Miniaturyzacja urządzeń cyfrowych stwarza nowy, nieznany dotąd rodzaj zagrożenia. Narzędzia uznawane do niedawna za gadżety pozbawione istotniejszego znaczenia mogą w poważny sposób zagrozić bezpieczeństwu firm czy instytucji.

Nie potrzeba już wymyślnych urządzeń szpiegowskich rodem z Jamesa Bonda, aby wykraść z firmy projekt nowego produktu, wejść w posiadanie informacji z niedostępnych poza instytucją baz danych czy odtworzyć strukturę prototypowej linii technologicznej albo poznać tajemnice negocjacji handlowych. Zamiast zmyślnego, specjalnie skonstruowanego zegarka czy spinki do krawata, wystarczy zwykły telefon komórkowy z wbudowanym aparatem fotograficznym i modułem do nagrywania dźwięku. Często można go kupić bez problemu w sklepie na parterze budynku, w którym mieści się firma będąca obiektem zainteresowania konkurencji czy płatnego szpiega przemysłowego. Niepowetowane straty może przynieść firmie również możliwość niekontrolowanego, swobodnego posługiwania się tymi urządzeniami przez pracowników.

Zagrożone mogą być nie tylko tajemnice handlowe, ale też naruszona prywatność zatrudnionych osób.

Dysponując "komórką" z cyfrową kamerą i dyktafonem, można sfotografować znajdujące się w biurze dokumenty, utrwalić obraz wyświetlany na ekranie komputera, nagrać prowadzone podczas wizyty rozmowy. Ponadto można od razu przesłać to wszystko w umówione miejsce. Gdy się jeszcze dysponuje coraz popularniejszym nośnikiem danych typu PenDrive, można spróbować wykorzystać zamieszanie w firmie lub nieuwagę pracowników do zgrania z pozostawionego bez opieki komputera kilkuset megabajtów interesujących danych. Transmisja danych po łączu USB trwa przecież tak krótko w porównaniu z posługiwaniem się dawnymi mediami, takimi jak dyskietki.

Zdaniem analityków firmy Gartner w 2006 r. ponad 80% telefonów sprzedawanych w Stanach Zjednoczonych i Unii Europejskiej będzie umożliwiało rejestrację obrazu. Taka sytuacja może sprzyjać nowym formom szpiegostwa czy kradzieży informacji, tym bardziej że wbudowane w telefony kamery będą coraz doskonalsze technicznie. Już dzisiaj można kupić taki aparat z rozdzielczością 2 megapikseli, a stworzenie możliwości nagrywania tysiąca fotografii jest tylko kwestią czasu i to nieodległego.

Kto zapomniał zabrać telefon

W wydanym niedawno raporcie How to Deal With Camera Phones in the Workplace konsultanci Gartnera przestrzegają przed zwiększonym ryzykiem naruszenia systemów zabezpieczeń i ochrony w przedsiębiorstwach za sprawą coraz większej dostępności tzw. urządzeń konsumenckich z dziedziny wysokich technologii. Nawołują menedżerów do przygotowania się już dzisiaj na ten rodzaj coraz bardziej realnego, a mało jeszcze uświadomionego i rozpoznanego zagrożenia.

Wydaje się, że specjaliści odpowiedzialni za bezpieczeństwo w firmach zdają sobie sprawę z tego typu zjawisk. Problem polega na tym, że nie wiedzą jeszcze dobrze, jak można by im skutecznie przeciwdziałać. O ile już dobrze znane są sposoby ochrony systemów komputerowych w firmach, o tyle w przypadku możliwości nieuprawnionego wykorzystania nowych urządzeń elektronicznych jest jeszcze wiele pytań i niejasności. Wiele związanych z tym sytuacji ma jeszcze charakter hipotetyczny. Sytuacja niepewności i braku jednoznacznych rozstrzygnięć powoduje, że wielu tzw. oficerów bezpieczeństwa w firmach nie chce się na razie na ten temat wypowiadać. Z drugiej strony, znane są przypadki niby przypadkowego pozostawiania włączonych telefonów komórkowych w miejscach, gdzie miały się toczyć ważne negocjacje handlowe lub zestawiania połączeń z telefonów posiadanych przez uczestników zamkniętych spotkań biznesowych.

