Co się stanie, gdy podmiotem przestępstwa jest firma, a przedmiotem jej własność intelektualna? Kradzież wzorów przemysłowych, tajemnic handlowych lub know-how może spędzić sen z powiek właścicielom, pracownikom czy akcjonariuszom firm.

Wiedza zamiast danych

Z raportu Verizone Data BreachInvestigation wynika, że mamy do czynienia ze spadkiem liczby ujawnień danych personalnych (DP). Eksperci sugerują, że systematyczne zmniejszanie się skali zjawiska to efekt skuteczniejszego procesu identyfikacji, stawiania zarzutów i karania osób odpowiedzialnych za największe przypadki ujawnienia danych.

Czy zwiększające się bezpieczeństwo danych personalnych oznacza wzrost ogólnego poziomu bezpieczeństwa danych, w tym bezpieczeństwa własności intelektualnej firm (WI)? Na to pytanie nie można odpowiedzieć twierdząco. Badania prowadzone przez Deloitte jednoznacznie wskazują na globalny wzrost przypadków wycieku danych w przedsiębiorstwach - tylko 25% organizacji stwierdziło, że problem je do tej pory omijał.

Wysiłki cyberkryminalistów zaczynają koncentrować się na kradzieży własności intelektualnej firm. Wybór nie budzi zdziwienia, gdy weźmie się pod uwagę szczątkowe regulacje prawne w tym zakresie. Czynnikiem zachęcającym przestępców są większe potencjalne zyski i mniejsze prawdopodobieństwo ujawnienia ataków oraz niska świadomość zjawiska wśród przedsiębiorców, a co za tym idzie, mniejsze nakłady na zapobieganie mu.

Zwiększanie poziomu bezpieczeństwa

Zwykle proces przeciwdziałania atakom hakerów przebiega według przedstawionego poniżej schematu:

Posłużmy się przykładem. Za ilustrację niech posłuży proces związany z zabezpieczaniem danych przechowywanych na kartach kredytowych, odniesiony w następnej kolejności do ochrony własności intelektualnej.

Wdrożenie narzędzi i procedur zabezpieczenia kart kredytowych poprzedziło wiele zdarzeń, które przebiegały według określonego schematu. Cyberprzestępcy wykradali dane umożliwiające dostęp do cudzych pieniędzy. Poszkodowani klienci podnosili larum i nagłaśniali problem w placówkach banków lub w mediach. Efektem był wzrost świadomości zagrożenia. W proces włączali się producenci narzędzi bezpieczeństwa, legislatorzy, organizacje standaryzujące. Firmy zaczęły implementować narzędzia, co gwarantowało uzyskanie potrzebnych certyfikacji i spełnienie wymogów ustawodawcy, a więc pozwoliło na osiągnięcie akceptowalnego poziomu bezpieczeństwa.

Przy kwestiach związanych z problemem kradzieży własności intelektualnej należy zapytać, na którym etapie jesteśmy obecnie? W skali globalnej to etap eskalacji zdarzenia. Lokalnie nie jest to już tak jednoznaczne, ponieważ pierwsze trzy fazy działania cyberprzestępców nie są zazwyczaj upubliczniane.

Po pierwsze: eskalacja

Jakie myśli przychodzą CSO/CIO po skutecznym ataku na system w jego firmie? Najpierw próbuje odpowiedzieć na pytanie: jakie są konsekwencje ataku i kto powinien o tym wiedzieć?

Nie budzi wątpliwości fakt, że firmy nie chcą ogłaszać informacji o atakach skierowanych na własne systemy. Konsekwencje ich upublicznienia mogą być większe niż straty wywołane przez atak. Poza tym organizacje nie są do tego zobligowane. Regulacje prawne odnoszące się do własności intelektualnych, takie jak HIPAA, HITECH, dyrektywy unijne albo regulacje OECD, nie zawierają jasnych wytycznych. Istnieją jednak regulacje amerykańskiej agencji SEC (Securities and Exchange Commission), które obligują firmy do ujawniania ataków mogących mieć wpływ na ich wynik finansowy.

Obecnie informacje o podobnych atakach nie są publikowane bądź są produktem działów PR. Przedsiębiorstwa, które stają się podmiotem ataków, patrzą na nie przez pryzmat własnej organizacji, postrzegając informowanie o nich opinii publicznej jako działalność fakultatywną, a nierzadko zbędną z powodu możliwych konsekwencji.

Cyberkryminalistom jest na rękę niechęć firm do upubliczniania informacji o kradzieżach. Skutkuje to niemożnością stworzenia odpowiednich procedur pozwalających działać w sposób regulacyjny lub narzędziowy. Nie uda się znaleźć rozwiązania problemu ataków cyberprzestępców, dopóki organizacje nie będą współdziałały ze sobą w kwestii wymiany informacji.

Procedury i regulacje

Stworzenie szczegółowych regulacji prawnych i procedur dostosowanych do realiów odbywa się zwykle post factum. Mimo że można przewidzieć, jakie będą kolejne kierunki ataków cyberprzestępców, rzadko się to robi. Zwykle nie prowadzi się w tym zakresie badań. Powody zaniechania wynikają z niskiej świadomości o zagrożeniu albo ze świadomości ogromnych kosztów, które wiążą się z zabezpieczeniem słabych punktów systemu. Przy odrobinie kreatywnego podejścia można przewidzieć ścieżki ingerencji.

Zastosowanie procedur kontrolnych może zabezpieczyć organizację przed atakami cyberkryminalistów, czyniąc włamanie niemożliwym lub nieopłacalnym. Warunkiem uniemożliwienia ataku są prawidłowo wdrożone standardy. W wielu firmach regulacje lub standardy, takie jak PCI DSS, są spełniane, ale na niskim poziomie zgodności. Pozwala to na kontynuowanie działalności, ale nie na prowadzenie jej bez narażania firmy na ataki cyberprzestępców.

