trudne do realizacji, niemniej są możliwe. Gdy wszyscy znają się po głosie i nawykach, podszywanie się pod pracownika firmy jest bardzo trudne. Co innego podszywanie się np. pod mniej ważnego kontrahenta. Należy zatem wpoić pracownikom zasadę ograniczonego zaufania do osób z zewnątrz. Warto też zastosować prosty zabieg - gromadzenie bazy numerów telefonów, aby móc oddzwonić, w celu sprawdzenia w przypadku wątpliwości. Nawet tak typowa usługa, jak identyfikacja numeru dzwoniącego, jest pomocna, chociaż nie można bezkrytycznie na niej polegać.