Pracując w firmie, która zajmuje się ochroną danych, wciąż spotykam się z różnymi opiniami, rozwiązaniami i ludźmi. Te interakcje nasuwają wiele przemyśleń, dotyczących bezpieczeństwa danych komputerowych w Polsce oraz podejścia do ochrony.

W Polsce brakuje ekspertów w dziedzinie ochrony danych. Zdecydowanie więcej jest pseudo- ekspertów, którym wydaje się, że coś o ochronie danych wiedzą. Ten fakt nie byłby może tragiczny, gdyby nie to, że ludzie ci odpowiadają często za ochronę danych w wielu ważnych instytucjach. Pewien duży bank, który został przez nas poinformowany o tym, że ich system zabezpieczeń jest nieszczelny, do dziś nie podjął żadnych działań, aby lepiej chronić swych klientów i ich pieniądze.

Dzięki działaniom pseudoekspertów wiele instytucji wydało duże pieniądze nie na darmo. Poczucie fałszywego bezpieczeństwa eliminuje element strachu i blokuje dalsze działania zmierzające do poprawy poziomu bezpieczeństwa, aż do momentu kolejnej utraty krytycznych danych.

Niektórzy "eksperci" to nikt więcej niż zwykli dilerzy, którzy wyćwiczeni są w sprzedawaniu pudełek z wszelaką zawartością, ale w rzeczywistości niewiele wiedzą o problematyce kompleksowego zabezpieczania sieci korporacyjnych. Poznać można ich po tym, że zazwyczaj przerywają współpracę z klientem już w chwili zainkasowania pieniędzy za sprzedany mu towar, a klient pozostaje sam z problemem instalacji, konfiguracji i dalszej opieki nad danym rozwiązaniem.

Jeszcze innym typem specjalistów są pseudokonsultanci. Oferują oni firmom możliwość sprawdzenia posiadanych przez nich zabezpieczeń, polegającą zazwyczaj na teście skuteczności działania firewalla (za pośrednictwem specjalnych aplikacji, które może nabyć każdy zainteresowany). Problem w tym, że włamywacz nie będzie próbował przekraść się przez firewall, jeżeli może wykraść dane w inny sposób, np. osobiście odwiedzając firmę - o czym konsultant jednak nie mówi. Rzadko także po sprawdzeniu firewalla samodzielnie zdobędzie i zainstaluje wszelkie poprawki, pozostawiając to klientowi lub obciążając go dodatkową opłatą.

Rok 2000

Nowym zjawiskiem są eksperci od problemu roku 2000. Zdaje się on rozpoczynać nową falę paniki, dokładnie taką, jaką przed kilkoma laty stworzyły media wokół wirusa nazwanego Michał Anioł (atakującego komputery 6 marca). Niektóre firmy antywirusowe wprowadziły wtedy specjalne wersje swojego oprogramowania, które wykrywały tylko tego wirusa. Zapewne gdyby nie media, panika nigdy by nie wybuchła.

Podobnie dzieje się obecnie, choć pośpiech i panika są najgorszymi z doradców w przypadku ochrony danych. Należy uaktualnienia oprogramowania instalować ostrożnie, zwracając uwagę nie tylko na to, czy rozwiązują one problem roku 2000, ale także czy nie otwierają przy tym luk w systemie bezpieczeństwa. A pełny upgrade oprogramowania firmowego wymaga także zazwyczaj opracowania Polityki Bezpieczeństwa od nowa.

Polityka ochrony danych

Mówienie, że ochrona danych jest kosztowna, to przesada. Jej podstawowym zadaniem jest bowiem zmniejszenie wydatków w sytuacjach awaryjnych i umożliwienie skutecznego administrowania ryzykiem i zasobami instytucji. Dane i dobre imię firmy są bowiem bezcenne. Poza tym dokładne koszty wdrożenia kompleksowej polityki ochrony danych zależą nie tylko od rozmiaru instytucji, ale również od docelowego poziomu bezpieczeństwa. Dobrze zaprojektowana polityka ochrony danych zaczyna natychmiast zwracać koszty ponoszone na jej stworzenie.

Nie należy jednak zapominać, że Polityka... ma działać na korzyść firmy i jej pracowników, a nie przeciwko nim. Część "ekspertów" próbuje chronić dane przez zastraszenie. Cokolwiek użytkownik zrobi, od razu czeka go kara. Kiedy nie zrobi, też zostanie ukarany. Moim zdaniem, lepiej jest używać łagodnego tonu i edukacji. W końcu zadowolony pracownik zawsze sprawia mniej kłopotu, a administrator powinien być jego przyjacielem, a nie katem.