Menedżerowie bezpieczeństwa w polskich firmach zgadzają się generalnie z analitykami Gartnera, że nie ma sensu wprowadzanie całkowitego zakazu używania telefonów komórkowych z aparatami cyfrowymi i innych tego typu urządzeń na terenie przedsiębiorstwa. Zakaz taki byłby trudny do wyegzekwowania, a skutki jego obowiązywania mogłyby mieć również negatywny charakter. Czy skrupulatne rewidowanie każdego gościa przychodzącego na spotkanie z zarządem firmy dobrze by służyło jej zewnętrznemu wizerunkowi i przyczyniało się do budowania zaufania wśród partnerów, kontrahentów czy współpracowników? Poza tym jaka byłaby gwarancja 100-proc. wykrycia niebezpiecznego narzędzia w sytuacji, gdy postępująca miniaturyzacja może umożliwiać zainstalowanie kamery w różnych przedmiotach? Już dzisiaj można przecież kupić np. długopisy z wbudowanym aparatem cyfrowym. Na razie uzyskiwany z nich obraz jest słabej jakości, ale kto wie, co będzie za kilka miesięcy.

Trzeba się też liczyć z kosztami egzekwowania nowych obostrzeń i zakazów. Można by myśleć o technicznych zabezpieczeniach uniemożliwiających nawiązywanie połączeń z telefonów komórkowych w określonych miejscach w firmie lub reagujących na próby wykonania zdjęcia. Można myśleć o bramkach wykrywających wnoszone aparaty na wzór bramek reagujących na przedmioty metalowe. Często są to jednak bardzo kosztowne rozwiązania. Nie wszystkie firmy byłoby na nie stać, poza tym nie wiadomo jeszcze jaka byłaby relacja poniesionych wydatków do skuteczności zainstalowanych urządzeń.

Wcale niebanalne jest w tej sytuacji pytanie, na ile racjonalne jest w istniejących warunkach inwestowanie w rozbudowane systemy ochrony i bezpieczeństwa? Nie wiadomo gdzie powinna leżeć granica takich inwestycji w sytuacji, w której w zakresie miniaturyzacji elektronicznych urządzeń powszechnego użytku nie powiedziano jeszcze ostatniego słowa. Trudno przewidzieć, jakiego rodzaju niebezpieczeństwa mogą grozić firmom w najbliższym czasie w związku z rozwojem zastosowań tzw. inteligentnych rozwiązań w sprzęcie codziennego użytku. Zarówno podłączona do Internetu do bieżącej aktualizacji zapasów tzw. inteligentna lada chłodnicza w sklepie na stacji może być obiektem ataku hakerskiego lub wrogich działań ze strony konkurencji, jak i palmtop zbierającego zamówienia handlowca.

Proszę mi nie robić zdjęcia

Co więc trzeba zrobić, by uchronić się przed ewentualnymi szkodami wynikającymi z nowych zagrożeń? Generalnie jest to jeszcze obszar do zagospodarowania. Trzeba dopiero wypracować skuteczne, adekwatne do sytuacji metody działania. Zarówno konsultanci Gartnera, jak i specjaliści odpowiedzialni za bezpieczeństwo w firmach są zdania, że w głównej mierze trzeba szukać możliwości oddziaływania poprzez kulturę organizacyjną firmy. Najważniejsze jest kształtowanie odpowiednich postaw wśród pracowników, uczulanie ich, by zwracali uwagę na sytuacje i zachowania, które mogą stać się potencjalną przyczyną zagrożeń. Każdy musi szukać skutecznych rozwiązań we własnym zakresie, gdyż ogólne regulacje prawne w tej dziedzinie byłyby mało skuteczne i trudne do wyegzekwowania.