Luki i oprogramowanie

Najczęściej stosowane rozwiązania zabezpieczające mają poważną wadę: powszechnie znane są ich luki. Rozwiązania mniej popularne są ryzykowne we wdrożeniu i nie gwarantują zabezpieczenia luk. Cyberkryminaliści nie ograniczają się do wykorzystania znanych luk, starają się poszerzać spektrum potencjalnych dróg ataków poprzez wykorzystywanie urządzeń mobilnych, przetwarzanie danych w chmurze lub ruch przychodzący SSL (Secure Sockets Layer).

Większość oprogramowania DLP (Data-Loss Prevention) nie wspiera wykrywania ataków typu man-in-the-middle dla ruchu SSL. Atak taki polegający na podpięciu się pod strony służące komunikacji pozwala na przechwytywanie danych i na manipulację nimi, pomimo stosowania bezpiecznego szyfrowanego połączenia. Ma to coraz większe znaczenie z uwagi na rosnące wykorzystanie SSL w ruchu webowym i przejście Google na HTTPS.

Jak chronić własność intelektualną?

Odpowiedź na to pytanie powinna być poprzedzona szczegółową analizą pozwalającą zrozumieć, czym jest własność intelektualna w danej firmie. Dopiero po zidentyfikowaniu kluczowych wartości można zastanawiać się, w jaki sposób je chronić. Oto kilka rekomendacji dotyczących ochrony własności intelektualnej w firmie.

Nie bójmy się pytać

Wydaje się, że to brak wiedzy jest przyczyną problemu. Przejście od samego ataku do określenia jego skutków odbywa się zwykle dopiero podczas spotkania zainteresowanych osób już po wystąpienia sytuacji kryzysowej. Dlaczego dopiero wtedy? Głównie z braku informacji. Zaangażujmy specjalistów, którzy będą w stanie zidentyfikować ryzyka i je zminimalizować oraz podniosą świadomość pracowników o potencjalnych zagrożeniach. Firmy nie powinny patrzeć jedynie na możliwości nowych rozwiązać, ale także na zagrożenia z nimi związane. Istotnym aspektem jest refleksyjne podejście do nowych rozwiązań i możliwość współpracy z doświadczonymi specjalistami, którzy wprowadzą świeże spojrzenie i nowe rozwiązania zabezpieczające.

Zwiększenie świadomości

Pracownicy zarządzający najważniejszymi danymi powinni znać procedury postępowania i dobre praktyki. Edukacja wskazana jest nie tylko dla osób operujących bezpośrednio na kluczowych danych, ale też dla członków zarządu czy inżynierów procesów. Potrzebna jest współpraca pomiędzy wykonawcami a kontrolerami, w celu wypracowania skutecznych procedur kontroli. W celu utrwalenia przyswojonych praktyk proponowane jest przejście testów penetracyjnych połączonych z próbami ataku z wykorzystaniem elementów inżynierii społecznej. Dostępne są serwisy pomagające oszacować pobieżnie świadomość organizacji wobec phishingu lub innych prób wyłudzeń. Newralgiczną kwestią jest świadomość ich istnienia.

Identyfikacja i ochrona najważniejszych zasobów

Kluczowe jest zidentyfikowanie najważniejszych zasobów własności intelektualnej, decydujących o przewadze konkurencyjnej, czyli tych, które są najbardziej narażone na ryzyko kradzieży. W odniesieniu do całej posiadanej przez firmy własności intelektualnej stanowią one z reguły 1-2%. Te dane powinny być w centrum zainteresowania CSO lub CIO, którzy powinni przemyśleć wdrożenie systemów DLP je chroniących. Gartner Research wskazuje, że obecnie około 30% firm ma wdrożone rozwiązania tego typu. Wynik ten nie jest porównywalny do sytuacji firm działających w Polsce.

Chrońmy znane luki

Koncentracja na znanych lukach wymaga często dodatkowej motywacji. Przy rosnącym wykorzystaniu w organizacjach urządzeń mobilnych, przetwarzaniu w chmurze albo wspomnianym ruchu SSL należy przemyśleć kwestię zabezpieczenia rodzajów ryzyka dla zidentyfikowanych, kluczowych zasobów własności intelektualnej względem wymienionych słabych ogniw. Zalecenie może wydawać się truizmem, jednak należy pamiętać, że wypracowanie elastycznej strategii wobec nowych technologii zaprocentuje w przypadku podejmowanych w przyszłości decyzji.

Czas zacząć mówić o ochronie własności intelektualnej

Informowanie o zagrożeniach wzmocni wysiłki firm i legislatorów, by rozwijać narzędzia, procedury oraz regulacje, które pozwolą zapewnić odpowiedni poziom bezpieczeństwa. Najważniejszą kwestią jest identyfikacja i zabezpieczenie kluczowych zasobów własności intelektualnej. Aktywny udział w tym procesie powinni odgrywać pracownicy, którzy świadomi zagrożeń i metod cyberkryminalistów będą mogli im przeciwdziałać. Podejdźmy do zagadnienia bezpieczeństwa kreatywnie, a w trakcie zabezpieczenia kluczowych zasobów własności intelektualnej wykorzystujmy wiedzę i doświadczenie specjalistów z branży.

Leszek Bartosik jest konsultantem Działu Zarządzania Ryzykiem w Deloitte. Artykuł jest inspirowany raportem "Raising the Bar 2011 TMT Global Security Study".