Należy przede wszystkim dokonać starannego przeglądu posiadanych zasobów informacyjnych i sklasyfikować je pod względem ważności, sposobu dostępu i rozpowszechniania. Trzeba dokładnie określić, jakie informacje są tajne, jakie poufne, jakie ogólnie dostępne, kto do jakich może mieć dostęp i na jakich zasadach może je przekazywać w inne miejsca.

To pozwoli zarówno na wypracowanie lepszych, skuteczniejszych metod ochrony, jak i da większą orientację pracownikom, na co powinni zwracać uwagę. Mając taką wiedzę, można próbować wprowadzać zakazy czy ograniczenia w wydzielonych strefach lub obszarach w firmie. Pracownicy muszą jednak wtedy zostać dokładnie i precyzyjnie powiadomieni, czego wolno im używać w danym miejscu, a czego nie. Pewnym wyjściem z sytuacji może być np. wyposażenie pracowników w jednakowe, standardowe modele telefonów czy palmtopów. Wtedy wiadomo, jakie są ich możliwości, funkcje czy parametry techniczne, co daje większe możliwości kontroli nad ich wykorzystaniem.

Wszyscy zgodnie podkreślają, że najważniejsza jest jednak w tej sytuacji świadoma, odpowiedzialna postawa ludzi - pracowników i użytkowników nowoczesnych urządzeń. Wiadomo że człowiek jest najsłabszym, najbardziej nieprzewidywalnym ogniwem wszelkich systemów bezpieczeństwa. Ale też i w samym człowieku jest dzisiaj największa nadzieja. Gwałtowny rozwój zastosowań technologii cyfrowej, wykorzystywanie tzw. inteligentnych rozwiązań w najróżniejszych miejscach i rzeczach powszechnego użytku ograniczają lub czynią nieopłacalnymi stosowanie automatycznych, technicznych systemów kontroli i zabezpieczeń. W coraz większym zakresie ludzie będą musieli bronić się przed nowymi zagrożeniami poprzez odpowiednie formy zachowań - czy to indywidualnych, czy społecznych. Stawia to nowe wymagania i zadania przed specjalistami od bezpieczeństwa w firmach. Nie wystarczy zainstalować firewall, wgrać program antywirusowy czy zablokować dostęp do niektórych rekordów w bazie danych. Trzeba będzie więcej pracować z ludźmi, uczulać ich na grożące niebezpieczeństwa, uczyć odpowiednich sposobów zachowania, wskazywać sytuacje potencjalnie najbardziej ryzykowne. Nic nie zastąpi systematycznej edukacji i informowania. Czasami konieczne będzie wypracowanie pewnych nawyków automatycznych reakcji - żeby nie dać się zwieść miłej propozycji zrobienia nam zdjęcia przy komputerze, na którego ekranie akurat są wyświetlane strategiczne dla firmy informacje.

Nieświadomość pracowników może często stanowić największe zagrożenie dla firmy. Błyskawiczny rozwój technik cyfrowych powoduje, iż na rynku pojawia się wiele urządzeń, których wszystkich funkcji i możliwości nie jesteśmy w stanie poznać. Co więcej, często korzystamy z nowoczesnych urządzeń, o których również nie posiadamy pełnej wiedzy. Chodzi o to, aby każdy, kto pracuje na strategicznym stanowisku, w miejscu, gdzie ma do czynienia z ważnymi informacjami, wiedział, na jakie zagrożenia może być narażony on i jego firma ze strony tych, którzy dysponują sprzętem zaliczanym często potocznie do grupy gadżetów, ale dysponującym możliwościami niedostępnymi jeszcze kilka lat temu dla urządzeń profesjonalnych.